- (fqdn – обычный сертификат) как настроить сервер windows 2021 на использование вашего fqdn ssl-сертификата
- (мультидоменные сертификаты). как назначить сертификаты ssl и настроить сервер для их использования с использованием sni
- Включение компонент веб-сервера
- 1. Windows 10
- 2 Windows Server 2021 R2, 2021 и 2021
- Выпуск самоподписанного сертификата
- Проверка публикации
- Iis 10: csr creation & ssl certificate installation
- Активация ssl сертификата на сервере iis 4.0
- Активация ssl сертификата на сервере iis 5.0 – 6.0
- Дополнительные настройки
- Импорт ssl сертификата в microsoft iis version 4.0
- Использование сертификата let’s encrypt для remote desktop services
- Как настроить windows server 2021 на использование импортированного сертификата ssl
- Клиент wacs для установки tls сертификата let’s encrypt в iis на windows server
- Назначить все дополнительные ssl-сертификаты
- План работ:
- Подготовка
- Устанавливаем ssl сертификат
- Установить ssl /tls сертификат в windows iis 10 –
- Установка ssl-сертификата на веб-сервере microsoft iis
(fqdn – обычный сертификат) как настроить сервер windows 2021 на использование вашего fqdn ssl-сертификата
- На сервере Windows 2021, куда вы импортировали сертификат SSL, откройте диспетчер служб IIS.
В меню Windows & nbsp ;, введите <& gt; Диспетчер служб IIS & nbsp; и откройте его.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.
- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.
- В окне Добавить привязки сайта выполните следующие действия и нажмите ОК:
- Теперь установлен ваш SSL-сертификат, и веб-сайт настроен на принятие безопасных подключений.
(мультидоменные сертификаты). как назначить сертификаты ssl и настроить сервер для их использования с использованием sni
В этой инструкции объясняется, как назначить несколько сертификатов SSL с использованием SNI. Процесс разбивается на две части следующим образом:
Включение компонент веб-сервера
По умолчанию в операционной среде Windows компоненты веб-сервера не установлены. В зависимости от версии установка может несущественно различаться. Мы будем рассматривать два варианта – это распространенный дистрибутив Windows 10, если планируются использовать для пробного включения шифрования протокола и Windows Server 2021/2021, если уже планируется непосредственное разворачивание публикации в продуктивной зоне.
1. Windows 10
Включение компонентов веб-сервера IIS в операционной системе Windows 10 выполняется достаточно просто. Для начала нужно открыть раздел “Программы и компоненты” (“Programs and Features”) в панели управления (Control panel). Сделать можно это несколькими способами:
Нажать сочетание клавиш Win R и в открывшемся окне ввести “appwiz.cpl” и нажать ОК.
Открыть панель управления (Control panel) и выбрать пункт меню Программы – Программы и компоненты (Programs – Programs and features).
В окне “Программы и компоненты” (“Programs and Features”) нажмите на кнопку “Включение и отключение компонентов Windows” (“Turn Windows features on or off”).
Когда откроется окно “Компоненты Windows” (“Windows features”) в нем необходимо будет проставить флажки для следующих элементов:
Службы IIS
Службы интернета
Компоненты разработки приложений
Расширение ISAPI
Фильтры ISAPI
Средства управления веб-сайтом
После этого нажимайте на кнопку “OK” и дождитесь завершения выполнения операции. После того как включение компонент будет выполнено, можно переходить к пункту “2. Публикация информационной базы”.
2 Windows Server 2021 R2, 2021 и 2021
Настройка компонент для Windows Server 2021 R2, Windows Server 2021 и Windows Server 2021 одинаковая и все настройки производятся в диспетчере серверов (Server Manager).
Откройте диспетчер серверов (Server Manager) и нажмите Управление – Добавить роли и компоненты (Manage – Add Roles and Features).
В ответ на нажатие откроется окно мастера добавления ролей и компонентов (Add Roles and Features).
В этом окне нажмите два раза “Далее” (“Next”) пока мастер не переключится на страницу ролей сервера (Server Roles).
Во вкладке роли сервера (Server Roles) установите флажок “Web Server IIS”. Так как эта роль зависит от другой роли ([Tools] IIS Management Console), то будет предложено установить ее дополнительно. Это можно сделать с помощью нажатия кнопки “Добавить компоненты” (Add Features) в открывшемся окне.
После чего нажимаем кнопку “Далее” (“Next”) пока мастер не дойдет до вкладки “Роль веб-сервера IIS” (“Web Server Role IIS”). На этой вкладке нажимайте кнопку “Далее” (“Next”) и попадете на вкладку “Службу ролей” (“Role Services”). Во вкладке нужно найти пункт “Application Development” и выбрать в нем с помощью флажков пункты “ISAPI Extensions” и “ISAPI Filters”. Как только закончите с установкой флажков нажимайте “Далее” (“Next”) и “Установить” (“Install”).
На этом установка веб-сервера завершена. Можно переходить к настройкам сертификатов.
Выпуск самоподписанного сертификата
Выпуск самоподписанного сертификата для веб-сервера IIS максимально простой.
Для реальных систем не рекомендуем использовать самоподписанный сертификат.
Для начала процедуры выпуска откройте окно Диспетчера служб IIS (Internet Information Services (IIS) Manager) и выделите сервер в списке Подключений (Connections). После этого нажмите на ссылку “Сертификаты сервера” (“Server Certificates”).
Откроется окно доступных сертификатов сервера (Server Certificates) в котором нужно нажать “Создать самозаверенный сертификат…” (“Create Self-Signed Certificate…”).
В окне мастера создания самоподписанного сертификата остается указать только произвольное название сертификата. В большинстве случаев, во избежание путаницы лучше явно указывать в качестве значения “Полное имя сертификата” (“Specify a friendly name for the certificate”) адрес сервера, на котором расположен сервер IIS. Как только имя сертификата будет задано нажимайте на кнопку OK и переходите к пункту привязки сертификата.
Проверка публикации
Для публикации информационной базы нужно открыть конфигуратор конкретной базы от имени администратора и перейти в пункт меню “Администрирование”. После этого выбрать “Публикация информационной базы”.
В окне публикации указать имя публикации и по желанию определить каталог, где будут находиться настройки публикации. Его также можно оставить по умолчанию.
После этого требуется нажать кнопку “Опубликовать” и дождаться окончания операции.
Для проверки корректной работы нужно открыть страницу в браузере и перейти по ссылке, которая состоит из двух частей:
- Имя вашего сервера (например, server1)
- Имя публикации базы (которое было указано в окне настройки публикации)
Для таких параметров ссылка будет иметь вид:
Iis 10: csr creation & ssl certificate installation
After we validate and issue your SSL certificate, you need to install it on the Windows 2021 server where the CSR was generated. Then, you need to configure the server to use it.
On the server where you created the CSR, save the SSL certificate .cer file (e.g., your_domain_com.cer) that DigiCert sent to you.
In the Windows start menu, type Internet Information Services (IIS) Manager and open it.
In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), locate and click the server name.
On the server name Home page (center pane), in the IIS section, double-click Server Certificates.
On the Server Certificates page (center pane), in the Actions menu (right pane), click the Complete Certificate Request… link.
In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:
| File name containing the | Click the … box and browse to and select the .cer file |
| certificate authority’s response: | (e.g., your_domain_com.cer) that DigiCert sent to you. |
| Friendly name: | Type a friendly name for the certificate. |
| The friendly name is not part of the certificate; instead, it is used to identify the certificate. | |
| We recommend that you add DigiCert and the expiration date to the end of your friendly name, for example: yoursite-digicert-(expiration date). | |
| This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name. | |
| Select a certificate store | In the drop-down list, select Web Hosting. |
| for the new certificate: |
Now that you’ve successfully installed your SSL certificate, you need to assign the certificate to the appropriate site.
Assign SSL Certificate
In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), expand the name of the server on which the certificate was installed. Then expand Sites and click the site you want to use the SSL certificate to secure.
On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.
In the Site Bindings window, click Add.
In the Add Site Bindings window, do the following and then click OK:
Your SSL certificate is now installed, and the website configured to accept secure connections.
This instructions explains how to install multiple SSL certificates and assign them using SNI. The process is split into two parts as follows:
Do this first set of instructions only once, for the first SSL certificate.
On the server where you created the CSR, save the SSL certificate .cer file (e.g., your_domain_com.cer) that DigiCert sent to you.
In the Windows start menu, type Internet Information Services (IIS) Manager and open it.
In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), locate and click the server name.
On the server name Home page (center pane), in the IIS section, double-click Server Certificates.
On the Server Certificates page (center pane), in the Actions menu (right pane), click the Complete Certificate Request… link.
In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:
| File name containing the | Click the … box and browse to and select the .cer file |
| certificate authority’s response: | (e.g., your_domain_com.cer) that DigiCert sent to you. |
| Friendly name: | Type a friendly name for the certificate. |
| The friendly name is not part of the certificate; instead, it is used to identify the certificate. | |
| We recommend that you add DigiCert and the expiration date to the end of your friendly name, for example: yoursite-digicert-(expiration date). | |
| This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name. | |
| Select a certificate store | In the drop-down list, select Web Hosting. |
| for the new certificate: |
Now that you’ve successfully installed your SSL certificate, you need to assign the certificate to the appropriate site.
In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), expand the name of the server on which the certificate was installed. Then expand Sites and click the site you want to use the SSL certificate to secure.
On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.
In the Site Bindings window, click Add.
In the Add Site Bindings window, do the following and then click OK:
Your first SSL certificate is now installed, and the website configured to accept secure connections.
To install and assign each additional SSL certificate, repeat the steps below, as needed.
On the server where you created the CSR, save the SSL certificate .cer file (e.g., your_domain_com.cer) that DigiCert sent to you.
In the Windows start menu, type Internet Information Services (IIS) Manager and open it.
In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), locate and click the server name.
On the server name Home page (center pane), in the IIS section, double-click Server Certificates.
On the Server Certificates page (center pane), in the Actions menu (right pane), click the Complete Certificate Request… link.
In the Complete Certificate Request wizard, on the Specify Certificate Authority Response page, do the following and then click OK:
| File name containing the | Click the … box and browse to and select the .cer file |
| certificate authority’s response: | (e.g., your_domain_com.cer) that DigiCert sent to you. |
| Friendly name: | Type a friendly name for the certificate. |
| The friendly name is not part of the certificate; instead, it is used to identify the certificate. | |
| We recommend that you add DigiCert and the expiration date to the end of your friendly name, for example: yoursite-digicert-(expiration date). | |
| This information helps identify the issuer and expiration date for each certificate. It also helps distinguish multiple certificates with the same domain name. | |
| Select a certificate store | In the drop-down list, select Web Hosting. |
| for the new certificate: |
Now that you’ve successfully installed your SSL certificate, you need to assign the certificate to the appropriate site.
In Internet Information Services (IIS) Manager, in the Connections menu tree (left pane), expand the name of the server on which the certificate was installed. Then expand Sites and click the site you want to use the SSL certificate to secure.
On the website Home page, in the Actions menu (right pane), under Edit Site, click the Bindings… link.
In the Site Bindings window, click Add.
In the Add Site Bindings window, do the following and then click OK:
You have successfully installed another SSL certificate and configured the website to accept secure connections.
Активация ssl сертификата на сервере iis 4.0
- В окне «Связывание с сервером» нажмите «Изменить», чтобы назначить в сертификате IP-адрес и номер порта SSL.
- Введите IP-адрес веб-сайта.
- Введите порт SSL для этого веб-сайта (порт 443 – это порт SSL по умолчанию), а затем нажмите кнопку «ОК».
- В строке меню сохраните изменения, выбрав «Компьютеры»> «Заменить изменения сейчас».
Активация ssl сертификата на сервере iis 5.0 – 6.0
- Откройте диспетчер служб IIS: Пуск> Все программы> Администрирование> Службы IIS.
- В разделе «Веб-узлы» щелкните правой кнопкой мыши веб-сайт и выберите «Свойства».
- Перейдите на вкладку Безопасность каталога.
- В разделе «Безопасные коммуникации» нажмите «Сертификат сервера» (откроется мастер сертификатов веб-сервера), а затем нажмите «Далее».
- Выберите Присвоить существующий сертификат и нажмите «Далее».
- Выберите сертификат для импорта (обозначается общим именем) и нажмите «Далее».
- Сводная страница отображает сведения о сертификате, который вы устанавливаете. Убедитесь, что эта информация верна и нажмите «Далее».
- Нажмите «Готово».
Дополнительные настройки
Вы можете настроить почту для уведомлений.
Как нам подсказывают, нужно ручками подправить файл settings.config.
Импорт ssl сертификата в microsoft iis version 4.0
- Откройте консоль управления Microsoft: Пуск> Программы> Пакет обновления Windows NT 4.0> Microsoft Internet Information Server> Internet Service Manager.
- Щелкните правой кнопкой мыши веб-узел назначения импорта и выберите «Свойства».
- Перейдите на вкладку Безопасность каталога.
- В разделе «Безопасные соединения» нажмите «Изменить».
- Нажмите «Менеджер ключей».
- В категории «Локальный компьютер» выберите «WWW».
- В строке меню выберите «Клавиша»> «Импорт»> «Файл резервной копии».
- Найдите сертификат, который вы хотите импортировать, и нажмите «Открыть».
- Введите пароль, используемый для защиты сертификата для экспорта, и нажмите кнопку «ОК».
Использование сертификата let’s encrypt для remote desktop services
Если вы используете для подключения внешних пользователей в корпоративную сеть шлюз Remote Desktop Gateway/ RD Web Access, вы можете использовать нормальный SSL сертификат Let’s Encrypt вместо обычного самоподписанного сертификата. Рассмотрим, как корректно установить сертификат Let’s Encrypt для зажиты служб Remote Desktop Services в Windows Server.
Если на Remote Desktop Gateway сервере поднята также роль RDSH, нужно запретить пользователям Read доступ к каталогу, в котором у вас хранится WACS (в моем примере это c:inetpubletsencrypt ) и к каталогу с сертификатами сертификат Let’s Encrypt (C:
Затем на сервере RDP GW, запускаете wacs.exe, как описано выше, и вы выбираете нужный сайт IIS (обычно, Default Web Site). Let’s Encrypt выдает вам новый сертификат, который устанавливается для веб-сайта и в планировщике появляется задание на автоматические обновление сертификата.
Вы можете вручную экспортировать данный сертификат и привязать его к нужным службам RDS через SSL binding. Но вам придется выполнять эти действия вручную каждые 60 дней при перевыпуске сертификата Let’s Encrypt.
Нам нужен скрипт, который бы сразу после получения (продления) сертификата Let’s Encrypt применял бы его для RD Gateway.
Как настроить windows server 2021 на использование импортированного сертификата ssl
После того, как вы импортировали сертификат SSL на свой Windows Server 2021, вы должны настроить IIS 10 на использование вновь импортированного сертификата для защиты вашего веб-сайта.
Клиент wacs для установки tls сертификата let’s encrypt в iis на windows server
Самый простой способ получить SSL сертификат от Let’s Encrypt — воспользоваться консольной утилитой Windows ACME Simple (WACS) (ранее проект назывался LetsEncrypt-Win-Simple).
Назначить все дополнительные ssl-сертификаты
Чтобы назначить каждый дополнительный сертификат SSL, при необходимости повторите приведенные ниже шаги.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.
- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.
- В окне Добавить привязки сайтов выполните следующие действия и затем нажмите OK:
Вы успешно присвоили другой сертификат SSL и настроили веб-сайт для принятия безопасных подключений.
План работ:
Включение компонент веб-сервера.
Windows 10.
Windows Server 2021 R2, 2021 и 2021.
Выпуск самоподписанного сертификата (Необязательно).
Привязка сертификата.
Проверка публикации.
Подготовка
LetsEncrypt-Win-Simple берём здесь:
Устанавливаем ssl сертификат
Запускаем wacs.exe под администратором.
Для начала сгенерируем простой сертификат. Для этого выбираем Create new certificate, N. Нас спрашивают, какой сертификат делаем.
Для тестирования генерируем простой сертификат без псевдонимов (для установки сертификата с псевдонимами выберите 2). Пишем 1. Нам показывают список всех доменов, забинденных в IIS.
Установить ssl /tls сертификат в windows iis 10 –
Время, необходимое: 30 минут.
Это руководство поможет вам загрузить и установить SSL /TLS сертификат от my-sertif.ru в IIS. Эти процедуры были протестированы в Windows 10 в IIS 10, но также будут работать в IIS 7.x и 8.x.
Сначала найдите заказ в своей учетной записи my-sertif.ru и щелкните один из скачать ссылки.
Затем, щелкните скачать ссылка на право Microsoft IIS (* .p7b) в загрузка сертификатов таблице.
Start Диспетчер IIS, Один быстрый способ сделать это, открыв Запустите затем введите команду inetmgr и нажмите OK кнопку.
Выберите сервер в Беспроводные сети панель, с левой стороны окна.
Дважды щелкните Сертификаты сервера значок, расположенный под IIS в центральной панели окна.
Нажмите на Завершить запрос сертификата… в Действия панель, на правой стороне окна.
Полный запрос сертификата появится мастер. Сначала нажмите кнопку с надписью «…», Чтобы открыть диалоговое окно открытия файла.
Перейдите в .p7b файл, который вы скачали с my-sertif.ru. Обратите внимание, что вам придется изменить раскрывающееся меню справа от Имя файла поле из *.cer в *.* чтобы увидеть файл.
Нажмите Откройте кнопку.
Затем введите памятное имя для сертификата в Дружественное имя поле (здесь мы просто вводим сертификат распространенное имя).
Нажмите OK кнопку.
Сертификат установлен! Следующим шагом является связывать сертификат для определенного веб-сайта, порта и / или IP-адреса. Пожалуйста, прочитайте наш инструкции по привязке в IIS для полных инструкций.
Если вы получили сообщение об отсутствии закрытого ключа / запроса сертификата, попробуйте следующее из командной строки, открытой от имени администратора (замените «серийный номер» фактическим серийным номером вашего сертификата в кавычках, включая пробелы):certutil -repairstore my "serial number"
Подробные инструкции доступны здесь.
Установка ssl-сертификата на веб-сервере microsoft iis
Для установки сертификата на виртуальной машине с Windows и веб-сервере Microsoft IIS нам потребуются файлы сертификата и его ключ. Для примера рассмотрим установку сертификата Sectigo Positive SSL:
Мы имеем 4 файла сертификата и сам ключ сертификата:
- domain_name.key – ключ сертификата
- domain_name.crt – SSL сертификат домена
- AddTrustExternalCARoot.crt – корневой сертификат
- COMODORSAAddTrustCA.crt – промежуточный сертификат
- COMODORSADomainValidationSecureServerCA.crt – промежуточный сертификат
Нам нужно объединить корневой и промежуточные сертификаты, сделать это можно следующим образом:
cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > CACert.crt
Далее приступим к конвертированию:
openssl pkcs12 -export -out domain_name.pfx -inkey domain_name.key -in domain_name.crt -certfile CACert.crt
Во время конвертирования, нужно будет указать пароль для сертификата, он нам понадобится во время установки сертификата в Windows.
Теперь файл domain_name.pfx, можно загружать на виртуальную машину с Windows. Для этого выполните на ней следующие действия:
Step 1 : Нажимаем “Start” и выбираем “Run”.
Step 2 : В “Run” вводим “MMC” и нажимаем “OK”. Откроется MMC.
Step 3 : Нажимаем на окно File и выбираем “Add / Remove Snap-In”.
Step 4 : Находим “Certificates” и нажимаем “Add”.
Step 5 : Выбираем “Computer Account” и нажимаем “Next”.
Step 6 : Выбираем “Local Computer” и нажимаем “Finish”.
Step 7 : Нажимаем “OK” для того что бы закрыть окно “Add / Remove Snap-In”.
Step 8 : Двойной клик на “Certificates (Local Computer)” в центре окна.
Step 9 : Правый клик на папку “Personal Certificates Store”.
Step 10 : Выбираем “ALL TASKS” затем “Import”.
Step 11 : Следуем “Certificate Import Wizard” для импортирования “Primary Certificate” из .PFX файла.
Step 12 : Выбираем .PFX и вводим пароль, который мы задавали во время конвертации сертификата.
Step 13 : При появлений запроса выберите automatically place the Certificates in the Certificate Stores based on the type of the Certificate.
Step 14 : Нажимаем “Finish” для закрытия Certificate Import Wizard.
Step 15 : Закрываем MMC, сохранять изменения не обязательно.
Далее нам нужно произвести привязку сертификата к самому домену:
Открываем IIS и выбираем нужный сайт (иногда название может быть не указано и будет “Default Web Site”) выбираем “Bindings”:
Нажимает Add:
В поле Type выбираем https, в поле SSL certificate, сертификат который мы добавили ранее:
Нажимаем Ок, после чего должен добавиться 443 порт:
Сертификат установелен. Теперь можно произвести проверку домена на наличие SSL.