Как установить ssl сертификат на сервер windows

Обновлено: 03.07.2024

В этой статье описывается, как включить безопасный слой sockets (SSL) для всех клиентов, которые взаимодействуют с веб-сайтом в Microsoft IIS (IIS).

Оригинальная версия продукта: службы IIS
Исходный номер КБ: 298805

Аннотация

В этой статье представлены следующие темы:

  • Настройка и включить сертификаты сервера, чтобы клиенты могли быть уверены в том, что ваш веб-сайт действителен, и что любая информация, которую они отправляют вам, остается конфиденциальной и конфиденциальной.
  • Использование сторонних сертификатов для обеспечения безопасного слоя sockets (SSL), а также общего обзора процесса, используемого для создания запроса на подписание сертификата (CSR), который используется для получения сертификата стороннее.
  • Как включить подключение SSL для вашего веб-сайта.
  • Как обеспечить соблюдение SSL для всех подключений и установить необходимую длину шифрования между вашими клиентами и веб-сайтом.

Функции безопасности SSL на веб-сервере можно использовать для двух типов проверки подлинности. Вы можете использовать сертификат сервера для проверки подлинности веб-сайта перед передачей персональных данных, например номера кредитной карты. Кроме того, вы можете использовать клиентские сертификаты для проверки подлинности пользователей, запрашивают информацию на вашем веб-сайте.

В этой статье предполагается, что для проверки подлинности веб-сервера используется сторонний орган сертификации (CA).

Чтобы включить проверку сертификата SSL-сервера и обеспечить уровень безопасности, необходимый вашим клиентам, необходимо получить сертификат от сторонного ЦС. Сертификаты, которые выдают вашей организации сторонним ЦС, как правило, привязаны к веб-серверу, а точнее к веб-сайту, к которому необходимо связать SSL. Вы можете создать собственный сертификат на сервере IIS, но если вы это сделаете, ваши клиенты должны неявно доверять вам как органу сертификации.

Статья предполагает следующее:

  • Вы установили IIS.
  • Вы создали и опубликовали веб-сайт, который необходимо защитить с помощью SSL.

Получение сертификата

Как правило, следующие сведения о компьютере включаются в CSR, который вы создаете:

  • Организация
  • Организационный блок
  • Страна
  • Состояние
  • Локальность
  • Общее имя

Создание CSR

Доступ к консоли управления IiS Microsoft (MMC). Для этого щелкните правой кнопкой мыши "Мой компьютер" и выберите Управление. Это открывает консоль управления компьютером. Расширь раздел "Службы и приложения". Найдите IIS и расширь консоль IIS.

Выберите определенный веб-сайт, на котором необходимо установить сертификат сервера. Щелкните правой кнопкой мыши сайт и выберите Свойства.

Выберите Создание нового сертификата и выберите Далее.

Выберите Подготовьте запрос сейчас, но отправьте его позже и выберите Далее.

В поле Имя введите имя, которое можно запомнить. Он будет по умолчанию называться веб-сайтом, для которого создается CSR.

При генерации CSR необходимо указать немного длины. Длина ключа шифрования определяет силу зашифрованного сертификата, который отправляется в сторонний ЦС. Чем больше длина бита, тем сильнее шифрование. Большинство сторонних CAs предпочитают не менее 1024 битов.

В разделе Сведения организации введите сведения об организации и подразделении организации. Это должно быть точно, так как вы представляете эти учетные данные стороннее ЦС и вы должны соответствовать их лицензированию сертификата. Выберите Далее, чтобы получить доступ к разделу Общее имя вашего сайта.

Раздел Общее имя сайта отвечает за привязку сертификата к веб-сайту. Для сертификатов SSL введите имя хост-компьютера с доменным именем. Для серверов Интрасети можно использовать имя NetBIOS компьютера, на который размещен сайт. Выберите Далее, чтобы получить доступ к географической информации.

Сохраните файл как .txt файл.

Подтвердите сведения о запросе. Выберите Далее, чтобы закончить, и выйти мастер сертификата веб-сервера.

Запрос сертификата

Установка сертификата

После того как сторонний ЦС завершит ваш запрос на сертификат сервера, вы получите его по электронной почте или скачайте сайт. Сертификат должен быть установлен на веб-сайте, на котором необходимо обеспечить безопасную связь.

Чтобы установить сертификат, выполните следующие действия:

Обеспечение подключений SSL

Теперь, когда установлен сертификат сервера, вы можете обеспечить безопасность каналов связи SSL с клиентами веб-сервера. Сначала необходимо включить порт 443 для безопасной связи с веб-сайтом. Для этого выполните следующие действия:

Теперь, когда включен порт 443, можно применять SSL-подключения. Для этого выполните следующие действия:

Выберите вкладку Directory Security. В разделе Безопасная связь теперь доступна редактирование. Нажмите Изменить.

Выберите Require Secure Channel (SSL).

Куда и зачем мне нужен был SSL сертификат

Начнём с того, что SSL (Secure Sockets Layer) сертификат защищает данные пользователей, которые передаются по сети. Для интеграции с одним из известных маркетплейсов мне нужно было использовать web-сервис 1С и на тестовом Windows Server, на котором был развёрнут тестовый сервер 1С, был поднят IIS (internet Information Services). Веб сервер Windows.

  • Установка Windows Server
  • Установка Ролей ISS и DNS
  • Установка Сервера 1С
  • Подключение модуля расширения веб-сервера
  • Скачиваем программу LetsEncrypt для Windows
  • Настраиваем DNS
  • Настраиваем шлюз (в моём случае это был Kerio Control)
  • Выпускаем SSL сертификат LetsEncrypt
  • Проверяем привязку в Диспетчере служб IIS
  • Проверяем планировщик заданий на наличие таска для перевыпуска сертификата

Установку Windows Server и сервера 1С я тут рассматривать не буду, так как. Во-первых Windows Server установка мало чем отличается от установки обычной десктопной винды, а по 1С можно почитать эту статью. Во-вторых я хочу рассказать именно про то как установить SSL сертификат от Let's Encrypt на Windows Server IIS. Начнём!

Установка SSL сертификата на IIS

Скачиваем программу LetsEncrypt-Win-Simple

Сайт загрузки win-acme

Скачиваем и распаковываем архив в директорию на жёстком диске. Для выпуска сертификата нам нужно будет запустить из каталога файл wacs.exe. Но это чуть позже.

запускаем из каталога файл wacs.exe

Если мы сейчас попытаемся выпустить сертификат, то получим предупреждение

Добавим веб-сайт в Диспетчере служб IIS

Запускаем Диспетчере служб IIS через панель управления - администрирование. Или через WIN + R

Диспетчер служб IIS

Добавляем записи в Диспетчере DNS

Выбираем сервер, правой кнопкой по каталогу сайтов и нажимаем Добавить веб-сайт. Указываем каталог для нового сайта. Дальше нам нужно создать псевдоним CNAME в зоне прямого просмотра (forward lookup zones).

Диспетчер DNS. Создание псевдонима CNAME

Так как домен у меня находится у хостинг провайдера, то я на всякий случай указал в Диспетчере DNS его NS сервера. В свою очередь у хостинг провайдера прописываем A запись с нашим выделенным IP адресом. Позже мы настроим правило для того чтобы входящее соединение перебрасывало на нужный сервер.

Диспетчер DNS. Прописываем NS сервера

Выпуск SSL сертификата Let's Encrypt

И так. У нас есть 1С сервер с расширением веб-сервера, добавили DNS и CNAME записи, указали A запись. Теперь запускаем WACS.EXE и вводим букву N для инициирования выпуска сертификата. Далее выбираем на какой домен будем выпускать сертификат, даём пару соглашений (y) и вводим email адрес, куда нам будут приходить уведомления в случае каких-либо проблем (Enter email for notifications about problems and abuse).

Wacs.exe

Вводим email адрес для получения уведомлений в случае возникновения проблем с сертификатом

Wacs.exe - завершение установки SSL сертификата для IIS

Завершение выпуска SSL сертификата Let's Encrypt для IIS

В принципе всё готово. По части сертификата. Программа автоматически добавляет привязку 443 SSL порта к сайту в Диспетчере служб IIS и в Планировщике заданий таск на автоматический перевыпуск сертификата, но можно в этом убедиться самостоятельно

Диспетчер служб IIS просмотр установленной привязки к 443 порту нашего SSL сертификата Let s Encrypt

Диспетчер служб IIS просмотр установленной привязки к 443 порту нашего SSL сертификата Let s Encrypt

Настройка шлюза (роутера)

Если вам необходимо установить сертификат на Windows Server, давайте разберёмся, как это сделать. Если вы ещё не получили сертификат, то можете ознакомиться с инструкцией «Как сгенерировать запрос на SSL-сертификат в Windows Server».

Если файлы сертификата у вас на руках, приступаем к установке.

Добавляем сертификат на сервер

Для того чтобы загрузить сертификат, перейдите в Диспетчер серверов ( Пуск — Администрирование — Диспетчер серверов ).


Затем откройте Диспетчер служб IIS ( Средства — Диспетчер служб IIS ) и кликните на Сертификаты сервера .


Далее способ установки зависит от того, где вы генерировали CSR:

1) Если Вы генерировали CSR на том же сервере, куда устанавливаете сертификат.

В меню Действия кликните пункт Запрос установки сертификатов .

Добавьте .crt файл, в поле имя — укажите домен сайта и нажмите ОК .


2) Если Вы генерировали CSR через личный кабинет/самостоятельно, то предварительно экспортируйте сертификат с ключом в .pfx файл.

Чтобы добавить сгенерированный .pfx файл на сервер, в меню Действия нажимаем на кнопку Импортировать .

В открывшемся окне укажите расположение файла и пароль. Пароль задается при генерировании файла .pfx.


Сертификат загружен. В обоих вариантах, после добавления файла, сертификат будет доступен в разделе Сертификаты сервера . Осталось настроить доменное имя.


Подключаем SSL-сертификат на домен

Переходим в настройки сайта. В меню Подключения выберите сайт и кликните на пункт Привязки .


В открывшемся окне нажимаем Добавить и заполняем информацию:

Имя узла — доменное имя.

IP address — IP-адрес сайта (для сертификата следует выделять отдельный IP для каждого сайта)

(Single Certificate) Как установить SSL сертификат и настроить сервер на использование SSL сертификата.

1 На том же сервере где вы генерировали запрос CSR, сохраните свой файл с сертификатом SSL certificate .cer (e.g., your_domain_com.cer) , который вы получили от сертификационного центра.

2 В Windows start menu, наберите Internet Information Services (IIS) Manager и откройте его.

3 В менеджере Internet Information Services (IIS) Manager, в панели слева Connections menu tree нажмите на имя сервер (server name).


4 На основной странице раздела server name (центральная панель), кликните дважды в секции IIS на раздел Server Certificates.

5 На странице раздела Server Certificates page (центральная панель),в меню действия в правой панели (Actions menu),кликнуть на Complete Certificate Request.


6 In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:

File name containing the Click the … box and browse to and select the .cer file certificate authority's response: (e.g., your_domain_com.cer) that DigiCert sent to you.

Friendly name: Type a friendly name for the certificate. The friendly name is not part of the certificate; instead, it is used to identify the certificate. We recommend that you add DigiCert and the expiration date to the end of your friendly name, for example: yoursite-digicert-(expiration date). This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name.

Select a certificate store In the drop-down list, select Web Hosting. for the new certificate:


7 Now that you've successfully installed your SSL certificate, you need to assign the certificate to the appropriate site.

Assign SSL Certificate

8 In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), expand the name of the server on which the certificate was installed. Then expand Sites and click the site you want to use the SSL certificate to secure.


9 On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.

10 In the Site Bindings window, click Add.


11 In the Add Site Bindings window, do the following and then click OK:

IP address: In the drop-down list, select the IP address of the site or select All Unassigned.

Port: Type port 443. The port over which traffic is secure by SSL is port 443.


12 Your SSL certificate is now installed, and the website configured to accept secure connections.


(Multiple Certificates) How to install your SSL certificates and configure the server to use them using SNI This instructions explains how to install multiple SSL certificates and assign them using SNI. The process is split into two parts as follows:

Installing and Configuring Your First SSL Certificate

Installing and Configuring All Additional Certificates

Install First SSL Certificate

Do this first set of instructions only once, for the first SSL certificate.

1 On the server where you created the CSR, save the SSL certificate .cer file (e.g., your_domain_com.cer) that DigiCert sent to you.

2 In the Windows start menu, type Internet Information Services (IIS) Manager and open it.

3 In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), locate and click the server name.


4 On the server name Home page (center pane), in the IIS section, double-click Server Certificates.

5 On the Server Certificates page (center pane), in the Actions menu (right pane), click the Complete Certificate Request… link.


6 In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:

File name containing the Click the … box and browse to and select the .cer file certificate authority's response: (e.g., your_domain_com.cer) that DigiCert sent to you.

Friendly name: Type a friendly name for the certificate.

The friendly name is not part of the certificate; instead, it is used to identify the certificate.

We recommend that you add DigiCert and the expiration date to the end of your friendly name, for example: yoursite-digicert-(expiration date).

This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name.

Select a certificate store In the drop-down list, select Web Hosting. for the new certificate:


7 Now that you've successfully installed your SSL certificate, you need to assign the certificate to the appropriate site.

8 In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), expand the name of the server on which the certificate was installed. Then expand Sites and click the site you want to use the SSL certificate to secure.


9 On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.

10 In the Site Bindings window, click Add.


11 In the Add Site Bindings window, do the following and then click OK:


12 Your first SSL certificate is now installed, and the website configured to accept secure connections. Install Additional SSL Certificates

To install and assign each additional SSL certificate, repeat the steps below, as needed.

1 On the server where you created the CSR, save the SSL certificate .cer file (e.g., your_domain_com.cer) that DigiCert sent to you.

2 In the Windows start menu, type Internet Information Services (IIS) Manager and open it.

3 In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), locate and click the server name.


4 On the server name Home page (center pane), in the IIS section, double-click Server Certificates.

5 On the Server Certificates page (center pane), in the Actions menu (right pane), click the Complete Certificate Request… link.


6 In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:

File name containing the Click the … box and browse to and select the .cer file

certificate authority's response: (e.g., your_domain_com.cer) that DigiCert sent to you.

Friendly name: Type a friendly name for the certificate.

The friendly name is not part of the certificate; instead, it is used to identify the certificate.

We recommend that you add DigiCert and the expiration date to the end of your friendly name, for example: yoursite-digicert-(expiration date).

This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name.

Select a certificate store In the drop-down list, select Web Hosting.

for the new certificate:


7 Now that you've successfully installed your SSL certificate, you need to assign the certificate to the appropriate site.

8 In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), expand the name of the server on which the certificate was installed. Then expand Sites and click the site you want to use the SSL certificate to secure.


9 On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.

10 In the Site Bindings window, click Add.


11 In the Add Site Bindings window, do the following and then click OK:

IP address: In the drop-down list, select the IP address of the site or select All Unassigned.

Port: Type port 443. The port over which traffic is secure by SSL is port 443.

Host name: Type the host name that you want to secure.

Require Server After you enter the host name, check this box.

Name Indication: This is required for all additional certificates/sites, after you've installed the first certificate and secured the primary site.


12 You have successfully installed another SSL certificate and configured the website to accept secure connections.

Читайте также: