How to install a let’s encrypt ssl/tls certificate on windows server 2019 with internet information services (iis)

Включить https на iis

Включение компонент веб-сервера

По умолчанию в операционной среде Windows компоненты веб-сервера не установлены. В зависимости от версии установка может несущественно различаться. Мы будем рассматривать два варианта – это распространенный дистрибутив Windows 10, если планируются использовать для пробного включения шифрования протокола и Windows Server 2016/2018, если уже планируется непосредственное разворачивание публикации в продуктивной зоне.

1.1. Windows 10

Включение компонентов веб-сервера IIS в операционной системе Windows 10 выполняется достаточно просто. Для начала нужно открыть раздел «Программы и компоненты» («Programs and Features») в панели управления (Control panel). Сделать можно это несколькими способами:

  • Нажать сочетание клавиш Win + R и в открывшемся окне ввести «appwiz.cpl» и нажать ОК.

  • Открыть панель управления (Control panel) и выбрать пункт меню Программы – Программы и компоненты (Programs – Programs and features).

В окне «Программы и компоненты» («Programs and Features») нажмите на кнопку «Включение и отключение компонентов Windows» («Turn Windows features on or off»).

Когда откроется окно «Компоненты Windows» («Windows features») в нем необходимо будет проставить флажки для следующих элементов:

  • Службы IIS

    • Службы интернета

      • Компоненты разработки приложений

        • Расширение ISAPI

        • Фильтры ISAPI

    • Средства управления веб-сайтом

      Консоль управления IIS

После этого нажимайте на кнопку «OK» и дождитесь завершения выполнения операции. После того как включение компонент будет выполнено, можно переходить к пункту «2. Публикация информационной базы».

1.2 Windows Server 2012 R2, 2016 и 2019

Настройка компонент для Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019 одинаковая и все настройки производятся в диспетчере серверов (Server Manager).

Откройте диспетчер серверов (Server Manager) и нажмите Управление – Добавить роли и компоненты (Manage – Add Roles and Features).

В ответ на нажатие откроется окно мастера добавления ролей и компонентов (Add Roles and Features).

В этом окне нажмите два раза «Далее» («Next») пока мастер не переключится на страницу ролей сервера (Server Roles).

Во вкладке роли сервера (Server Roles) установите флажок «Web Server IIS». Так как эта роль зависит от другой роли ( IIS Management Console), то будет предложено установить ее дополнительно. Это можно сделать с помощью нажатия кнопки «Добавить компоненты» (Add Features) в открывшемся окне. После чего нажимаем кнопку «Далее» («Next») пока мастер не дойдет до вкладки «Роль веб-сервера IIS» («Web Server Role IIS»). На этой вкладке нажимайте кнопку «Далее» («Next») и попадете на вкладку «Службу ролей» («Role Services»). Во вкладке нужно найти пункт «Application Development» и выбрать в нем с помощью флажков пункты «ISAPI Extensions» и «ISAPI Filters». Как только закончите с установкой флажков нажимайте «Далее» («Next») и «Установить» («Install»).

На этом установка веб-сервера завершена. Можно переходить к настройкам сертификатов.

How to Install an SSL Certificate on IIS 10

Follow the steps below to configure your SSL certificate on IIS 10.

  1. Download and extract the certificate file that you’ve received from the Certificate Authority. Look for the file with the .cer extension and save it to your server’s directory
  2. From your keyboard, press Win + r and type inetmgr and click OK to open to the Internet Services (IIS) Manager. You can also launch the IIS manager via Start > Administrative Tools > Internet Information Services (IIS) Manager
  3. On the left, you will find the Connections section. Select the server and double-click the Server Certificates icon from the Home page
  4. On the right, locate the Actions section and select Complete Certificate Request
  5. Fill in the Specify Certificate Authority Response window as below:
    • File name containing the certification authority’s response – locate and indicate the .cer file that you received from the Certificate authority
    • Friendly Name – type your domain name, or any other easy-to-remember name
    • Select a certificate store for the new certificate – Personal. Click OK
  6. Now you have to assign your certificate to your website. Go back to the Connections menu and expand the Sites folder. Select the site you want to protect
  7. Next, locate and click the Bindings option. You’ll find it in the Actions section, under the Edit Site
  8. In the next window click Add
  9. Another window will appear. Here select the following options:
    • Type – HTTPS
    • IP address – All Unassigned, or your IP address
    • Port – 443
    • SSL certificate – the friendly name of the imported certificate
      If you plan to add multiple SSL Certificates to the same server, check the Require Server Name Indication box. Click OK and Close.
  10. Click Restart under the Manage Website

You’ve successfully installed the SSL Certificate on IIS 10 server.

Note: If your SSL Certificate file extension is *.crt (PEM-encoded format), you may also need to import root and intermediate certificates to the server via Microsoft Management Control (MMC). For the *.cer and *p7b files (PKCS#7 format) you don’t need to perform additional actions.

Сертификаты сервера

Чтобы активизировать на веб-сервере средства безопасности SSL (Secure Sockets Layer), необходимо получить и установить действительный сертификат сервера. Сертификаты сервера являются цифровыми идентификаторами, содержащими сведения о веб-сервере и организации, поддерживающей содержимое веб-узлов на сервере. Сертификат позволяет пользователям проверять подлинность сервера и подлинность содержимого веб-узлов, а также устанавливать защищенные подключения. Сертификат сервера также содержит открытый ключ, который используется для установления безопасного соединения между клиентом и сервером.

Успешное применение сертификата сервера для идентификации зависит от того, доверяет ли пользователь сведениям, содержащимся в сертификате. Например, пользователь, входящий на веб-узел вашей компании, может отказаться от приглашения предоставить сведения о кредитной карте даже после просмотра сведений из сертификата сервера вашей компании. Это особенно часто происходит с новыми или не слишком хорошо известными организациями.

По этой причине сертификаты иногда выпускаются и поддерживаются независимыми организациями, которым доверяют обе стороны. Эти организации называют службами сертификации. Основная ответственность службы сертификации заключается в подтверждении подлинности получателя сертификата, т.е. в подтверждении правильности данных, содержащихся в сертификате.

Другим способом, применение которого зависит от взаимоотношений вашей организации с пользователями веб-узлов, является выпуск собственных сертификатов сервера. Например, в интрасети большой корпорации, в которой обрабатываются данные о заработной плате и премиях сотрудников, руководство может принять решение о поддержании собственного сертификата сервера и принять на себя ответственность за проверку контрольной информации. Дополнительные сведения см. в разделе Получение сертификата сервера.

Получение сертификата

Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоли управления IIS. Поэтому перед созданием CSR необходимо установить службы IIS. CSR — это, по сути, сертификат, созданный на сервере, который проверяет сведения о сервере, относящиеся к конкретному компьютеру, при запросе сертификата у стороннего ЦС. CSR — это просто зашифрованное текстовое сообщение, зашифрованное с помощью пары открытого и закрытого ключей.

Как правило, в создаваемую CSR-файл включаются следующие сведения о компьютере:

  • Организация
  • Подразделения
  • Страна или регион
  • Штат или край
  • Город или локальность
  • Общее имя

Примечание.

Общее имя обычно состоит из имени главного компьютера и домена, к которому оно относится, например xyz.com. В этом случае компьютер является частью домена .com и называется XYZ. Это может быть корневой сервер для корпоративного домена или просто веб-сайт.

Создание CSR

  1. Доступ к консоли управления (MMC) IIS. Для этого щелкните правой кнопкой мыши «Мой компьютер » и выберите » Управление». Откроется консоль управления компьютером. Разверните раздел «Службы и приложение «. Найдите службы IIS и разверните консоль IIS.

  2. Выберите конкретный веб-сайт, на котором требуется установить сертификат сервера. Щелкните правой кнопкой мыши сайт и выберите пункт «Свойства».

  3. Выберите вкладку «Безопасность каталога «. В разделе «Безопасное взаимодействие » выберите сертификат сервера. Откроется мастер сертификатов веб-сервера. Нажмите кнопку Далее.

  4. Выберите «Создать новый сертификат» и нажмите кнопку «Далее».

  5. Выберите «Подготовить запрос», но отправьте его позже и нажмите кнопку «Далее».

  6. В поле «Имя » введите имя, которое можно запомнить. По умолчанию будет использоваться имя веб-сайта, для которого создается CSR.

    Примечание.

    При создании CSR необходимо указать битовую длину. Битовая длина ключа шифрования определяет стойкость зашифрованного сертификата, отправляемого в сторонний ЦС. Чем выше длина бита, тем надежнее шифрование. Большинство сторонних ЦС предпочитают не менее 1024 бит.

  7. В разделе «Сведения об организации» введите сведения об организации и подразделении. Это должно быть точным, так как вы предоставляете эти учетные данные стороннему ЦС и должны соответствовать лицензированию сертификата. Нажмите кнопку » Далее», чтобы получить доступ к разделу «Общее имя сайта «.

  8. Раздел общего имени вашего сайта отвечает за привязку сертификата к веб-сайту. Для SSL-сертификатов введите имя главного компьютера с доменным именем. Для серверов интрасети можно использовать netBIOS-имя компьютера, на котором размещен сайт. Выберите «Далее «, чтобы получить доступ к географической информации.

  9. Введите сведения о стране или регионе, регионе или регионе, а также о городе или локальном регионе. Полностью орфографию вашего штата, края, города или города. И не используйте аббревиатуры. Нажмите кнопку Далее.

  10. Сохраните файл в виде .txt файла.

  11. Подтвердите сведения о запросе. Нажмите кнопку » Далее» и закройте мастер сертификатов веб-сервера.

Here’s the easiest way to install a Windows SSL certificate on your Windows server

Wondering how to install a Windows SSL certificate on your Windows (IIS) server? Well, you’ve landed at the right place at the right time. In this post, we will talk about how you can install an SSL certificate on a Windows server (IIS) – whether it’s IIS version 5, 6, 7, 8, 8.5, or 10.

Let’s get started.

Install Windows SSL Certificate on Windows 2000, 2003 & 2008 Server (IIS 5, 6 & 7) (This will have hash code to direct the reader to this particular part of the article)

Install Windows SSL Certificate on Windows 2012 & 2016 (IIS 8, 8.5 & 10) Server (This will have hash code to direct the reader to this particular part of the article)

Comodo Wildcard Certificates – Save Up To 72%

Save a bunch when you buy direct. Get a Comodo Wildcard Certificate for less than $80 per year.Compare Wildcard Certificates

Понятие сертификатов

Прежде чем пересылать важные данные, клиент должен решить, можно ли доверять веб-сайту. Для достижения этой цели были спроектированы сертификаты, которые позволяют частично верифицировать идентичность пользователя. Сертификаты могут быть установлены на компьютере любого типа, но обычно они находятся на веб-серверах.

Организация приобретает сертификат у известного центра сертификации (Certificate Authority — CA) и устанавливает его на своем веб-сервере. Клиент доверяет CA и потому готов доверять информации сертификата, подписанного CA. Эта модель работает достаточно хорошо, т.к. маловероятно, чтобы злоумышленник решился на дополнительные расходы по приобретению и установке фальсифицированного сертификата. Центр сертификации также сохраняет информацию о каждом зарегистрированном пользователе. Однако наличие сертификата никоим образом не гарантирует надежность сервера, безопасность приложения или легитимность бизнеса. В этом смысле область действия сертификатов фундаментально ограничена.

Сам по себе сертификат содержит некоторую идентифицирующую информацию. Он подписывается защищенным ключом CA, что гарантирует его аутентичность и отсутствие модификаций. Промышленный стандартный сертификат, соответствующий X.509v3, включает следующую базовую информацию:

  • имя, название организации и адрес держателя;

  • открытый ключ держателя, который будет использоваться для реализации ключа SSL-сеансов для шифрования коммуникаций;

  • даты проверки сертификата;

  • серийный номер сертификата.

В дополнение сертификат также может включать специфичную для бизнеса информацию, такую как отрасль промышленности держателя, длительность присутствия его на рынке и т.п. Двумя крупнейшими центрами сертификации являются:

  • Thawte
  • VeriSign

Если функция проверки идентичности CA не нужна (например, если сертификаты используются только в корпоративной сети), можете создать и пользоваться собственными сертификатами, настроив всех клиентов на доверие к ним. Для этого потребуется служба Active Directory и сервер Certificate Server (которые встроены в серверную операционную систему Windows). За более подробной информацией обращайтесь к специальным книгам по администрированию сетей Windows.

Выпуск самоподписанного сертификата

Выпуск самоподписанного сертификата для веб-сервера IIS максимально простой.

Для реальных систем не рекомендуем использовать самоподписанный сертификат.

Для начала процедуры выпуска откройте окно Диспетчера служб IIS (Internet Information Services (IIS) Manager) и выделите сервер в списке Подключений (Connections). После этого нажмите на ссылку «Сертификаты сервера» («Server Certificates»).

Откроется окно доступных сертификатов сервера (Server Certificates) в котором нужно нажать «Создать самозаверенный сертификат…» («Create Self-Signed Certificate…»).

В окне мастера создания самоподписанного сертификата остается указать только произвольное название сертификата. В большинстве случаев, во избежание путаницы лучше явно указывать в качестве значения «Полное имя сертификата» («Specify a friendly name for the certificate») адрес сервера, на котором расположен сервер IIS. Как только имя сертификата будет задано нажимайте на кнопку OK и переходите к пункту привязки сертификата.

Проверка публикации

Для публикации информационной базы нужно открыть конфигуратор конкретной базы от имени администратора и перейти в пункт меню «Администрирование». После этого выбрать «Публикация информационной базы».

В окне публикации указать имя публикации и по желанию определить каталог, где будут находиться настройки публикации. Его также можно оставить по умолчанию.

После этого требуется нажать кнопку «Опубликовать» и дождаться окончания операции.

  • Имя вашего сервера (например, server1)
  • Имя публикации базы (которое было указано в окне настройки публикации)

Для таких параметров ссылка будет иметь вид:

https://server1/test_1c_iis

Если все хорошо, то откроется страница с вашей информационной базой.

IIS Manager

Obtain a Certificate

Select the server node in the treeview and double-click the Server Certificates feature in the listview:

Click Create Self-Signed Certificate… in the Actions pane.

Enter a friendly name for the new certificate and click OK.

Now you have a self-signed certificate. The certificate is marked for «Server Authentication» use; that is, it uses as a server-side certificate for HTTP SSL encryption and for authenticating the identity of the server.

Create an SSL Binding

Select a site in the tree view and click Bindings… in the Actions pane. This brings up the bindings editor that lets you create, edit, and delete bindings for your Web site. Click Add… to add your new SSL binding to the site.

The default settings for a new binding are set to HTTP on port 80. Select https in the Type drop-down list. Select the self-signed certificate you created in the previous section from the SSL Certificate drop-down list and then click OK.

Now you have a new SSL binding on your site and all that remains is to verify that it works.

Verify the SSL Binding

In the Actions pane, under Browse Web Site, click the link associated with the binding you just created.

Internet Explorer (IE) 7 and above will display an error page because the self-signed certificate was issued by your computer, not by a trusted Certificate Authority (CA). IE 7 and above will trust the certificate if you add it to the list of Trusted Root Certification Authorities in the certificates store it on the local computer, or in Group Policy for the domain.
Click Continue to this website (not recommended).

Configure SSL Settings

Configure SSL settings if you want your site to require SSL, or to interact in a specific way with client certificates. Click the site node in the tree view to go back to the site’s home page. Double-click the SSL Settings feature in the middle pane.

Установка SSL сертификата на Microsoft IIS 7.x, 8.x (файл *.crt)

Процедура покупки/установки сертификата считается относительно сложным процессом, и требует четкого соблюдения ряда правил. Если Вам, как владельцу магазина «быстро и просто нужен сертификат», то для этого мы специально ввели услугу покупки и установки сертификата под ключ, т.е. наш специалист поддержки запросит все необходимые данные, создаст почту на домене (если требуется), зарегистрирует SSL сертификат и корректно установит его на сайт (к магазину или воронки). Вы оплачиваете один раз, и далее дело за нами, услуга доступна в разделе услуги, вот тут — https://www.advantshop.net/services

Если вы уже приобрели SSL сертификат, но не хотите, тратить время или не до конца уверены в правильности действий, то для такого случая мы так же ввели услугу установки уже купленного сертификата на ваш сайт. Специалист проверит сам сертификат на пригодность и корректно установит его на сайт, услуга «Установка SSL сертификата» доступна в разделе услуги, вот тут — https://www.advantshop.net/services

И так, всё же, если вы твёрдо решили всё сделать самостоятельно, мы по шагам расскажем, как и что нужно.

Если вы используете тип хостинга выделенный сервер (VPS/VDS или Dedicated), вам нужно зайти на машину по протоколу RDP (Remote Deskstop) под учетной записью, которую выдал хостинг.

  • Нажмите Start.
  • Выберите Administrative Tools.
  • Запустите Internet Services Manager — IIS
  • Нажмите на название сервера (обычно это название компьютера) в дереве элементов слева

В главном меню кликните по кнопке «Server Certificates» в разделе «Security».

Выберите меню «Actions» (справа), нажмите на «Complete Certificate Request».

Откроется мастер Complete Certificate Request.

Введите место расположения вашего IIS SSL сертификата (нужно нажать кнопку browse для определения места расположения Вашего IIS SSL сертификата. Этот файл должен иметь название «yourdomainname.crt»).

Затем введите удобное имя сертификата. Оно не является частью самого сертификата, но используется администратором сервера для легкого различения сертификата.

Затем нажмите Ok.

Примечание: Известно, что в IIS 7 появляется следующая ошибка: «Cannot find the certificate request associated with this certificate file. A certificate request must be completed on the computer where it was created.» Вы также можете увидеть ошибку, констатирующую «ASN1 bad tag value met». Если этот тот же самый сервер, на котором Вы генерировали и CSR, то в большинстве случаев сертификат фактически установлен. Просто отмените диалог и нажмите «F5» для обновления списка сертификатов сервера. Если новый сертификат появился в списке, то Вы можете продолжать дальше. Если сертификат не появится в списке, то Вам нужно перевыпустить сертификат, используя новый CSR (смотрите наши инструкции по созданию CSR на IIS 7).

После того как сертификат будет успешно установлен на сервер, Вам необходимо будет назначить этот сертификат на соответствующий вебсайт, используя IIS.

В главном окне Internet Information Services (IIS) Manager в меню «Connections» выберите имя сервера, В «Sites» выберите сайт, который будет защищен SSL, далее в меню «Actions»(справа), нажмите на «Bindings».

Откроется окно «Site Bindings».

В окне «Site Bindings» нажмите «Add». Тем самым Вы откроете «Add Site Binding».

В «Type» выберите https. IP адрес должен быть IP адресом сайта или * (All Unassigned), и порт, по которому будет защищен трафик посредством SSL, обычно это 443.

Сертификат, который ранее был установлен, должен быть задан в поле «SSL Certificate».

Источник

Install Additional SSL Certificates

To install and assign each additional SSL certificate, repeat the steps below, as needed.

  1. On the server where you created the CSR, save the SSL certificate .cer file (e.g., your_domain_com.cer) that the certificate authority sent to you.
  2. In the Windows start menu, type Internet Information Services (IIS) Manager and open it.
  3. In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), locate and click the server name.

  1. On the server name Home page (center pane), in the IIS section, double-click Server Certificates.
  2. On the Server Certificates page (center pane), in the Actions menu (right pane), click the Complete Certificate Request… link.

  1. In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:

    • File name containing the certificate authority’s response: Click the … box and browse to and select the .cer file (e.g., your_domain_com.cer) that the certificate authority sent to you.
    • Friendly name: Type a friendly name for the certificate. The friendly name is not part of the certificate; instead, it is used to identify the certificate. We recommend that you add certificate authority’s name and the expiration date to the end of your friendly name, for example: yoursite-authority-(expiration date). This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name.
    • Select a certificate store for the new certificate: In the drop-down list, select Web Hosting.

  1. On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.
  2. In the Site Bindings window, click Add.

  1. In the Add Site Bindings window, do the following and then click OK:

    • Type: In the drop-down list, select https.
    • IP address: In the drop-down list, select the IP address of the site or select All Unassigned.
    • Port: Type port 443. The port over which traffic is secure by SSL is port 443.
    • Host name: Type the host name that you want to secure.
    • Require Server Name Indication: After you enter the host name, check this box. This is required for all additional certificates/sites, after you’ve installed the first certificate and secured the primary site.
    • SSL certificate: In the drop-down list, select an additional SSL certificate (e.g., yourdomain2.com).

  1. You have successfully installed another SSL certificate and configured the website to accept secure connections.

Create Certificate Signing Request Using IIS

When you are applying or Ordering an SSL certificate, you will need to create CSR (Certificate Signing Request) on your server and send it to a Certificate Authority. The CSR validates the information the CA requires to issue a certificate. After validating the CSR, the Certificate Authority will use this data to generate and issue the SSL certificate.

You can create a CSR by following the below steps:

Step 1 – Go to Start > Administrative Tools > Internet Information Services (IIS) Manager, as shown below:

Step 2 – In the left pane, click on the server name and double click on the Server Certificates. You should see the following page:

Step 3 – In the right pane, click on the Create Certificate Request. You should see the following page:

Step 4 – Provide your domain name, company name, department name, city, state, country name and click on the Next button. You should see the following page:

Step 5 – Select the Cryptographic Service Provider, 2048 as a bit length and click on the Next button. You should see the following page:

Step 6 – Specify the filename and the location where you want to save the CSR, and click on the Finish button to create a CSR certificate.

Step 7 – After generating the CSR, you will need to give this CSR file to the Certificate Provider in order to purchase the new SSL certificate.

Make sure that you get an SSL certificate in P7B or CER format. Once you received the SSL certificate file from the Certificate Authority save it on the server where you created the CSR.

Forcing HTTPS-Only Access to the Web Site

Installing an SSL certificate for a web site does not automatically restrict the site to allow HTTPS-only access. You still need to ensure that HTTPS-only access being forced for your website.

To change this setting, open IIS manager —> select the site from the list —>open SSL settings —> put a check on Require SSL —> click Apply.

Require HTTPS access to the website

At this point, you have successfully installed the SSL certificate to your website and configured the website to be accessed via HTTPS only. Now, the final step is to browse the website.

The example below is what you’d expect to see if the web site is browsed using https://blog.psh-lab.org.

Website a valid SSL certificate installed

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: