Как установить сертификат ssl на сервер Windows

Обновлено: 02.07.2024

Используйте инструкции на этой странице, чтобы использовать IIS 10 для установки SSL-сертификата на сервере Windows Server 2016. Если вам нужна более общая информация о том, как обновить ваши SSL-сертификаты, ознакомьтесь с этой статьей.

Установить сертификат SSL

На сервере, где вы создали файл CSR, сохраните файл сертификата, который вы получили по электронной почте, с расширением .cer.

Примечание. Используйте Блокнот, чтобы преобразовать файл сертификата в кодировке Base64 в файл .cer.

Теперь, когда вы успешно установили свой SSL-сертификат, вам нужно назначить сертификат соответствующему сайту.

Назначить сертификат SSL

В диспетчере информационных служб Интернета (IIS) в дереве меню "Подключения" (левая панель) разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и выберите сайт, для защиты которого вы хотите использовать SSL-сертификат

IP-адрес. В раскрывающемся списке выберите IP-адрес сайта или выберите Все неназначенные.

Порт: введите порт 443. Порт, через который трафик защищен SSL, — это порт 443.

Теперь ваш SSL-сертификат установлен, и веб-сайт настроен на прием безопасных соединений:

TRUSTZONE: рекомендации

TRUSTOZONE была основана в 2004 году и с тех пор прошла долгий путь, став
ведущим поставщиком сертификатов SSL/TLS в Скандинавии. Мы также лидируем в
предоставлении масштабируемых решений PKI и IoT для шифрования, аутентификации,
автоматического управления жизненным циклом сертификатов.

Предлагаемые нами решения отвечают требованиям различных типов компаний
и организаций. Ваш бизнес обязательно получит полную палитру
оптимизированных для совместимости, полностью масштабируемых продуктов и решений для сертификатов.

В настоящее время компании в значительной степени полагаются на интернет-транзакции и
взаимодействия. Как никогда важно иметь внутренний
рабочий процесс сертификатов, который гарантирует, что все SSL-сертификаты всегда поддерживаются
в актуальном состоянии.

Мы в TRUSTZONE знаем все о том, как сложно компаниям любого
размера управлять своими SSL-сертификатами.

Поэтому мы разработали собственный инструмент мониторинга сертификатов под названием SSL360™,
платформу, помогающую решать все вопросы, связанные с мониторингом SSL и управлением SSL.

Более 16 лет опыта работы с PKI, SSL/TLS и управлением сертификатами в
нашей сфере деятельности действительно что-то значат. Более 3000 компаний и более
более 80% датского банковского сектора защищены сертификатами TRUSTZONE.

Следующие инструкции помогут вам выполнить процесс установки SSL в Microsoft IIS 7. Если у вас более одного сервера или устройства, вам потребуется установить сертификат на каждый сервер или устройство, которое необходимо защитить. Если вы еще не создали свой сертификат и не завершили процесс проверки, обратитесь к нашим инструкциям по созданию CSR и проигнорируйте приведенные ниже шаги.

Что вам понадобится

1. Сертификат вашего сервера

Это сертификат, который вы получили от ЦС для своего домена. Возможно, вам было отправлено это по электронной почте. Если нет, вы можете загрузить его, посетив панель управления учетной записью и нажав на свой заказ.

2. Ваши промежуточные сертификаты

Эти файлы позволяют устройствам, подключающимся к вашему серверу, идентифицировать выдавший ЦС. Таких сертификатов может быть несколько. Если вы получили свой сертификат в ZIP-архиве, он также должен содержать промежуточные сертификаты, которые иногда называют пакетом ЦС. Если нет, загрузите соответствующий пакет ЦС для своего сертификата.

3. Ваш закрытый ключ

Этот файл должен находиться на вашем сервере или в вашем распоряжении, если вы создали CSR с помощью бесплатного генератора. На некоторых платформах, таких как Microsoft IIS, закрытый ключ не виден вам сразу, но сервер отслеживает его.

Инструкции по установке

1. Запустите диспетчер IIS

Нажмите «Пуск», «Панель управления», «Администрирование», а затем выберите «Диспетчер информационных служб Интернета (IIS)».

2. Выберите имя вашего сервера

В меню "Подключения" слева выберите имя сервера (хост), на который вы хотите установить сертификат.

3. Перейдите в раздел «Безопасность»

В центральном меню нажмите значок "Сертификаты сервера" в разделе "Безопасность" внизу.

4. Нажмите «Завершить запрос сертификата»

В правом меню "Действия" нажмите "Завершить запрос сертификата".

5. Перейдите к сертификату сервера

В мастере полного запроса сертификата нажмите «…», чтобы просмотреть и выбрать файл сертификата вашего сервера, который ранее был сохранен на рабочем столе вашего сервера.

6. Назовите свой сертификат

Введите понятное имя, которое является внутренним справочным именем, чтобы позже отличить файл. Мы рекомендуем указывать название ЦС и дату истечения срока действия.

7. Нажмите ОК

Нажмите "ОК", и вновь установленный сертификат должен появиться в обновленном списке сертификатов сервера.

Примечание. Если на этом этапе вы получите сообщение об ошибке, обратитесь к разделу «Известные сообщения об ошибках в IIS 7» ниже.

Привязка вашего сертификата к вашему веб-сайту

Теперь выполните оставшиеся шаги, которые помогут вам назначить или привязать сертификат SSL к соответствующему веб-сайту.

1. Доступ к папке "Сайты"

В меню "Подключения" слева разверните имя своего сервера, разверните папку "Сайты" и выберите сайт (например, веб-сайт по умолчанию), который вы хотите защитить.

2. Щелкните Привязки…

В правом меню "Действия" нажмите "Привязки..."

3. Нажмите Добавить

В разделе «Привязки сайта…» нажмите «Добавить».Примечание. Если у вас уже создана соответствующая привязка сайта, нажмите «Изменить» и соответствующим образом измените SSL-сертификат.

4. Введите следующее

В поле "Добавить привязки к сайту" введите следующую информацию:

5. Нажмите "ОК"

Нажмите "ОК", чтобы завершить привязку SSL-сертификата к действующему веб-сайту.

Чтобы более тщательно проверить настройки вашего сервера, воспользуйтесь нашим инструментом проверки SSL или обратитесь за дополнительной помощью в наш отдел по работе с клиентами.

Известные сообщения об ошибках в IIS 7

Известно, что Microsoft IIS 7 генерирует одно из двух сообщений об ошибках: «Не удается найти запрос на сертификат, связанный с этим файлом сертификата. Запрос сертификата должен быть выполнен на том компьютере, где он был создан». И «Встречено неверное значение тега ASN1».

Если вы уверены, что это тот же сервер, на котором вы сгенерировали CSR, ошибка может быть бессмысленной, а сертификат может быть установлен правильно. Чтобы проверить это, закройте диалоговое окно и нажмите «F5», чтобы обновить список сертификатов сервера. Теперь новый сертификат должен быть в списке, и вы можете перейти к следующему шагу.

Однако, если вновь установленный сертификат не отображается в списке сертификатов сервера, мы рекомендуем повторно выпустить сертификат с новым CSR и повторить попытку процесса установки. Вот несколько инструкций, которые помогут вам в процессе перевыпуска:

1. Создайте новый CSR

2. Доступ к панели управления учетной записью

Войдите в панель управления учетной записью.

3. Выберите активный сертификат

Выберите активный сертификат.

4. Нажмите «Перевыпустить сертификат»

Нажмите кнопку "Перевыпустить сертификат".

5. Вставьте новый CSR

Вставьте новый CSR.

6. Полная проверка домена

Повторно отправьте и завершите проверку домена (если требуется).

7. Сохраните новый сертификат

Сохраните новый сертификат SSL на рабочем столе вашего сервера.

8. Повторите инструкции по установке

Повторите процесс установки SSL, следуя приведенным выше инструкциям.

Инструкции по ручной промежуточной установке

Если промежуточные сертификаты не были успешно установлены и настроены соответствующим образом, см. приведенные ниже инструкции по их ручной установке в Microsoft IIS 7.

1. Откройте свой промежуточный сертификат

Дважды щелкните ранее сохраненный промежуточный сертификат на рабочем столе вашего сервера и нажмите "Открыть".

2.Нажмите Установить сертификат…

В сертификате на вкладке «Общие» нажмите «Установить сертификат…», чтобы начать процесс импорта, а затем нажмите «Далее».

3. Выберите Поместить все сертификаты в следующее хранилище

Выберите Поместить все сертификаты в следующее хранилище и нажмите Обзор.

4. Установите флажок Показать физические магазины

Установите флажок Показать физические магазины.

5. Разверните промежуточные центры сертификации

Разверните папку "Промежуточные центры сертификации".

6. Выберите локальный компьютер

Выберите «Локальный компьютер», нажмите «ОК», затем «Готово».

Создание CSR и установка SSL-сертификата на вашем сервере Windows 2016

Используйте инструкции на этой странице, чтобы использовать IIS 10 для создания запроса на подпись сертификата (CSR), а затем для установки SSL-сертификата на вашем сервере Windows 2016.

Чтобы создать запрос на подпись сертификата (CSR), см. IIS 10: создание CSR в Windows Server 2016.

Если вам нужен более простой способ создания CSR, а также установки SSL-сертификатов и управления ими, мы рекомендуем использовать утилиту DigiCert® Certificate Utility для Windows. Вы можете использовать утилиту DigiCert для создания CSR и установки SSL-сертификата. См. раздел Windows Server 2016: создание CSR и установка SSL-сертификата с помощью утилиты DigiCert.

1. IIS 10: как создать CSR на Windows Server 2016

Использование IIS 10 для создания CSR

В меню "Пуск" Windows введите Диспетчер информационных служб Интернета (IIS) и откройте его.

В диспетчере информационных служб Интернета (IIS) в дереве меню "Подключения" (левая панель) найдите и щелкните имя сервера.

На главной странице имени сервера (центральная панель) в разделе IIS дважды щелкните Сертификаты сервера.

На странице "Сертификаты сервера" (центральная панель) в меню "Действия" (правая панель) нажмите ссылку "Создать запрос сертификата...".

В мастере запроса сертификата на странице "Свойства отличительного имени" укажите информацию, указанную ниже, и нажмите "Далее":

тд>

На странице "Свойства поставщика службы криптографии" укажите приведенную ниже информацию и нажмите "Далее".

Общее имя:	Введите полное доменное имя (FQDN) (например, www.example.com< /em>).
Организация:	Введите официально зарегистрированное название вашей компании (например, YourCompany, Inc.).
Организационная единица:	Название вашего отдела в организации. Часто эта запись будет указана как «ИТ», «Веб-безопасность»
или просто оставлена пустой.
Город/населенный пункт:	Введите город, в котором юридически расположена ваша компания.
Штат/провинция:	Введите штат/ провинция, в которой юридически зарегистрирована ваша компания.
Страна:	В раскрывающемся списке выберите страну, где юридически зарегистрирована ваша компания.

Криптографические	В раскрывающемся списке выберите Microsoft RSA SChannel Cryptographic Provider,
поставщик услуг:	если у вас нет определенного поставщика криптографических услуг.
Длина в битах:	В раскрывающемся списке вниз выберите 2048, если у вас нет особой причины
для выбора большей длины в битах.

На странице "Имя файла" в разделе "Укажите имя файла для запроса сертификата" щелкните поле "...", чтобы указать папку, в которой вы хотите сохранить CSR.

Примечание. Запомните выбранное вами имя файла и место, где вы сохранили файл csr.txt.Если вы просто введете имя файла без просмотра его местоположения, ваш CSR окажется в C:\Windows\System32.

Когда закончите, нажмите Готово.

Используйте текстовый редактор (например, Блокнот), чтобы открыть файл. Затем скопируйте текст, включая теги -----BEGIN NEW CERTIFICATE REQUEST----- и -----END NEW CERTIFICATE REQUEST-----, и вставьте его в форму заказа DigiCert.

Готов заказать ваш SSL-сертификат

После получения SSL-сертификата от DigiCert вы можете установить его.

2. IIS 10: как установить и настроить сертификат SSL в Windows Server 2016

Если вы еще не создали CSR и не заказали сертификат, см. IIS 10: как создать CSR для Windows Server 2016.

После того, как мы проверим и выдадим ваш SSL-сертификат, вам необходимо установить его на сервер Windows 2016, на котором был создан CSR. Затем вам нужно настроить сервер для его использования.

(Одиночный сертификат) Как установить SSL-сертификат и настроить сервер для его использования

Установить SSL-сертификат

На сервере, где вы создали CSR, сохраните файл сертификата SSL .cer (например, your_domain_com.cer), отправленный вам DigiCert.

В меню "Пуск" Windows введите Диспетчер информационных служб Интернета (IIS) и откройте его.

На главной странице имени сервера (центральная панель) в разделе IIS дважды щелкните Сертификаты сервера.

На странице "Сертификаты сервера" (центральная панель) в меню "Действия" (правая панель) нажмите ссылку "Завершить запрос сертификата...".

В мастере завершения запроса сертификата на странице "Указать ответ центра сертификации" выполните следующие действия и нажмите кнопку "ОК":

td>

Имя файла, содержащее	Щелкните поле …, найдите и выберите файл .cer
Ответ центра сертификации:	(например, your_domain_com.cer), который DigiCert отправил вам.
Понятное имя:	Введите понятное имя для сертификата.
Понятное имя не является частью сертификата; вместо этого он используется для идентификации сертификата.
Мы рекомендуем добавить DigiCert и дату истечения срока действия в конце понятного имени, например: yoursite-digicert-( дата истечения срока действия).
Эта информация помогает определить издателя и дату истечения срока действия для каждого сертификата. Это также помогает различать несколько сертификатов с одним и тем же доменным именем.
Выберите хранилище сертификатов	В раскрывающемся списке выберите Веб-хостинг.
для нового сертификата:

Назначить SSL-сертификат

В диспетчере информационных служб Интернета (IIS) в дереве меню "Подключения" (левая панель) разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и выберите сайт, для защиты которого вы хотите использовать SSL-сертификат.

На главной странице веб-сайта в меню "Действия" (правая панель) в разделе "Редактировать сайт" нажмите ссылку "Привязки...".

В окне "Привязки сайта" нажмите "Добавить".

В окне "Добавить привязки к сайту" выполните следующие действия и нажмите "ОК":

Теперь ваш SSL-сертификат установлен, а веб-сайт настроен на прием безопасных подключений.

(Несколько сертификатов) Как установить SSL-сертификаты и настроить сервер для их использования с помощью SNI

Эти инструкции объясняют, как установить несколько сертификатов SSL и назначить их с помощью SNI. Процесс разделен на две части следующим образом:

Установить первый SSL-сертификат

Выполните этот первый набор инструкций только один раз для первого SSL-сертификата.

На сервере, где вы создали CSR, сохраните файл сертификата SSL .cer (например, your_domain_com.cer), отправленный вам DigiCert.

В меню "Пуск" Windows введите Диспетчер информационных служб Интернета (IIS) и откройте его.

На главной странице имени сервера (центральная панель) в разделе IIS дважды щелкните Сертификаты сервера.

td>

Имя файла, содержащее	Щелкните поле …, найдите и выберите файл .cer
Ответ центра сертификации:	(например, your_domain_com.cer), который DigiCert отправил вам.
Понятное имя:	Введите понятное имя для сертификата.
Понятное имя не является частью сертификата; вместо этого он используется для идентификации сертификата.
Мы рекомендуем добавить DigiCert и дату истечения срока действия в конце понятного имени, например: yoursite-digicert-( дата истечения срока действия).
Эта информация помогает определить издателя и дату истечения срока действия для каждого сертификата. Это также помогает различать несколько сертификатов с одним и тем же доменным именем.
Выберите хранилище сертификатов	В раскрывающемся списке выберите Веб-хостинг.
для нового сертификата:

В окне "Привязки сайта" нажмите "Добавить".

В окне "Добавить привязки к сайту" выполните следующие действия и нажмите "ОК":

Ваш первый SSL-сертификат установлен, а веб-сайт настроен на прием безопасных подключений.

Установите дополнительные SSL-сертификаты

Чтобы установить и назначить каждый дополнительный SSL-сертификат, при необходимости повторите приведенные ниже шаги.

На сервере, где вы создали CSR, сохраните файл сертификата SSL .cer (например, your_domain_com.cer), отправленный вам DigiCert.

В меню "Пуск" Windows введите Диспетчер информационных служб Интернета (IIS) и откройте его.

На главной странице имени сервера (центральная панель) в разделе IIS дважды щелкните Сертификаты сервера.

td>

Имя файла, содержащее	Щелкните поле …, найдите и выберите файл .cer
Ответ центра сертификации:	(например, your_domain_com.cer), который DigiCert отправил вам.
Понятное имя:	Введите понятное имя для сертификата.
Понятное имя не является частью сертификата; вместо этого он используется для идентификации сертификата.
Мы рекомендуем добавить DigiCert и дату истечения срока действия в конце понятного имени, например: yoursite-digicert-( дата истечения срока действия).
Эта информация помогает определить издателя и дату истечения срока действия для каждого сертификата. Это также помогает различать несколько сертификатов с одним и тем же доменным именем.
Выберите хранилище сертификатов	В раскрывающемся списке выберите Веб-хостинг.
для нового сертификата:

В окне "Привязки сайта" нажмите "Добавить".

В окне "Добавить привязки к сайту" выполните следующие действия и нажмите "ОК":

Вы успешно установили еще один SSL-сертификат и настроили веб-сайт для принятия безопасных подключений.

Пробная установка

Если ваш веб-сайт находится в открытом доступе, наш инструмент диагностики установки DigiCert® SSL поможет вам диагностировать распространенные проблемы.

Сегодня протокол SSL защищает Интернет, используется почти всеми корпорациями и предприятиями и является первым шагом в обеспечении безопасности пользователей. SSL — это способ защитить логины и формы, которые вы вводите, от непреднамеренного перехвата третьей стороной в вашей сети. Если ваш веб-сайт не использует SSL, мы рекомендуем внедрить его как можно скорее, и вы можете использовать наше руководство, чтобы сделать это!

Создание запроса на сертификат (CSR)

Прежде чем заказывать SSL, вам необходимо создать запрос сертификата для центра сертификации, чтобы выдать SSL.

Шаг 1. Для начала вам нужно открыть IIS. Если у вас нет ярлыка для него, вы можете найти на своем компьютере файл inetmgr.exe и открыть его таким образом. Здесь вы нажмете на имя своего сервера:

Шаг 2. Затем дважды нажмите «Сертификаты сервера».

Шаг 3. Сделав это, вы готовы создать запрос сертификата.

С правой стороны выберите «Создать запрос сертификата»

На этом этапе вас попросят предоставить информацию о сертификате и компании, запрашивающей сертификат.

После того, как вы заполните это, нажмите "Далее".

Появится следующий экран:

Заказ SSL

Теперь вы готовы заказать SSL-сертификат!

Шаг 1. Перейдите к выбранному вами поставщику SSL, будь то GlobalSign, Liquid Web или любой другой центр сертификации.

Отлично! Теперь вы создали запрос на сертификат и завершили его с центром сертификации, и ваш новый SSL-сертификат готов к установке.

Установка сертификата в IIS

Шаг 1. Откройте IIS/inetmgr.exe и перейдите к серверу, как мы это делали вначале.

Шаг 2. Перейдите к сертификатам сервера. Теперь вместо выбора «Создать запрос сертификата» вы выберете «Завершить запрос сертификата»

Отлично! Теперь вы сгенерировали запрос сертификата, выполнили его и установили свой сертификат на свой веб-сервер. Теперь вам нужно привязать сертификат к вашему веб-сайту.

Привязка SSL-сертификата к веб-сайту

Шаг 2. Щелкните правой кнопкой мыши свой сайт и выберите «Редактировать привязки». Если щелкнуть сайт, справа появятся привязки.

Откроется окно следующего вида:

Вы захотите установить IP-адрес на своем хосте. В моем случае All Unassigned.
Порт должен быть автоматически установлен на 443, если нет, сделайте это. (Это порт, определенный для защищенной связи.)

Тестирование вашего нового SSL

Вот оно! Вы успешно установили новый SSL для своего сайта, который работает как с www, так и без него. Поздравляем! Теперь вы можете выполнить эти шаги, чтобы защитить все свои веб-сайты и приложения.

Если у вас есть управляемый сервер Windows VPS в Liquid Web, мы можем помочь вам в этом процессе и диагностировать любые проблемы, с которыми вы могли столкнуться. Мы также помогаем с SSL для самоуправляемых клиентов, если они покупают SSL у Liquid Web.

Читайте также: