Cum se instalează un certificat SSL pe IIS
Pentru a instala un certificat SSL pe IIS, deschideți IIS Manager, accesați Server Certificates și încărcați fișierul .crt prin opțiunea Complete Certificate Request. Apoi faceți clic dreapta pe site-ul dvs. web, selectați Edit Bindings > Add și creați un binding HTTPS pe portul 443. De la crearea CSR-ului până la verificarea instalării, întregul proces durează aproximativ 15 minute în majoritatea mediilor Windows Server. Acest ghid explică fiecare pas cu capturi de ecran și acoperă în mod complet și erorile frecvente, precum și redirecționarea de la HTTP la HTTPS.
Doriți să vindeți certificate SSL clienților dvs.?
Cu programul de revânzători SSL al Domain Name API puteți oferi certificate DV, OV, EV și Wildcard printr-un singur API.
Ce trebuie să pregătiți înainte de instalarea SSL pe IIS
Înainte de a deschide IIS Manager, asigurați-vă că aveți pregătit tot ce urmează. Dacă lipsește vreunul dintre aceste elemente, riscați să vă blocați la jumătatea procesului de instalare.
| Cerință | Descriere |
|---|---|
| Acces la IIS Manager | Internet Information Services Manager trebuie să fie instalat și să ruleze pe Windows Server. |
| Drepturi de administrator | Aveți nevoie de privilegii de administrator local sau de domeniu pe server pentru a instala certificate. Conturile de utilizator standard nu pot instala certificate. |
| CSR (Certificate Signing Request) | Creat la pasul 2 prin IIS Manager. CSR-ul generează și cheia privată — ambele trebuie să rămână pe același server. |
| Fișierul certificatului SSL (.crt) | Emis de CA (Autoritatea de Certificare) după finalizarea validării domeniului. |
| CA Bundle / Certificat intermediar | Furnizat de CA împreună cu certificatul. Indispensabil pentru un lanț de încredere complet — nu îl omiteți. |
| Cheia privată | Generată automat la crearea CSR-ului în IIS. Rămâne pe server și nu poate fi descărcată ca fișier separat. |
⚠️ Dacă ați creat CSR-ul pe un alt server, nu puteți utiliza metoda Complete Certificate Request. Exportați în schimb un fișier .pfx (certificat + cheie privată împreună) de pe serverul original și utilizați opțiunea 'Import' în IIS.
Pasul 1 — Alegerea certificatului SSL potrivit
Certificatele SSL nu sunt o soluție universală. Tipul de care aveți nevoie depinde de câte domenii doriți să securizați și de nivelul de verificare a identității pe care îl așteaptă utilizatorii dvs.
| Tip | Ce se validează | Pentru cine este indicat | Exemplu |
|---|---|---|---|
| DV SSL | Doar proprietatea domeniului | Blog, site personal, afacere mică | www.exemplu.ro |
| OV SSL | Domeniu + identitatea organizației | Site-uri corporative, platforme SaaS | Site-ul web al companiei |
| EV SSL | Validare extinsă a companiei | E-commerce, finanțe — cel mai înalt nivel de încredere | checkout.exemplu.ro |
| Wildcard SSL | Domeniu + toate subdomeniile de primul nivel | Furnizori de hosting, structuri cu multe subdomenii | *.exemplu.ro |
Pentru furnizorii de hosting și revânzătorii de domenii, Wildcard SSL este de obicei alegerea cea mai practică — un singur certificat acoperă toate subdomeniile și nu este necesar să reînnoiți fiecare în parte.
Vindeți SSL clienților dvs.?
Programul de revânzători SSL al Domain Name API vă oferă acces la certificate DV, OV, EV și Wildcard la prețuri competitive pentru revânzători.
Pasul 2 — Deschiderea IIS Manager
Pe Windows Server apăsați Win + R, tastați inetmgr și apăsați Enter. Alternativ, căutați "IIS" în meniul Start și selectați Internet Information Services (IIS) Manager.

ℹ️ IIS Manager nu se găsește? Urmați această cale: Server Manager → Adăugați roluri și caracteristici → Web Server (IIS). Pe versiunile desktop Windows: Panou de control → Programe → Activați sau dezactivați caracteristici Windows → Internet Information Services.
Pasul 3 — Deschiderea Server Certificates
În panoul din stânga al IIS Manager, faceți clic pe numele serverului dvs. În panoul central, găsiți pictograma "Server Certificates" și faceți dublu clic pe ea.

Pasul 4 — Crearea CSR-ului și încărcarea fișierului de certificat
Dacă nu ați creat încă un CSR, finalizați acest pas înainte de a încărca fișierul de certificat.
Cum se creează un CSR
- Faceți clic pe "Create Certificate Request…" în panoul Actions.
- Completați câmpurile Distinguished Name — Common Name trebuie să corespundă exact numelui de domeniu care urmează să fie securizat.
- Setați lungimea cheii la 2048 (minim) sau 4096 pentru o criptare mai puternică.
- Salvați fișierul .txt — va trebui să lipiți conținutul în formularul de comandă al CA.
Reveniți la acest pas după ce CA a emis certificatul.
Instalarea certificatului — Complete Certificate Request
Faceți clic pe "Complete Certificate Request…" în panoul Actions pentru a deschide asistentul de instalare.

⚠️ Ați creat CSR-ul pe un alt server? Complete Certificate Request nu va funcționa în acest caz. Exportați un fișier .pfx (PKCS#12) — inclusiv cheia privată — de pe serverul original și utilizați opțiunea 'Import' în panoul Actions din Server Certificates.
Dacă migrați de la cPanel, Plesk sau un server Linux la IIS: nu puteți importa direct certificatul existent în IIS. Convertiți mai întâi certificatul în formatul .pfx (PKCS#12) cu o comandă OpenSSL sau cu un convertor PEM→PFX online, apoi utilizați Server Certificates → Import în IIS. Comanda OpenSSL este:
openssl pkcs12 -export -out certificat.pfx -inkey privat.key -in certificat.crt -certfile cabundle.crt
Pasul 5 — Selectarea fișierului de certificat și introducerea Friendly Name
Se deschide fereastra "Specify Certificate Authority Response". Completați cele trei câmpuri după cum urmează:
| Câmp | Ce trebuie introdus |
|---|---|
| File name (.cer) | Selectați fișierul .crt prin butonul "…". IIS acceptă atât extensia .crt, cât și .cer. |
| Friendly name | O etichetă scurtă pe care o veți recunoaște — ex. exemplu.ro-2025. Veți selecta acest nume la pasul 6. |
| Certificate store | Selectați "Personal". Dacă certificatul nu apare după aceea, încercați "Web Hosting". |

Faceți clic pe "OK" după completarea tuturor câmpurilor. Certificatul este acum încărcat pe server. Nu servește încă trafic HTTPS — acest lucru se întâmplă la pasul următor.
Pasul 6 — Crearea unui binding HTTPS pe portul 443
Certificatul este instalat, dar IIS nu știe încă ce site web trebuie să îl utilizeze. Trebuie să creați un binding care leagă portul 443 de site-ul dvs. și de certificat.
Faceți clic dreapta pe site-ul dvs. web în panoul din stânga și faceți clic pe "Edit Bindings…". În fereastra Site Bindings, faceți clic pe "Add".

| Câmp | Valoare / Descriere |
|---|---|
| Type | https |
| IP Address | All Unassigned — sau IP-ul specific atribuit serverului dvs., dacă este cazul |
| Port | 443 |
| Hostname | Introduceți numele de domeniu exact așa cum apare în certificat (ex. www.exemplu.ro) |
| SNI | Bifați "Require Server Name Indication" dacă mai multe site-uri partajează această adresă IP |
| SSL Certificate | Selectați Friendly Name introdus la pasul 5 |

Faceți clic pe "OK" pentru a salva. Site-ul dvs. este acum accesibil prin HTTPS.
Ce este SNI și când trebuie activat?
SNI (Server Name Indication) este o extensie TLS care permite unei singure adrese IP să servească mai multe certificate SSL — câte un certificat pentru fiecare hostname. Fără SNI, IIS poate servi un singur certificat per adresă IP, indiferent de hostname.
Activați SNI în următoarele situații: (a) găzduiți mai multe site-uri HTTPS pe un singur IP de server, sau (b) serverul dvs. se află în spatele unui load balancer partajat. IIS 7.5 și versiunile anterioare nu suportă SNI — este necesară câte o adresă IP separată pentru fiecare domeniu. IIS 8 și versiunile ulterioare suportă SNI nativ.
Pasul 7 — Redirecționarea de la HTTP la HTTPS
Adăugarea unui binding HTTPS nu redirecționează automat traficul http://. Fără redirecționare, unii vizitatori — și roboții motoarelor de căutare — vor continua să acceseze versiunea necriptată a site-ului dvs.
Redirecționare cu modulul URL Rewrite al IIS (recomandat)
- Descărcați și instalați modulul URL Rewrite de la Microsoft (gratuit, prin Web Platform Installer sau descărcare directă).
- Selectați site-ul dvs. în IIS Manager și faceți dublu clic pe "URL Rewrite".
- Alegeți "Add Rule(s)" → "Blank Rule". Denumiți regula "HTTP to HTTPS".
- Match URL: Pattern = .*
- Adăugați o condiție: {HTTPS} corespunde tiparului "^OFF$".
- Acțiune: Redirecționați către https://{HTTP_HOST}/{R:0}, Tip de redirecționare: Permanent (301).
De ce este important pentru SEO și încrederea utilizatorilor: Google folosește HTTPS ca semnal de clasament din 2014. Mai concret, Chrome și Edge marchează fiecare pagină HTTP ca 'Nesigur' — ceea ce erodează încrederea utilizatorilor și crește rata de respingere; ambele sunt factori SEO negativi indirecți. O redirecționare 301 transferă de asemenea link equity de la URL-urile HTTP la versiunea HTTPS.
Pasul 8 — Verificarea instalării SSL
Nu presupuneți că funcționează — verificați. Efectuați aceste trei verificări înainte de a considera instalarea finalizată:
- Pictograma lacăt în browser: Deschideți https://www.exemplu.ro în Chrome sau Edge. Pictograma lacăt din bara de adrese confirmă că HTTPS este activ.
- SSL Checker: Utilizați un instrument SSL checker online pentru a verifica lanțul de certificate, data de expirare și emitentul.
- Test SSL Labs: Accesați ssllabs.com/ssltest și introduceți numele de domeniu. Vizați nota A sau A+ — o notă mai mică indică de obicei o problemă de configurare care trebuie remediată.
✅ Nicio pictogramă lacăt? Cel mai frecvent motiv este un lanț de certificate incomplet — certificatul intermediar (CA Bundle) nu este instalat. Instalați-l în depozitul de certificate IIS prin certlm.msc cu MMC, apoi reporniți IIS.
