Como instalar um certificado SSL no IIS

Para instalar um certificado SSL no IIS, abra o Gestor do IIS, aceda a Server Certificates e carregue o seu ficheiro .crt através da opção Complete Certificate Request. Em seguida, clique com o botão direito no seu site, selecione Edit Bindings > Add e crie um binding HTTPS na porta 443. Da criação do CSR à verificação da instalação, todo o processo demora cerca de 15 minutos na maioria dos ambientes Windows Server. Este guia explica cada passo com capturas de ecrã e aborda também de forma completa os erros mais comuns e o redirecionamento de HTTP para HTTPS.

Quer vender certificados SSL aos seus clientes?

Com o programa de revendedores SSL da Domain Name API, pode oferecer certificados DV, OV, EV e Wildcard através de uma única API.

Ver soluções para revendedores SSL →

O que precisa de ter pronto antes de começar a instalação SSL no IIS

Antes de abrir o Gestor do IIS, certifique-se de que tem tudo o seguinte preparado. Se algum destes elementos estiver em falta, corre o risco de ficar bloqueado a meio do processo de instalação.

Requisito Descrição
Acesso ao Gestor do IIS O Internet Information Services Manager tem de estar instalado e em execução no Windows Server.
Direitos de administrador Precisa de privilégios de administrador local ou de domínio no servidor para instalar certificados. As contas de utilizador padrão não podem instalar certificados.
CSR (Certificate Signing Request) Criado no passo 2 através do Gestor do IIS. O CSR também gera a chave privada — ambos devem permanecer no mesmo servidor.
Ficheiro do certificado SSL (.crt) Emitido pela CA (Autoridade de Certificação) após a conclusão da validação do domínio.
CA Bundle / Certificado intermédio Fornecido pela CA juntamente com o certificado. Indispensável para uma cadeia de confiança completa — não o ignore.
Chave privada Gerada automaticamente quando se cria o CSR no IIS. Permanece no servidor e não pode ser transferida como ficheiro separado.

⚠️ Se criou o CSR noutro servidor, não pode utilizar o método Complete Certificate Request. Em alternativa, exporte um ficheiro .pfx (certificado + chave privada juntos) do servidor original e utilize a opção 'Import' no IIS.

Passo 1 — Escolher o certificado SSL certo

Os certificados SSL não são uma solução única para todos. O tipo de que necessita depende de quantos domínios pretende proteger e do nível de verificação de identidade que os seus utilizadores esperam.

Tipo O que é validado Para quem é indicado Exemplo
DV SSL Apenas a propriedade do domínio Blog, site pessoal, pequena empresa www.exemplo.pt
OV SSL Domínio + identidade da organização Sites empresariais, plataformas SaaS Site web da empresa
EV SSL Validação empresarial alargada E-commerce, finanças — nível de confiança mais elevado checkout.exemplo.pt
Wildcard SSL Domínio + todos os subdomínios de primeiro nível Fornecedores de alojamento, estruturas com muitos subdomínios *.exemplo.pt

Para fornecedores de alojamento e revendedores de domínios, o Wildcard SSL é geralmente a escolha mais prática — um único certificado cobre todos os subdomínios e não é necessário renovar cada um separadamente.

Vende SSL aos seus clientes?

O programa de revendedores SSL da Domain Name API dá-lhe acesso a certificados DV, OV, EV e Wildcard a preços competitivos para revendedores.

Ver preços para revendedores SSL →

Passo 2 — Abrir o Gestor do IIS

No Windows Server, prima Win + R, escreva inetmgr e prima Enter. Em alternativa, pesquise "IIS" no menu Iniciar e selecione Internet Information Services (IIS) Manager.

Como instalar um certificado SSL no IIS

ℹ️ Gestor do IIS não encontrado? Siga este caminho: Gestor do Servidor → Adicionar funções e funcionalidades → Servidor Web (IIS). Nas versões de ambiente de trabalho do Windows: Painel de Controlo → Programas → Ativar ou desativar funcionalidades do Windows → Internet Information Services.

Passo 3 — Abrir Server Certificates

No painel esquerdo do Gestor do IIS, clique no nome do seu servidor. No painel central, localize o ícone "Server Certificates" e faça duplo clique nele.

Como instalar um certificado SSL no IIS

Passo 4 — Criar o CSR e carregar o ficheiro do certificado

Se ainda não criou um CSR, conclua este passo antes de carregar o ficheiro do certificado.

Como criar um CSR

  1. Clique em "Create Certificate Request…" no painel Actions.
  2. Preencha os campos Distinguished Name — o Common Name tem de corresponder exatamente ao nome de domínio a proteger.
  3. Defina o comprimento da chave para 2048 (mínimo) ou 4096 para uma encriptação mais robusta.
  4. Guarde o ficheiro .txt — precisará de colar o conteúdo no formulário de encomenda da CA.

Regresse a este passo depois de a CA ter emitido o certificado.

Instalar o certificado — Complete Certificate Request

Clique em "Complete Certificate Request…" no painel Actions para abrir o assistente de instalação.

Como instalar um certificado SSL no IIS

⚠️ Criou o CSR noutro servidor? O Complete Certificate Request não funcionará nesse caso. Exporte um ficheiro .pfx (PKCS#12) — incluindo a chave privada — do servidor original e utilize a opção 'Import' no painel Actions em Server Certificates.

Se está a migrar do cPanel, Plesk ou de um servidor Linux para o IIS: não pode importar diretamente o seu certificado existente para o IIS. Converta primeiro o certificado para o formato .pfx (PKCS#12) com um comando OpenSSL ou um conversor PEM→PFX online, e depois utilize Server Certificates → Import no IIS. O comando OpenSSL é:

openssl pkcs12 -export -out certificado.pfx -inkey privado.key -in certificado.crt -certfile cabundle.crt

Passo 5 — Selecionar o ficheiro do certificado e introduzir o Friendly Name

Abre-se a janela "Specify Certificate Authority Response". Preencha os três campos da seguinte forma:

Campo O que introduzir
File name (.cer) Selecione o seu ficheiro .crt através do botão "…". O IIS aceita as extensões .crt e .cer.
Friendly name Uma etiqueta curta que reconhecerá — ex. exemplo.pt-2025. Selecionará este nome no passo 6.
Certificate store Selecione "Personal". Se o certificado não aparecer depois, experimente "Web Hosting".

Como instalar um certificado SSL no IIS

Clique em "OK" depois de preencher todos os campos. O certificado está agora carregado no servidor. Ainda não serve tráfego HTTPS — isso acontece no passo seguinte.

Passo 6 — Criar um binding HTTPS na porta 443

O certificado está instalado, mas o IIS ainda não sabe qual o site que deve utilizá-lo. Precisa de criar um binding que ligue a porta 443 ao seu site e ao seu certificado.

Clique com o botão direito no seu site no painel esquerdo e clique em "Edit Bindings…". Na janela Site Bindings, clique em "Add".

Como instalar um certificado SSL no IIS

Campo Valor / Descrição
Type https
IP Address All Unassigned — ou o IP específico atribuído ao seu servidor, se aplicável
Port 443
Hostname Introduza o nome de domínio exatamente como aparece no certificado (ex. www.exemplo.pt)
SNI Assinale "Require Server Name Indication" se vários sites partilham este endereço IP
SSL Certificate Selecione o Friendly Name introduzido no passo 5

Como instalar um certificado SSL no IIS

Clique em "OK" para guardar. O seu site está agora acessível via HTTPS.

O que é o SNI e quando deve ser ativado?

O SNI (Server Name Indication) é uma extensão TLS que permite a um único endereço IP servir múltiplos certificados SSL — um certificado por hostname. Sem SNI, o IIS só pode servir um certificado por endereço IP, independentemente do hostname.

Ative o SNI nas seguintes situações: (a) aloja vários sites HTTPS num único IP de servidor, ou (b) o seu servidor está por detrás de um balanceador de carga partilhado. O IIS 7.5 e versões anteriores não suportam SNI — é necessário um IP separado por domínio. O IIS 8 e versões posteriores suportam SNI nativamente.

Passo 7 — Redirecionamento de HTTP para HTTPS

Adicionar um binding HTTPS não redireciona automaticamente o tráfego http://. Sem redirecionamento, alguns visitantes — e os bots dos motores de pesquisa — continuarão a aceder à versão não encriptada do seu site.

Redirecionamento com o módulo URL Rewrite do IIS (recomendado)

  1. Transfira e instale o módulo URL Rewrite da Microsoft (gratuito, através do Web Platform Installer ou transferência direta).
  2. Selecione o seu site no Gestor do IIS e faça duplo clique em "URL Rewrite".
  3. Escolha "Add Rule(s)" → "Blank Rule". Dê o nome "HTTP to HTTPS" à regra.
  4. Match URL: Pattern = .*
  5. Adicione uma condição: {HTTPS} corresponde ao padrão "^OFF$".
  6. Ação: Redirecionar para https://{HTTP_HOST}/{R:0}, Tipo de redirecionamento: Permanente (301).

Por que é importante para SEO e confiança dos utilizadores: o Google utiliza o HTTPS como sinal de classificação desde 2014. De forma mais concreta, o Chrome e o Edge assinalam todas as páginas HTTP como 'Não seguro' — o que corrói a confiança dos utilizadores e aumenta a taxa de rejeição; ambos são fatores SEO negativos indiretos. Um redirecionamento 301 também transfere a link equity dos URLs HTTP para a versão HTTPS.

Passo 8 — Verificar a instalação SSL

Não presuma que está a funcionar — verifique. Realize estes três controlos antes de considerar a instalação concluída:

  • Ícone de cadeado no browser: Abra https://www.exemplo.pt no Chrome ou Edge. O ícone de cadeado na barra de endereço confirma que o HTTPS está ativo.
  • SSL Checker: Utilize uma ferramenta SSL checker online para verificar a cadeia de certificados, a data de expiração e o emissor.
  • Teste SSL Labs: Aceda a ssllabs.com/ssltest e introduza o seu nome de domínio. Aponte para a classificação A ou A+ — uma classificação inferior indica normalmente um problema de configuração que precisa de ser resolvido.

✅ Sem ícone de cadeado? A causa mais comum é uma cadeia de certificados incompleta — o certificado intermédio (CA Bundle) não está instalado. Instale-o no arquivo de certificados do IIS através do certlm.msc com o MMC, e depois reinicie o IIS.