Як встановити SSL-сертифікат на IIS
Щоб встановити SSL-сертифікат на IIS, відкрийте IIS Manager, перейдіть до Server Certificates і завантажте файл .crt через опцію Complete Certificate Request. Потім клацніть правою кнопкою миші на своєму сайті, оберіть Edit Bindings > Add і створіть HTTPS-прив'язку на порту 443. Від створення CSR до перевірки встановлення весь процес займає близько 15 хвилин у більшості середовищ Windows Server. Цей посібник пояснює кожен крок зі скріншотами та повністю охоплює найпоширеніші помилки, а також переадресацію з HTTP на HTTPS.
Хочете продавати SSL-сертифікати своїм клієнтам?
З програмою для реселерів SSL від Domain Name API ви можете пропонувати сертифікати DV, OV, EV і Wildcard через єдиний API.
Що потрібно підготувати перед встановленням SSL на IIS
Перш ніж відкривати IIS Manager, переконайтеся, що все нижченаведене готове. Якщо будь-який елемент відсутній, ви ризикуєте застрягти посередині процесу встановлення.
| Вимога | Опис |
|---|---|
| Доступ до IIS Manager | Internet Information Services Manager має бути встановлений та працювати на Windows Server. |
| Права адміністратора | Для встановлення сертифікатів вам потрібні права локального адміністратора або адміністратора домену на сервері. Стандартні облікові записи користувачів не можуть встановлювати сертифікати. |
| CSR (Certificate Signing Request) | Створюється на кроці 2 через IIS Manager. CSR також генерує закритий ключ — обидва мають залишатися на тому самому сервері. |
| Файл SSL-сертифіката (.crt) | Видається CA (Центром сертифікації) після завершення перевірки домену. |
| CA Bundle / Проміжний сертифікат | Надається CA разом із сертифікатом. Обов'язковий для повного ланцюжка довіри — не пропускайте цей крок. |
| Закритий ключ | Генерується автоматично при створенні CSR в IIS. Залишається на сервері і не може бути завантажений як окремий файл. |
⚠️ Якщо ви створили CSR на іншому сервері, ви не можете використовувати метод Complete Certificate Request. Натомість експортуйте .pfx-файл (сертифікат + закритий ключ разом) з оригінального сервера і скористайтеся опцією 'Import' в IIS.
Крок 1 — Вибір правильного SSL-сертифіката
SSL-сертифікати — не універсальне рішення. Тип, який вам потрібен, залежить від кількості доменів, які ви хочете захистити, та рівня перевірки особистості, якого очікують ваші користувачі.
| Тип | Що перевіряється | Для кого підходить | Приклад |
|---|---|---|---|
| DV SSL | Лише право власності на домен | Блог, особистий сайт, малий бізнес | www.pryklad.ua |
| OV SSL | Домен + ідентифікація організації | Корпоративні сайти, SaaS-платформи | Корпоративний сайт |
| EV SSL | Розширена перевірка компанії | Електронна комерція, фінанси — максимальний рівень довіри | checkout.pryklad.ua |
| Wildcard SSL | Домен + усі піддомени першого рівня | Хостинг-провайдери, структури з багатьма піддоменами | *.pryklad.ua |
Для хостинг-провайдерів і реселерів доменів Wildcard SSL, як правило, є найбільш практичним вибором — один сертифікат охоплює всі піддомени, і не потрібно оновлювати кожен з них окремо.
Продаєте SSL своїм клієнтам?
Програма для реселерів SSL від Domain Name API надає вам доступ до сертифікатів DV, OV, EV і Wildcard за конкурентними реселерськими цінами.
Крок 2 — Відкриття IIS Manager
На Windows Server натисніть Win + R, введіть inetmgr і натисніть Enter. Або знайдіть "IIS" у меню Пуск і оберіть Internet Information Services (IIS) Manager.

ℹ️ Не знаходите IIS Manager? Дотримуйтесь цього шляху: Server Manager → Додати ролі та компоненти → Веб-сервер (IIS). На настільних версіях Windows: Панель керування → Програми → Увімкнення або вимкнення компонентів Windows → Internet Information Services.
Крок 3 — Відкриття Server Certificates
У лівій панелі IIS Manager натисніть на ім'я вашого сервера. У центральній панелі знайдіть значок "Server Certificates" і двічі клацніть по ньому.

Крок 4 — Створення CSR і завантаження файлу сертифіката
Якщо ви ще не створили CSR, виконайте цей крок перед завантаженням файлу сертифіката.
Як створити CSR
- Натисніть "Create Certificate Request…" у панелі Actions.
- Заповніть поля Distinguished Name — Common Name має точно збігатися з іменем домену, який ви захищаєте.
- Встановіть довжину ключа 2048 (мінімум) або 4096 для надійнішого шифрування.
- Збережіть .txt-файл — вміст потрібно буде вставити у форму замовлення CA.
Поверніться до цього кроку після того, як CA видасть сертифікат.
Встановлення сертифіката — Complete Certificate Request
Натисніть "Complete Certificate Request…" у панелі Actions, щоб відкрити майстер встановлення.

⚠️ Створили CSR на іншому сервері? Complete Certificate Request у цьому випадку не спрацює. Експортуйте .pfx-файл (PKCS#12) — включаючи закритий ключ — з оригінального сервера і скористайтеся опцією 'Import' у панелі Actions розділу Server Certificates.
Якщо ви переходите з cPanel, Plesk або Linux-сервера на IIS: безпосередньо імпортувати наявний сертифікат до IIS не вийде. Спочатку конвертуйте сертифікат у формат .pfx (PKCS#12) за допомогою команди OpenSSL або онлайн-конвертера PEM→PFX, а потім скористайтеся Server Certificates → Import в IIS. Команда OpenSSL:
openssl pkcs12 -export -out sertyfikat.pfx -inkey zakrytyy.key -in sertyfikat.crt -certfile cabundle.crt
Крок 5 — Вибір файлу сертифіката і введення Friendly Name
Відкриється вікно "Specify Certificate Authority Response". Заповніть три поля наступним чином:
| Поле | Що вводити |
|---|---|
| File name (.cer) | Оберіть файл .crt через кнопку "…". IIS приймає як розширення .crt, так і .cer. |
| Friendly name | Коротка мітка, за якою ви впізнаєте сертифікат — напр. pryklad.ua-2025. Це ім'я ви оберете на кроці 6. |
| Certificate store | Оберіть "Personal". Якщо сертифікат потім не відображається, спробуйте "Web Hosting". |

Натисніть "OK" після заповнення всіх полів. Сертифікат тепер завантажено на сервер. Він ще не обслуговує HTTPS-трафік — це відбувається на наступному кроці.
Крок 6 — Створення HTTPS-прив'язки на порту 443
Сертифікат встановлено, але IIS ще не знає, який сайт має його використовувати. Потрібно створити прив'язку, яка з'єднає порт 443 з вашим сайтом і сертифікатом.
Клацніть правою кнопкою миші на своєму сайті у лівій панелі і натисніть "Edit Bindings…". У вікні Site Bindings натисніть "Add".

| Поле | Значення / Опис |
|---|---|
| Type | https |
| IP Address | All Unassigned — або конкретна IP-адреса, призначена вашому серверу, якщо застосовно |
| Port | 443 |
| Hostname | Введіть доменне ім'я точно так, як воно зазначено в сертифікаті (напр. www.pryklad.ua) |
| SNI | Встановіть прапорець "Require Server Name Indication", якщо кілька сайтів використовують цю IP-адресу |
| SSL Certificate | Оберіть Friendly Name, введений на кроці 5 |

Натисніть "OK" для збереження. Ваш сайт тепер доступний через HTTPS.
Що таке SNI і коли його слід вмикати?
SNI (Server Name Indication) — розширення TLS, яке дозволяє одній IP-адресі обслуговувати кілька SSL-сертифікатів — по одному на кожен hostname. Без SNI IIS може обслуговувати лише один сертифікат на IP-адресу, незалежно від hostname.
Вмикайте SNI у таких випадках: (а) ви розміщуєте кілька HTTPS-сайтів на одній серверній IP-адресі, або (б) ваш сервер знаходиться за спільним балансувальником навантаження. IIS 7.5 і більш ранні версії не підтримують SNI — для кожного домену потрібна окрема IP-адреса. IIS 8 і новіші версії підтримують SNI нативно.
Крок 7 — Переадресація з HTTP на HTTPS
Додавання HTTPS-прив'язки не перенаправляє http://-трафік автоматично. Без переадресації частина відвідувачів — і боти пошукових систем — продовжуватимуть потрапляти на незашифровану версію вашого сайту.
Переадресація за допомогою модуля URL Rewrite для IIS (рекомендовано)
- Завантажте та встановіть модуль URL Rewrite від Microsoft (безкоштовно, через Web Platform Installer або пряме завантаження).
- Оберіть сайт в IIS Manager і двічі клацніть по "URL Rewrite".
- Оберіть "Add Rule(s)" → "Blank Rule". Назвіть правило "HTTP to HTTPS".
- Match URL: Pattern = .*
- Додайте умову: {HTTPS} відповідає шаблону "^OFF$".
- Дія: Перенаправити на https://{HTTP_HOST}/{R:0}, Тип переадресації: Постійна (301).
Чому це важливо для SEO і довіри користувачів: Google використовує HTTPS як сигнал ранжування з 2014 року. Конкретніше: Chrome і Edge позначають кожну HTTP-сторінку як «Не захищено» — це підриває довіру користувачів і збільшує показник відмов; обидва фактори непрямо негативно впливають на SEO. Переадресація 301 також передає посилальну вагу від HTTP-URL до HTTPS-версії.
Крок 8 — Перевірка встановлення SSL
Не припускайте, що все працює — перевірте. Виконайте ці три перевірки, перш ніж вважати встановлення завершеним:
- Значок замка у браузері: Відкрийте https://www.pryklad.ua у Chrome або Edge. Значок замка в адресному рядку підтверджує, що HTTPS активний.
- SSL Checker: Скористайтеся онлайн-інструментом перевірки SSL, щоб перевірити ланцюжок сертифікатів, термін дії та видавця.
- Тест SSL Labs: Перейдіть на ssllabs.com/ssltest і введіть своє доменне ім'я. Прагніть до оцінки A або A+ — нижча оцінка зазвичай вказує на проблему конфігурації, яку потрібно усунути.
✅ Немає значка замка? Найпоширеніша причина — неповний ланцюжок сертифікатів: проміжний сертифікат (CA Bundle) не встановлено. Встановіть його у сховище сертифікатів IIS через certlm.msc за допомогою MMC, а потім перезапустіть IIS.
