Cum se instalează un certificat SSL pe IIS

Pentru a instala un certificat SSL pe IIS, deschideți IIS Manager, accesați Server Certificates și încărcați fișierul .crt prin opțiunea Complete Certificate Request. Apoi faceți clic dreapta pe site-ul dvs. web, selectați Edit Bindings > Add și creați un binding HTTPS pe portul 443. De la crearea CSR-ului până la verificarea instalării, întregul proces durează aproximativ 15 minute în majoritatea mediilor Windows Server. Acest ghid explică fiecare pas cu capturi de ecran și acoperă în mod complet și erorile frecvente, precum și redirecționarea de la HTTP la HTTPS.

Doriți să vindeți certificate SSL clienților dvs.?

Cu programul de revânzători SSL al Domain Name API puteți oferi certificate DV, OV, EV și Wildcard printr-un singur API.

Vezi soluțiile pentru revânzători SSL →

Ce trebuie să pregătiți înainte de instalarea SSL pe IIS

Înainte de a deschide IIS Manager, asigurați-vă că aveți pregătit tot ce urmează. Dacă lipsește vreunul dintre aceste elemente, riscați să vă blocați la jumătatea procesului de instalare.

Cerință Descriere
Acces la IIS Manager Internet Information Services Manager trebuie să fie instalat și să ruleze pe Windows Server.
Drepturi de administrator Aveți nevoie de privilegii de administrator local sau de domeniu pe server pentru a instala certificate. Conturile de utilizator standard nu pot instala certificate.
CSR (Certificate Signing Request) Creat la pasul 2 prin IIS Manager. CSR-ul generează și cheia privată — ambele trebuie să rămână pe același server.
Fișierul certificatului SSL (.crt) Emis de CA (Autoritatea de Certificare) după finalizarea validării domeniului.
CA Bundle / Certificat intermediar Furnizat de CA împreună cu certificatul. Indispensabil pentru un lanț de încredere complet — nu îl omiteți.
Cheia privată Generată automat la crearea CSR-ului în IIS. Rămâne pe server și nu poate fi descărcată ca fișier separat.

⚠️ Dacă ați creat CSR-ul pe un alt server, nu puteți utiliza metoda Complete Certificate Request. Exportați în schimb un fișier .pfx (certificat + cheie privată împreună) de pe serverul original și utilizați opțiunea 'Import' în IIS.

Pasul 1 — Alegerea certificatului SSL potrivit

Certificatele SSL nu sunt o soluție universală. Tipul de care aveți nevoie depinde de câte domenii doriți să securizați și de nivelul de verificare a identității pe care îl așteaptă utilizatorii dvs.

Tip Ce se validează Pentru cine este indicat Exemplu
DV SSL Doar proprietatea domeniului Blog, site personal, afacere mică www.exemplu.ro
OV SSL Domeniu + identitatea organizației Site-uri corporative, platforme SaaS Site-ul web al companiei
EV SSL Validare extinsă a companiei E-commerce, finanțe — cel mai înalt nivel de încredere checkout.exemplu.ro
Wildcard SSL Domeniu + toate subdomeniile de primul nivel Furnizori de hosting, structuri cu multe subdomenii *.exemplu.ro

Pentru furnizorii de hosting și revânzătorii de domenii, Wildcard SSL este de obicei alegerea cea mai practică — un singur certificat acoperă toate subdomeniile și nu este necesar să reînnoiți fiecare în parte.

Vindeți SSL clienților dvs.?

Programul de revânzători SSL al Domain Name API vă oferă acces la certificate DV, OV, EV și Wildcard la prețuri competitive pentru revânzători.

Vezi prețurile pentru revânzători SSL →

Pasul 2 — Deschiderea IIS Manager

Pe Windows Server apăsați Win + R, tastați inetmgr și apăsați Enter. Alternativ, căutați "IIS" în meniul Start și selectați Internet Information Services (IIS) Manager.

Cum se instalează un certificat SSL pe IIS

ℹ️ IIS Manager nu se găsește? Urmați această cale: Server Manager → Adăugați roluri și caracteristici → Web Server (IIS). Pe versiunile desktop Windows: Panou de control → Programe → Activați sau dezactivați caracteristici Windows → Internet Information Services.

Pasul 3 — Deschiderea Server Certificates

În panoul din stânga al IIS Manager, faceți clic pe numele serverului dvs. În panoul central, găsiți pictograma "Server Certificates" și faceți dublu clic pe ea.

Cum se instalează un certificat SSL pe IIS

Pasul 4 — Crearea CSR-ului și încărcarea fișierului de certificat

Dacă nu ați creat încă un CSR, finalizați acest pas înainte de a încărca fișierul de certificat.

Cum se creează un CSR

  1. Faceți clic pe "Create Certificate Request…" în panoul Actions.
  2. Completați câmpurile Distinguished Name — Common Name trebuie să corespundă exact numelui de domeniu care urmează să fie securizat.
  3. Setați lungimea cheii la 2048 (minim) sau 4096 pentru o criptare mai puternică.
  4. Salvați fișierul .txt — va trebui să lipiți conținutul în formularul de comandă al CA.

Reveniți la acest pas după ce CA a emis certificatul.

Instalarea certificatului — Complete Certificate Request

Faceți clic pe "Complete Certificate Request…" în panoul Actions pentru a deschide asistentul de instalare.

Cum se instalează un certificat SSL pe IIS

⚠️ Ați creat CSR-ul pe un alt server? Complete Certificate Request nu va funcționa în acest caz. Exportați un fișier .pfx (PKCS#12) — inclusiv cheia privată — de pe serverul original și utilizați opțiunea 'Import' în panoul Actions din Server Certificates.

Dacă migrați de la cPanel, Plesk sau un server Linux la IIS: nu puteți importa direct certificatul existent în IIS. Convertiți mai întâi certificatul în formatul .pfx (PKCS#12) cu o comandă OpenSSL sau cu un convertor PEM→PFX online, apoi utilizați Server Certificates → Import în IIS. Comanda OpenSSL este:

openssl pkcs12 -export -out certificat.pfx -inkey privat.key -in certificat.crt -certfile cabundle.crt

Pasul 5 — Selectarea fișierului de certificat și introducerea Friendly Name

Se deschide fereastra "Specify Certificate Authority Response". Completați cele trei câmpuri după cum urmează:

Câmp Ce trebuie introdus
File name (.cer) Selectați fișierul .crt prin butonul "…". IIS acceptă atât extensia .crt, cât și .cer.
Friendly name O etichetă scurtă pe care o veți recunoaște — ex. exemplu.ro-2025. Veți selecta acest nume la pasul 6.
Certificate store Selectați "Personal". Dacă certificatul nu apare după aceea, încercați "Web Hosting".

Cum se instalează un certificat SSL pe IIS

Faceți clic pe "OK" după completarea tuturor câmpurilor. Certificatul este acum încărcat pe server. Nu servește încă trafic HTTPS — acest lucru se întâmplă la pasul următor.

Pasul 6 — Crearea unui binding HTTPS pe portul 443

Certificatul este instalat, dar IIS nu știe încă ce site web trebuie să îl utilizeze. Trebuie să creați un binding care leagă portul 443 de site-ul dvs. și de certificat.

Faceți clic dreapta pe site-ul dvs. web în panoul din stânga și faceți clic pe "Edit Bindings…". În fereastra Site Bindings, faceți clic pe "Add".

Cum se instalează un certificat SSL pe IIS

Câmp Valoare / Descriere
Type https
IP Address All Unassigned — sau IP-ul specific atribuit serverului dvs., dacă este cazul
Port 443
Hostname Introduceți numele de domeniu exact așa cum apare în certificat (ex. www.exemplu.ro)
SNI Bifați "Require Server Name Indication" dacă mai multe site-uri partajează această adresă IP
SSL Certificate Selectați Friendly Name introdus la pasul 5

Cum se instalează un certificat SSL pe IIS

Faceți clic pe "OK" pentru a salva. Site-ul dvs. este acum accesibil prin HTTPS.

Ce este SNI și când trebuie activat?

SNI (Server Name Indication) este o extensie TLS care permite unei singure adrese IP să servească mai multe certificate SSL — câte un certificat pentru fiecare hostname. Fără SNI, IIS poate servi un singur certificat per adresă IP, indiferent de hostname.

Activați SNI în următoarele situații: (a) găzduiți mai multe site-uri HTTPS pe un singur IP de server, sau (b) serverul dvs. se află în spatele unui load balancer partajat. IIS 7.5 și versiunile anterioare nu suportă SNI — este necesară câte o adresă IP separată pentru fiecare domeniu. IIS 8 și versiunile ulterioare suportă SNI nativ.

Pasul 7 — Redirecționarea de la HTTP la HTTPS

Adăugarea unui binding HTTPS nu redirecționează automat traficul http://. Fără redirecționare, unii vizitatori — și roboții motoarelor de căutare — vor continua să acceseze versiunea necriptată a site-ului dvs.

Redirecționare cu modulul URL Rewrite al IIS (recomandat)

  1. Descărcați și instalați modulul URL Rewrite de la Microsoft (gratuit, prin Web Platform Installer sau descărcare directă).
  2. Selectați site-ul dvs. în IIS Manager și faceți dublu clic pe "URL Rewrite".
  3. Alegeți "Add Rule(s)" → "Blank Rule". Denumiți regula "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Adăugați o condiție: {HTTPS} corespunde tiparului "^OFF$".
  6. Acțiune: Redirecționați către https://{HTTP_HOST}/{R:0}, Tip de redirecționare: Permanent (301).

De ce este important pentru SEO și încrederea utilizatorilor: Google folosește HTTPS ca semnal de clasament din 2014. Mai concret, Chrome și Edge marchează fiecare pagină HTTP ca 'Nesigur' — ceea ce erodează încrederea utilizatorilor și crește rata de respingere; ambele sunt factori SEO negativi indirecți. O redirecționare 301 transferă de asemenea link equity de la URL-urile HTTP la versiunea HTTPS.

Pasul 8 — Verificarea instalării SSL

Nu presupuneți că funcționează — verificați. Efectuați aceste trei verificări înainte de a considera instalarea finalizată:

  • Pictograma lacăt în browser: Deschideți https://www.exemplu.ro în Chrome sau Edge. Pictograma lacăt din bara de adrese confirmă că HTTPS este activ.
  • SSL Checker: Utilizați un instrument SSL checker online pentru a verifica lanțul de certificate, data de expirare și emitentul.
  • Test SSL Labs: Accesați ssllabs.com/ssltest și introduceți numele de domeniu. Vizați nota A sau A+ — o notă mai mică indică de obicei o problemă de configurare care trebuie remediată.

✅ Nicio pictogramă lacăt? Cel mai frecvent motiv este un lanț de certificate incomplet — certificatul intermediar (CA Bundle) nu este instalat. Instalați-l în depozitul de certificate IIS prin certlm.msc cu MMC, apoi reporniți IIS.