Как установить SSL-сертификат на IIS
Чтобы установить SSL-сертификат на IIS, откройте IIS Manager, перейдите в Server Certificates и загрузите файл .crt через опцию Complete Certificate Request. Затем щёлкните правой кнопкой мыши по своему сайту, выберите Edit Bindings > Add и создайте HTTPS-привязку на порту 443. От создания CSR до проверки установки весь процесс занимает около 15 минут в большинстве сред Windows Server. Это руководство объясняет каждый шаг со скриншотами и полностью охватывает наиболее распространённые ошибки, а также переадресацию с HTTP на HTTPS.
Хотите продавать SSL-сертификаты своим клиентам?
С программой для реселлеров SSL от Domain Name API вы можете предлагать сертификаты DV, OV, EV и Wildcard через единый API.
Что нужно подготовить перед установкой SSL на IIS
Прежде чем открывать IIS Manager, убедитесь, что всё нижеперечисленное готово. Если какой-либо элемент отсутствует, вы рискуете застрять в середине процесса установки.
| Требование | Описание |
|---|---|
| Доступ к IIS Manager | Internet Information Services Manager должен быть установлен и работать на Windows Server. |
| Права администратора | Для установки сертификатов вам нужны права локального администратора или администратора домена на сервере. Учётные записи обычных пользователей не могут устанавливать сертификаты. |
| CSR (Certificate Signing Request) | Создаётся на шаге 2 через IIS Manager. CSR также генерирует закрытый ключ — оба должны оставаться на одном сервере. |
| Файл SSL-сертификата (.crt) | Выдаётся CA (Центром сертификации) после завершения проверки домена. |
| CA Bundle / Промежуточный сертификат | Предоставляется CA вместе с сертификатом. Обязателен для полной цепочки доверия — не пропускайте этот шаг. |
| Закрытый ключ | Генерируется автоматически при создании CSR в IIS. Остаётся на сервере и не может быть загружен как отдельный файл. |
⚠️ Если вы создали CSR на другом сервере, вы не сможете использовать метод Complete Certificate Request. Вместо этого экспортируйте .pfx-файл (сертификат + закрытый ключ вместе) с исходного сервера и воспользуйтесь опцией 'Import' в IIS.
Шаг 1 — Выбор подходящего SSL-сертификата
SSL-сертификаты — не универсальное решение. Тип, который вам нужен, зависит от количества защищаемых доменов и уровня проверки личности, которого ожидают ваши пользователи.
| Тип | Что проверяется | Для кого подходит | Пример |
|---|---|---|---|
| DV SSL | Только владение доменом | Блог, личный сайт, малый бизнес | www.primer.ru |
| OV SSL | Домен + идентификация организации | Корпоративные сайты, SaaS-платформы | Корпоративный сайт |
| EV SSL | Расширенная проверка компании | Электронная коммерция, финансы — максимальный уровень доверия | checkout.primer.ru |
| Wildcard SSL | Домен + все поддомены первого уровня | Хостинг-провайдеры, структуры со множеством поддоменов | *.primer.ru |
Для хостинг-провайдеров и реселлеров доменов Wildcard SSL, как правило, является наиболее практичным выбором — один сертификат покрывает все поддомены, и не нужно обновлять каждый из них отдельно.
Продаёте SSL своим клиентам?
Программа для реселлеров SSL от Domain Name API даёт вам доступ к сертификатам DV, OV, EV и Wildcard по конкурентным реселлерским ценам.
Шаг 2 — Открытие IIS Manager
На Windows Server нажмите Win + R, введите inetmgr и нажмите Enter. Либо найдите "IIS" в меню Пуск и выберите Internet Information Services (IIS) Manager.

ℹ️ Не нашли IIS Manager? Следуйте по пути: Server Manager → Добавить роли и компоненты → Веб-сервер (IIS). На настольных версиях Windows: Панель управления → Программы → Включение или отключение компонентов Windows → Internet Information Services.
Шаг 3 — Открытие Server Certificates
В левой панели IIS Manager нажмите на имя вашего сервера. В центральной панели найдите значок "Server Certificates" и дважды щёлкните по нему.

Шаг 4 — Создание CSR и загрузка файла сертификата
Если вы ещё не создали CSR, выполните этот шаг перед загрузкой файла сертификата.
Как создать CSR
- Нажмите "Create Certificate Request…" в панели Actions.
- Заполните поля Distinguished Name — Common Name должен точно совпадать с именем домена, который вы защищаете.
- Установите длину ключа 2048 (минимум) или 4096 для более надёжного шифрования.
- Сохраните .txt-файл — содержимое нужно будет вставить в форму заказа CA.
Вернитесь к этому шагу после того, как CA выдаст сертификат.
Установка сертификата — Complete Certificate Request
Нажмите "Complete Certificate Request…" в панели Actions, чтобы открыть мастер установки.

⚠️ Создали CSR на другом сервере? Complete Certificate Request в этом случае не сработает. Экспортируйте .pfx-файл (PKCS#12) — включая закрытый ключ — с исходного сервера и воспользуйтесь опцией 'Import' в панели Actions раздела Server Certificates.
Если вы переходите с cPanel, Plesk или Linux-сервера на IIS: напрямую импортировать существующий сертификат в IIS не получится. Сначала конвертируйте сертификат в формат .pfx (PKCS#12) с помощью команды OpenSSL или онлайн-конвертера PEM→PFX, а затем воспользуйтесь Server Certificates → Import в IIS. Команда OpenSSL:
openssl pkcs12 -export -out sertifikat.pfx -inkey privatnyy.key -in sertifikat.crt -certfile cabundle.crt
Шаг 5 — Выбор файла сертификата и ввод Friendly Name
Откроется окно "Specify Certificate Authority Response". Заполните три поля следующим образом:
| Поле | Что вводить |
|---|---|
| File name (.cer) | Выберите файл .crt через кнопку "…". IIS принимает как расширение .crt, так и .cer. |
| Friendly name | Короткая метка, по которой вы узнаете сертификат — напр. primer.ru-2025. Это имя вы выберете на шаге 6. |
| Certificate store | Выберите "Personal". Если сертификат потом не отображается, попробуйте "Web Hosting". |

Нажмите "OK" после заполнения всех полей. Сертификат теперь загружен на сервер. Он пока не обслуживает HTTPS-трафик — это происходит на следующем шаге.
Шаг 6 — Создание HTTPS-привязки на порту 443
Сертификат установлен, но IIS ещё не знает, какой сайт должен его использовать. Необходимо создать привязку, которая соединит порт 443 с вашим сайтом и сертификатом.
Щёлкните правой кнопкой мыши по своему сайту в левой панели и выберите "Edit Bindings…". В окне Site Bindings нажмите "Add".

| Поле | Значение / Описание |
|---|---|
| Type | https |
| IP Address | All Unassigned — или конкретный IP, назначенный вашему серверу, если применимо |
| Port | 443 |
| Hostname | Введите доменное имя точно так, как оно указано в сертификате (напр. www.primer.ru) |
| SNI | Установите флажок "Require Server Name Indication", если несколько сайтов используют этот IP-адрес |
| SSL Certificate | Выберите Friendly Name, введённый на шаге 5 |

Нажмите "OK" для сохранения. Ваш сайт теперь доступен по HTTPS.
Что такое SNI и когда его следует включать?
SNI (Server Name Indication) — расширение TLS, позволяющее одному IP-адресу обслуживать несколько SSL-сертификатов — по одному на каждый hostname. Без SNI IIS может обслуживать только один сертификат на IP-адрес, независимо от hostname.
Включайте SNI в следующих случаях: (а) вы размещаете несколько HTTPS-сайтов на одном серверном IP, или (б) ваш сервер находится за общим балансировщиком нагрузки. IIS 7.5 и более ранние версии не поддерживают SNI — для каждого домена требуется отдельный IP. IIS 8 и более новые версии поддерживают SNI нативно.
Шаг 7 — Переадресация с HTTP на HTTPS
Добавление HTTPS-привязки не перенаправляет http://-трафик автоматически. Без переадресации часть посетителей — и боты поисковых систем — продолжат попадать на незашифрованную версию вашего сайта.
Переадресация с помощью модуля URL Rewrite для IIS (рекомендуется)
- Скачайте и установите модуль URL Rewrite от Microsoft (бесплатно, через Web Platform Installer или прямую загрузку).
- Выберите сайт в IIS Manager и дважды щёлкните по "URL Rewrite".
- Выберите "Add Rule(s)" → "Blank Rule". Назовите правило "HTTP to HTTPS".
- Match URL: Pattern = .*
- Добавьте условие: {HTTPS} соответствует шаблону "^OFF$".
- Действие: Перенаправить на https://{HTTP_HOST}/{R:0}, Тип перенаправления: Постоянное (301).
Почему это важно для SEO и доверия пользователей: Google использует HTTPS как сигнал ранжирования с 2014 года. Более конкретно: Chrome и Edge помечают каждую HTTP-страницу как «Не защищено» — это подрывает доверие пользователей и увеличивает показатель отказов; оба фактора косвенно негативно влияют на SEO. Переадресация 301 также передаёт ссылочный вес от HTTP-URL к HTTPS-версии.
Шаг 8 — Проверка установки SSL
Не предполагайте, что всё работает — проверьте. Выполните эти три проверки перед тем, как считать установку завершённой:
- Значок замка в браузере: Откройте https://www.primer.ru в Chrome или Edge. Значок замка в адресной строке подтверждает, что HTTPS активен.
- SSL Checker: Используйте онлайн-инструмент проверки SSL, чтобы убедиться в корректности цепочки сертификатов, даты истечения срока действия и издателя.
- Тест SSL Labs: Перейдите на ssllabs.com/ssltest и введите своё доменное имя. Стремитесь к оценке A или A+ — более низкая оценка, как правило, указывает на проблему конфигурации, которую необходимо устранить.
✅ Нет значка замка? Наиболее частая причина — неполная цепочка сертификатов: промежуточный сертификат (CA Bundle) не установлен. Установите его в хранилище сертификатов IIS через certlm.msc с помощью MMC, а затем перезапустите IIS.
