Как установить SSL-сертификат на IIS

Чтобы установить SSL-сертификат на IIS, откройте IIS Manager, перейдите в Server Certificates и загрузите файл .crt через опцию Complete Certificate Request. Затем щёлкните правой кнопкой мыши по своему сайту, выберите Edit Bindings > Add и создайте HTTPS-привязку на порту 443. От создания CSR до проверки установки весь процесс занимает около 15 минут в большинстве сред Windows Server. Это руководство объясняет каждый шаг со скриншотами и полностью охватывает наиболее распространённые ошибки, а также переадресацию с HTTP на HTTPS.

Хотите продавать SSL-сертификаты своим клиентам?

С программой для реселлеров SSL от Domain Name API вы можете предлагать сертификаты DV, OV, EV и Wildcard через единый API.

Посмотреть решения для реселлеров SSL →

Что нужно подготовить перед установкой SSL на IIS

Прежде чем открывать IIS Manager, убедитесь, что всё нижеперечисленное готово. Если какой-либо элемент отсутствует, вы рискуете застрять в середине процесса установки.

Требование Описание
Доступ к IIS Manager Internet Information Services Manager должен быть установлен и работать на Windows Server.
Права администратора Для установки сертификатов вам нужны права локального администратора или администратора домена на сервере. Учётные записи обычных пользователей не могут устанавливать сертификаты.
CSR (Certificate Signing Request) Создаётся на шаге 2 через IIS Manager. CSR также генерирует закрытый ключ — оба должны оставаться на одном сервере.
Файл SSL-сертификата (.crt) Выдаётся CA (Центром сертификации) после завершения проверки домена.
CA Bundle / Промежуточный сертификат Предоставляется CA вместе с сертификатом. Обязателен для полной цепочки доверия — не пропускайте этот шаг.
Закрытый ключ Генерируется автоматически при создании CSR в IIS. Остаётся на сервере и не может быть загружен как отдельный файл.

⚠️ Если вы создали CSR на другом сервере, вы не сможете использовать метод Complete Certificate Request. Вместо этого экспортируйте .pfx-файл (сертификат + закрытый ключ вместе) с исходного сервера и воспользуйтесь опцией 'Import' в IIS.

Шаг 1 — Выбор подходящего SSL-сертификата

SSL-сертификаты — не универсальное решение. Тип, который вам нужен, зависит от количества защищаемых доменов и уровня проверки личности, которого ожидают ваши пользователи.

Тип Что проверяется Для кого подходит Пример
DV SSL Только владение доменом Блог, личный сайт, малый бизнес www.primer.ru
OV SSL Домен + идентификация организации Корпоративные сайты, SaaS-платформы Корпоративный сайт
EV SSL Расширенная проверка компании Электронная коммерция, финансы — максимальный уровень доверия checkout.primer.ru
Wildcard SSL Домен + все поддомены первого уровня Хостинг-провайдеры, структуры со множеством поддоменов *.primer.ru

Для хостинг-провайдеров и реселлеров доменов Wildcard SSL, как правило, является наиболее практичным выбором — один сертификат покрывает все поддомены, и не нужно обновлять каждый из них отдельно.

Продаёте SSL своим клиентам?

Программа для реселлеров SSL от Domain Name API даёт вам доступ к сертификатам DV, OV, EV и Wildcard по конкурентным реселлерским ценам.

Посмотреть цены для реселлеров SSL →

Шаг 2 — Открытие IIS Manager

На Windows Server нажмите Win + R, введите inetmgr и нажмите Enter. Либо найдите "IIS" в меню Пуск и выберите Internet Information Services (IIS) Manager.

Как установить SSL-сертификат на IIS

ℹ️ Не нашли IIS Manager? Следуйте по пути: Server Manager → Добавить роли и компоненты → Веб-сервер (IIS). На настольных версиях Windows: Панель управления → Программы → Включение или отключение компонентов Windows → Internet Information Services.

Шаг 3 — Открытие Server Certificates

В левой панели IIS Manager нажмите на имя вашего сервера. В центральной панели найдите значок "Server Certificates" и дважды щёлкните по нему.

Как установить SSL-сертификат на IIS

Шаг 4 — Создание CSR и загрузка файла сертификата

Если вы ещё не создали CSR, выполните этот шаг перед загрузкой файла сертификата.

Как создать CSR

  1. Нажмите "Create Certificate Request…" в панели Actions.
  2. Заполните поля Distinguished Name — Common Name должен точно совпадать с именем домена, который вы защищаете.
  3. Установите длину ключа 2048 (минимум) или 4096 для более надёжного шифрования.
  4. Сохраните .txt-файл — содержимое нужно будет вставить в форму заказа CA.

Вернитесь к этому шагу после того, как CA выдаст сертификат.

Установка сертификата — Complete Certificate Request

Нажмите "Complete Certificate Request…" в панели Actions, чтобы открыть мастер установки.

Как установить SSL-сертификат на IIS

⚠️ Создали CSR на другом сервере? Complete Certificate Request в этом случае не сработает. Экспортируйте .pfx-файл (PKCS#12) — включая закрытый ключ — с исходного сервера и воспользуйтесь опцией 'Import' в панели Actions раздела Server Certificates.

Если вы переходите с cPanel, Plesk или Linux-сервера на IIS: напрямую импортировать существующий сертификат в IIS не получится. Сначала конвертируйте сертификат в формат .pfx (PKCS#12) с помощью команды OpenSSL или онлайн-конвертера PEM→PFX, а затем воспользуйтесь Server Certificates → Import в IIS. Команда OpenSSL:

openssl pkcs12 -export -out sertifikat.pfx -inkey privatnyy.key -in sertifikat.crt -certfile cabundle.crt

Шаг 5 — Выбор файла сертификата и ввод Friendly Name

Откроется окно "Specify Certificate Authority Response". Заполните три поля следующим образом:

Поле Что вводить
File name (.cer) Выберите файл .crt через кнопку "…". IIS принимает как расширение .crt, так и .cer.
Friendly name Короткая метка, по которой вы узнаете сертификат — напр. primer.ru-2025. Это имя вы выберете на шаге 6.
Certificate store Выберите "Personal". Если сертификат потом не отображается, попробуйте "Web Hosting".

Как установить SSL-сертификат на IIS

Нажмите "OK" после заполнения всех полей. Сертификат теперь загружен на сервер. Он пока не обслуживает HTTPS-трафик — это происходит на следующем шаге.

Шаг 6 — Создание HTTPS-привязки на порту 443

Сертификат установлен, но IIS ещё не знает, какой сайт должен его использовать. Необходимо создать привязку, которая соединит порт 443 с вашим сайтом и сертификатом.

Щёлкните правой кнопкой мыши по своему сайту в левой панели и выберите "Edit Bindings…". В окне Site Bindings нажмите "Add".

Как установить SSL-сертификат на IIS

Поле Значение / Описание
Type https
IP Address All Unassigned — или конкретный IP, назначенный вашему серверу, если применимо
Port 443
Hostname Введите доменное имя точно так, как оно указано в сертификате (напр. www.primer.ru)
SNI Установите флажок "Require Server Name Indication", если несколько сайтов используют этот IP-адрес
SSL Certificate Выберите Friendly Name, введённый на шаге 5

Как установить SSL-сертификат на IIS

Нажмите "OK" для сохранения. Ваш сайт теперь доступен по HTTPS.

Что такое SNI и когда его следует включать?

SNI (Server Name Indication) — расширение TLS, позволяющее одному IP-адресу обслуживать несколько SSL-сертификатов — по одному на каждый hostname. Без SNI IIS может обслуживать только один сертификат на IP-адрес, независимо от hostname.

Включайте SNI в следующих случаях: (а) вы размещаете несколько HTTPS-сайтов на одном серверном IP, или (б) ваш сервер находится за общим балансировщиком нагрузки. IIS 7.5 и более ранние версии не поддерживают SNI — для каждого домена требуется отдельный IP. IIS 8 и более новые версии поддерживают SNI нативно.

Шаг 7 — Переадресация с HTTP на HTTPS

Добавление HTTPS-привязки не перенаправляет http://-трафик автоматически. Без переадресации часть посетителей — и боты поисковых систем — продолжат попадать на незашифрованную версию вашего сайта.

Переадресация с помощью модуля URL Rewrite для IIS (рекомендуется)

  1. Скачайте и установите модуль URL Rewrite от Microsoft (бесплатно, через Web Platform Installer или прямую загрузку).
  2. Выберите сайт в IIS Manager и дважды щёлкните по "URL Rewrite".
  3. Выберите "Add Rule(s)" → "Blank Rule". Назовите правило "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Добавьте условие: {HTTPS} соответствует шаблону "^OFF$".
  6. Действие: Перенаправить на https://{HTTP_HOST}/{R:0}, Тип перенаправления: Постоянное (301).

Почему это важно для SEO и доверия пользователей: Google использует HTTPS как сигнал ранжирования с 2014 года. Более конкретно: Chrome и Edge помечают каждую HTTP-страницу как «Не защищено» — это подрывает доверие пользователей и увеличивает показатель отказов; оба фактора косвенно негативно влияют на SEO. Переадресация 301 также передаёт ссылочный вес от HTTP-URL к HTTPS-версии.

Шаг 8 — Проверка установки SSL

Не предполагайте, что всё работает — проверьте. Выполните эти три проверки перед тем, как считать установку завершённой:

  • Значок замка в браузере: Откройте https://www.primer.ru в Chrome или Edge. Значок замка в адресной строке подтверждает, что HTTPS активен.
  • SSL Checker: Используйте онлайн-инструмент проверки SSL, чтобы убедиться в корректности цепочки сертификатов, даты истечения срока действия и издателя.
  • Тест SSL Labs: Перейдите на ssllabs.com/ssltest и введите своё доменное имя. Стремитесь к оценке A или A+ — более низкая оценка, как правило, указывает на проблему конфигурации, которую необходимо устранить.

✅ Нет значка замка? Наиболее частая причина — неполная цепочка сертификатов: промежуточный сертификат (CA Bundle) не установлен. Установите его в хранилище сертификатов IIS через certlm.msc с помощью MMC, а затем перезапустите IIS.