Як встановити SSL-сертифікат на IIS

Щоб встановити SSL-сертифікат на IIS, відкрийте IIS Manager, перейдіть до Server Certificates і завантажте файл .crt через опцію Complete Certificate Request. Потім клацніть правою кнопкою миші на своєму сайті, оберіть Edit Bindings > Add і створіть HTTPS-прив'язку на порту 443. Від створення CSR до перевірки встановлення весь процес займає близько 15 хвилин у більшості середовищ Windows Server. Цей посібник пояснює кожен крок зі скріншотами та повністю охоплює найпоширеніші помилки, а також переадресацію з HTTP на HTTPS.

Хочете продавати SSL-сертифікати своїм клієнтам?

З програмою для реселерів SSL від Domain Name API ви можете пропонувати сертифікати DV, OV, EV і Wildcard через єдиний API.

Переглянути рішення для реселерів SSL →

Що потрібно підготувати перед встановленням SSL на IIS

Перш ніж відкривати IIS Manager, переконайтеся, що все нижченаведене готове. Якщо будь-який елемент відсутній, ви ризикуєте застрягти посередині процесу встановлення.

Вимога Опис
Доступ до IIS Manager Internet Information Services Manager має бути встановлений та працювати на Windows Server.
Права адміністратора Для встановлення сертифікатів вам потрібні права локального адміністратора або адміністратора домену на сервері. Стандартні облікові записи користувачів не можуть встановлювати сертифікати.
CSR (Certificate Signing Request) Створюється на кроці 2 через IIS Manager. CSR також генерує закритий ключ — обидва мають залишатися на тому самому сервері.
Файл SSL-сертифіката (.crt) Видається CA (Центром сертифікації) після завершення перевірки домену.
CA Bundle / Проміжний сертифікат Надається CA разом із сертифікатом. Обов'язковий для повного ланцюжка довіри — не пропускайте цей крок.
Закритий ключ Генерується автоматично при створенні CSR в IIS. Залишається на сервері і не може бути завантажений як окремий файл.

⚠️ Якщо ви створили CSR на іншому сервері, ви не можете використовувати метод Complete Certificate Request. Натомість експортуйте .pfx-файл (сертифікат + закритий ключ разом) з оригінального сервера і скористайтеся опцією 'Import' в IIS.

Крок 1 — Вибір правильного SSL-сертифіката

SSL-сертифікати — не універсальне рішення. Тип, який вам потрібен, залежить від кількості доменів, які ви хочете захистити, та рівня перевірки особистості, якого очікують ваші користувачі.

Тип Що перевіряється Для кого підходить Приклад
DV SSL Лише право власності на домен Блог, особистий сайт, малий бізнес www.pryklad.ua
OV SSL Домен + ідентифікація організації Корпоративні сайти, SaaS-платформи Корпоративний сайт
EV SSL Розширена перевірка компанії Електронна комерція, фінанси — максимальний рівень довіри checkout.pryklad.ua
Wildcard SSL Домен + усі піддомени першого рівня Хостинг-провайдери, структури з багатьма піддоменами *.pryklad.ua

Для хостинг-провайдерів і реселерів доменів Wildcard SSL, як правило, є найбільш практичним вибором — один сертифікат охоплює всі піддомени, і не потрібно оновлювати кожен з них окремо.

Продаєте SSL своїм клієнтам?

Програма для реселерів SSL від Domain Name API надає вам доступ до сертифікатів DV, OV, EV і Wildcard за конкурентними реселерськими цінами.

Переглянути ціни для реселерів SSL →

Крок 2 — Відкриття IIS Manager

На Windows Server натисніть Win + R, введіть inetmgr і натисніть Enter. Або знайдіть "IIS" у меню Пуск і оберіть Internet Information Services (IIS) Manager.

Як встановити SSL-сертифікат на IIS

ℹ️ Не знаходите IIS Manager? Дотримуйтесь цього шляху: Server Manager → Додати ролі та компоненти → Веб-сервер (IIS). На настільних версіях Windows: Панель керування → Програми → Увімкнення або вимкнення компонентів Windows → Internet Information Services.

Крок 3 — Відкриття Server Certificates

У лівій панелі IIS Manager натисніть на ім'я вашого сервера. У центральній панелі знайдіть значок "Server Certificates" і двічі клацніть по ньому.

Як встановити SSL-сертифікат на IIS

Крок 4 — Створення CSR і завантаження файлу сертифіката

Якщо ви ще не створили CSR, виконайте цей крок перед завантаженням файлу сертифіката.

Як створити CSR

  1. Натисніть "Create Certificate Request…" у панелі Actions.
  2. Заповніть поля Distinguished Name — Common Name має точно збігатися з іменем домену, який ви захищаєте.
  3. Встановіть довжину ключа 2048 (мінімум) або 4096 для надійнішого шифрування.
  4. Збережіть .txt-файл — вміст потрібно буде вставити у форму замовлення CA.

Поверніться до цього кроку після того, як CA видасть сертифікат.

Встановлення сертифіката — Complete Certificate Request

Натисніть "Complete Certificate Request…" у панелі Actions, щоб відкрити майстер встановлення.

Як встановити SSL-сертифікат на IIS

⚠️ Створили CSR на іншому сервері? Complete Certificate Request у цьому випадку не спрацює. Експортуйте .pfx-файл (PKCS#12) — включаючи закритий ключ — з оригінального сервера і скористайтеся опцією 'Import' у панелі Actions розділу Server Certificates.

Якщо ви переходите з cPanel, Plesk або Linux-сервера на IIS: безпосередньо імпортувати наявний сертифікат до IIS не вийде. Спочатку конвертуйте сертифікат у формат .pfx (PKCS#12) за допомогою команди OpenSSL або онлайн-конвертера PEM→PFX, а потім скористайтеся Server Certificates → Import в IIS. Команда OpenSSL:

openssl pkcs12 -export -out sertyfikat.pfx -inkey zakrytyy.key -in sertyfikat.crt -certfile cabundle.crt

Крок 5 — Вибір файлу сертифіката і введення Friendly Name

Відкриється вікно "Specify Certificate Authority Response". Заповніть три поля наступним чином:

Поле Що вводити
File name (.cer) Оберіть файл .crt через кнопку "…". IIS приймає як розширення .crt, так і .cer.
Friendly name Коротка мітка, за якою ви впізнаєте сертифікат — напр. pryklad.ua-2025. Це ім'я ви оберете на кроці 6.
Certificate store Оберіть "Personal". Якщо сертифікат потім не відображається, спробуйте "Web Hosting".

Як встановити SSL-сертифікат на IIS

Натисніть "OK" після заповнення всіх полів. Сертифікат тепер завантажено на сервер. Він ще не обслуговує HTTPS-трафік — це відбувається на наступному кроці.

Крок 6 — Створення HTTPS-прив'язки на порту 443

Сертифікат встановлено, але IIS ще не знає, який сайт має його використовувати. Потрібно створити прив'язку, яка з'єднає порт 443 з вашим сайтом і сертифікатом.

Клацніть правою кнопкою миші на своєму сайті у лівій панелі і натисніть "Edit Bindings…". У вікні Site Bindings натисніть "Add".

Як встановити SSL-сертифікат на IIS

Поле Значення / Опис
Type https
IP Address All Unassigned — або конкретна IP-адреса, призначена вашому серверу, якщо застосовно
Port 443
Hostname Введіть доменне ім'я точно так, як воно зазначено в сертифікаті (напр. www.pryklad.ua)
SNI Встановіть прапорець "Require Server Name Indication", якщо кілька сайтів використовують цю IP-адресу
SSL Certificate Оберіть Friendly Name, введений на кроці 5

Як встановити SSL-сертифікат на IIS

Натисніть "OK" для збереження. Ваш сайт тепер доступний через HTTPS.

Що таке SNI і коли його слід вмикати?

SNI (Server Name Indication) — розширення TLS, яке дозволяє одній IP-адресі обслуговувати кілька SSL-сертифікатів — по одному на кожен hostname. Без SNI IIS може обслуговувати лише один сертифікат на IP-адресу, незалежно від hostname.

Вмикайте SNI у таких випадках: (а) ви розміщуєте кілька HTTPS-сайтів на одній серверній IP-адресі, або (б) ваш сервер знаходиться за спільним балансувальником навантаження. IIS 7.5 і більш ранні версії не підтримують SNI — для кожного домену потрібна окрема IP-адреса. IIS 8 і новіші версії підтримують SNI нативно.

Крок 7 — Переадресація з HTTP на HTTPS

Додавання HTTPS-прив'язки не перенаправляє http://-трафік автоматично. Без переадресації частина відвідувачів — і боти пошукових систем — продовжуватимуть потрапляти на незашифровану версію вашого сайту.

Переадресація за допомогою модуля URL Rewrite для IIS (рекомендовано)

  1. Завантажте та встановіть модуль URL Rewrite від Microsoft (безкоштовно, через Web Platform Installer або пряме завантаження).
  2. Оберіть сайт в IIS Manager і двічі клацніть по "URL Rewrite".
  3. Оберіть "Add Rule(s)" → "Blank Rule". Назвіть правило "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Додайте умову: {HTTPS} відповідає шаблону "^OFF$".
  6. Дія: Перенаправити на https://{HTTP_HOST}/{R:0}, Тип переадресації: Постійна (301).

Чому це важливо для SEO і довіри користувачів: Google використовує HTTPS як сигнал ранжування з 2014 року. Конкретніше: Chrome і Edge позначають кожну HTTP-сторінку як «Не захищено» — це підриває довіру користувачів і збільшує показник відмов; обидва фактори непрямо негативно впливають на SEO. Переадресація 301 також передає посилальну вагу від HTTP-URL до HTTPS-версії.

Крок 8 — Перевірка встановлення SSL

Не припускайте, що все працює — перевірте. Виконайте ці три перевірки, перш ніж вважати встановлення завершеним:

  • Значок замка у браузері: Відкрийте https://www.pryklad.ua у Chrome або Edge. Значок замка в адресному рядку підтверджує, що HTTPS активний.
  • SSL Checker: Скористайтеся онлайн-інструментом перевірки SSL, щоб перевірити ланцюжок сертифікатів, термін дії та видавця.
  • Тест SSL Labs: Перейдіть на ssllabs.com/ssltest і введіть своє доменне ім'я. Прагніть до оцінки A або A+ — нижча оцінка зазвичай вказує на проблему конфігурації, яку потрібно усунути.

✅ Немає значка замка? Найпоширеніша причина — неповний ланцюжок сертифікатів: проміжний сертифікат (CA Bundle) не встановлено. Встановіть його у сховище сертифікатів IIS через certlm.msc за допомогою MMC, а потім перезапустіть IIS.