- (fqdn – обычный сертификат) как настроить сервер windows 2021 на использование вашего fqdn ssl-сертификата
- (мультидоменные сертификаты). как назначить сертификаты ssl и настроить сервер для их использования с использованием sni
- New-selfsignedcertificate: командлет powershell для генерации самоподписанного сертификата
- Активация ssl сертификата на сервере iis 4.0
- Активация ssl сертификата на сервере iis 5.0 – 6.0
- Импорт ssl сертификата в microsoft iis version 4.0
- Использование самоподписанного ssl сертификата sha-256 в iis
- Как настроить windows server 2021 на использование импортированного сертификата ssl
- Назначить все дополнительные ssl-сертификаты
- Назначить первый сертификат ssl
- Создать самоподписанный сертфикат типа code signing для подписывания кода
- Установка ssl сертификата в microsoft iis 10
(fqdn – обычный сертификат) как настроить сервер windows 2021 на использование вашего fqdn ssl-сертификата
- На сервере Windows 2021, куда вы импортировали сертификат SSL, откройте диспетчер служб IIS.
В меню Windows & nbsp ;, введите <& gt; Диспетчер служб IIS & nbsp; и откройте его.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.

- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.

- В окне Добавить привязки сайта выполните следующие действия и нажмите ОК:

- Теперь установлен ваш SSL-сертификат, и веб-сайт настроен на принятие безопасных подключений.

(мультидоменные сертификаты). как назначить сертификаты ssl и настроить сервер для их использования с использованием sni
В этой инструкции объясняется, как назначить несколько сертификатов SSL с использованием SNI. Процесс разбивается на две части следующим образом:
New-selfsignedcertificate: командлет powershell для генерации самоподписанного сертификата
Для создания самоподписанного сертификата в PowerShell нужно использовать командлет New-SelfSignedCertificate, входящий в состав модуля PKI (Public Key Infrastructure).
Чтобы вывести список всех доступных командлетов в модуле PKI, выполните команду:
Get-Command -Module PKI
Самоподписанные сертификаты рекомендуется использовать в тестовых целях или для обеспечения сертификатами внутренних интранет служб (IIS, Exchange, Web Application Proxy, LDAPS, ADRMS, DirectAccess и т.п.), в тех случая когда по какой-то причине приобретение сертификата у внешнего провайдера или разворачивание инфраструктуры PKI/CA невозможны.
Для создания сертификата нужно указать значения –DnsName (DNS имя сервера, имя может быть произвольным и отличаться от имени localhost) и —CertStoreLocation (раздел локального хранилища сертификатов, в который будет помещен сгенерированный сертификат).
Активация ssl сертификата на сервере iis 4.0
- В окне «Связывание с сервером» нажмите «Изменить», чтобы назначить в сертификате IP-адрес и номер порта SSL.
- Введите IP-адрес веб-сайта.
- Введите порт SSL для этого веб-сайта (порт 443 – это порт SSL по умолчанию), а затем нажмите кнопку «ОК».
- В строке меню сохраните изменения, выбрав «Компьютеры»> «Заменить изменения сейчас».
Активация ssl сертификата на сервере iis 5.0 – 6.0
- Откройте диспетчер служб IIS: Пуск> Все программы> Администрирование> Службы IIS.
- В разделе «Веб-узлы» щелкните правой кнопкой мыши веб-сайт и выберите «Свойства».
- Перейдите на вкладку Безопасность каталога.
- В разделе «Безопасные коммуникации» нажмите «Сертификат сервера» (откроется мастер сертификатов веб-сервера), а затем нажмите «Далее».
- Выберите Присвоить существующий сертификат и нажмите «Далее».
- Выберите сертификат для импорта (обозначается общим именем) и нажмите «Далее».
- Сводная страница отображает сведения о сертификате, который вы устанавливаете. Убедитесь, что эта информация верна и нажмите «Далее».
- Нажмите «Готово».
Импорт ssl сертификата в microsoft iis version 4.0
- Откройте консоль управления Microsoft: Пуск> Программы> Пакет обновления Windows NT 4.0> Microsoft Internet Information Server> Internet Service Manager.
- Щелкните правой кнопкой мыши веб-узел назначения импорта и выберите «Свойства».
- Перейдите на вкладку Безопасность каталога.
- В разделе «Безопасные соединения» нажмите «Изменить».
- Нажмите «Менеджер ключей».
- В категории «Локальный компьютер» выберите «WWW».
- В строке меню выберите «Клавиша»> «Импорт»> «Файл резервной копии».
- Найдите сертификат, который вы хотите импортировать, и нажмите «Открыть».
- Введите пароль, используемый для защиты сертификата для экспорта, и нажмите кнопку «ОК».
Использование самоподписанного ssl сертификата sha-256 в iis
Обратите внимание, что при создании самоподписанный сертификат для IIS через консоль Internet Information Manager (пункт меню Create Self-Signed Certificate), создается сертификат с исопльзованием алгоритма шифрования SHA-1.
Вы можете привязать самоподписанный сертификат SHA-256, созданный в PowerShell, к сайту IIS. Если вы с помощью PowerShell создали SSL сертификат и поместили его в хранилище сертификатов компьютера, он будет автоматически доступен для сайтов IIS.
Запустите консоль IIS Manager, выберите ваш сайт, затем в настройке Site Binding, выберите созданный вами сертификат и сохраните изменения.
Как настроить windows server 2021 на использование импортированного сертификата ssl
После того, как вы импортировали сертификат SSL на свой Windows Server 2021, вы должны настроить IIS 10 на использование вновь импортированного сертификата для защиты вашего веб-сайта.
Назначить все дополнительные ssl-сертификаты
Чтобы назначить каждый дополнительный сертификат SSL, при необходимости повторите приведенные ниже шаги.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.

- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.

- В окне Добавить привязки сайтов выполните следующие действия и затем нажмите OK:

Вы успешно присвоили другой сертификат SSL и настроили веб-сайт для принятия безопасных подключений.
Назначить первый сертификат ssl
Используйте эту инструкцию только один раз, для первого сертификата SSL.
- На сервере Windows Server 2021, на который вы импортировали сертификат SSL, откройте диспетчер служб IIS.
В меню Windows введите Диспетчер служб IIS и откройте его.
- В Диспетчер служб IIS в дереве меню Подключения разверните имя сервера, на котором был установлен сертификат. Затем разверните Сайты и щелкните сайт, который вы хотите использовать SSL-сертификат для защиты.

- На веб-странице Домашняя страница в меню Действия (правая панель) в разделе Изменить сайт нажмите Привязки ….
- В окне Site Bindings нажмите Добавить.

- В окне Добавить привязки сайтов выполните следующие действия и затем нажмите OK:

Ваш первый сертификат SSL теперь назначен, и веб-сайт настроен на принятие безопасных подключений.
Создать самоподписанный сертфикат типа code signing для подписывания кода
В PoweShell 3.0 командлет New-SelfSifgnedCertificate позволял генерировать только SSL сертификаты, которые нельзя было использоваться для подписывания кода драйверов и приложений (в отличии сертификатов, генерируемых утилитой MakeCert).
В версии PowerShell 5 новая версия командлета New-SelfSifgnedCertificate теперь может использоваться для выпуска сертификатов типа Code Signing.
Для создания самоподписанного сертфиката для подписывания кода приложений, выполните команду:
$cert = New-SelfSignedCertificate -Subject “Cert for Code Signing” -Type CodeSigningCert -CertStoreLocation cert:LocalMachineMy
Теперь можно подписать ваш PowerShell скрипт эти сертификатом:
Set-AuthenticodeSignature -FilePath C:PStest_script.ps1 -Certificate $cert
Если при выполнении команды появится предупреждение UnknownError, значит этот сертификат недоверенный, т.к. находится в персональном хранилище сертификатов пользователя.
Нужно переместить его в корневые сертификаты (не забывайте периодически проверять хранилище сертификатов Windows на наличие недоверенных сертфикатов и обновлять списки корневых сертификатов):
Установка ssl сертификата в microsoft iis 10
В данной статье описан Импорт SSL сертификата в IIS 10, выпуск SSL сертификата был описан ранее. Для импорта нам потребуется конвертировать сертификат из PEM в PFX. Для этого используем OpenSSL на сервере, если его нет или вы не знаете его команд, можно использовать онлайн Конвертер или его аналоги.
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Для надежности заполняем PFX Password и запоминаем/записываем пароль (желательно символьно-числовой), без него сертификат не установить.
Импорт SSL сертификата
Поиском открываем консоль Microsoft Management Console (MMC), достаточно ввести mmc и ее нам найдет.
В окне консоли «Файл» > «Добавить/удалить оснастку»

Далее, в окне «Добавление и удаление оснасток» на панели «Доступные оснастки» (слева) выберите «Сертификаты» и нажмите «Добавить>».
Видим окно «Оснастка диспетчера сертификатов» > выберите «учетной записи компьютера» и нажмите «Далее>».

В окне «Выбор компьютера» выберите «Локальным компьютером (тем, на котором выполняется эта консоль)» и нажмите «Готово».

В окне «Добавление и удаление оснасток» нажмите «ОК».
В окне консоли (Корень консоли, слева), щелкните правой кнопкой мыши (ПКМ) на папку «Размещение Веб-служб» и выберите «Все задачи» > «Импорт».

Видим окно Мастер импорта сертификатов и нажимаем кнопку Далее.

На странице импорта найдите через «Обзор» и выберите файл, который вы хотите импортировать, а затем нажмите «Далее».
Заранее файл был добавлен в C:WindowsSystem32 (Вы можете поместить его в иной каталог). Примечание: в окне «Проводника» в раскрывающемся списке «Тип файла» обратите внимание на типов файлов и выберите «Все файлы» (*.*) или (*.pfx), для поиска файла сертификата.

В окне «Защита с помощью закрытого ключа» задаем пароль, который указывали при конвертации сертификата в PFX и проверяем галочки, как на изображении ниже:

нажимаем «Далее»
На странице «Хранилища сертификатов» выбираем «Поместить все сертификаты в следующее хранилище», где в окне «Выбор хранилища сертификатов» выберите «Размещение Веб-служб» и нажмите «ОК». Нажмите кнопку «Далее»

На странице «Завершение мастера импорта сертификатов» проверяем правильность настроек и нажимаем кнопку Готово.

Вы должны получить сообщение «Импорт выполнен успешно».
Сертификат SSL с закрытым ключом в файле .pfx теперь сохранен в хранилище хостинга.
Как настроить Windows Server для использования импортированного сертификата SSL
После импорта сертификата SSL в Windows Server необходимо настроить IIS 10, чтобы импортированный сертификат давал защиту вашему сайту.
Откройте «Диспетчер служб IIS» > в дереве меню Подключения (левая панель) разверните панель и выберите сайт (у нас это Default Web Site). Видим «Начальная страница Default Web Site» (по центру), где в меню «Действия» (правая панель) в разделе «Изменение веб-сайта» щелкните на ссылку «Привязки…». В окне «Привязки сайта» нажмите «Добавить»

В окне «Добавление привязки сайта» выполните следующие действия и нажмите кнопку «ОК»:
Тип: из списка выберите https
IP-адрес: выберите «Все неназначенные»
Порт: 443 (Порт, через который трафик будет зашифрован с помощью SSL по умолчанию 443)
SSL-Сертификат: В раскрывающемся списке выберите сертификат SSL (надо указать точное имя установленного сертификата, у нас domainssl.ua)

Готово, SSL-сертификат установлен и сайт настроен на безопасное соединение. Можно закрыть окно.

Настройка перенаправления HTTP на HTTPS в IIS
После того как мы установили сертификат SSL, сайт по-прежнему остается доступным через обычное соединение HTTP, которое считается небезопасным. Для безопасного подключения посетители должны самостоятельно указать https:// при вводе адреса вашего сайта (домена) в своих браузерах и зачастую этого никто не делает.
Чтобы установить безопасное соединение на вашем сайте, необходимо настроить правило перенаправления (редирект) HTTP на HTTPS. После чего, любой посетитель вашего сайта переходя/вводя домен «yourdomain.com», будет перенаправлен на «https://yourdomain.com» или «https://www.yourdomain.com» (в зависимости от вашего выбора), где весь трафик зашифрован при передаче между сервером и клиентом.
Откройте «Диспетчер служб IIS» > в дереве меню Подключения (левая панель) разверните панель и выберите сайт (у нас это Default Web Site). Видим «Начальная страница Default Web Site», где дважды щелкнуть (ЛКМ) на значок «Переопределение URL-адресов».

Если URL Rewrite Module отсутствует, качаем его на сайте IIS
В окне «Добавить правила» меню «Правила для входящего трафика» выберите «Пустое правило», затем нажмите ОК.

Указываем Имя правилу и заполняем ниже расположенные разделы:
В разделе «Соответствует URL-адресу»:
– Указать «Соответствует шаблону» из меню «Запрошенный URL-адрес».
– Указать «Регулярные выражения» из меню «Использование».
– Шаблон: (. *)
– Установить флажок «Не учитывать регистр»
В разделе «Условия» выберите «Совпадение со всеми» из меню «Логическая группировка» и нажмите «Добавить».
В появившемся окне «Добавить условие»:
– Введите {HTTPS} в поле «Ввод условия»
– Выберите «Соответствует шаблону» из выпадающего списка
– Введите ^ OFF $ в поле «Шаблон»
– Флажок «Не учитывать регистр»
– Нажмите ОК

В разделе «Действие» выберите «Перенаправление» из меню «Типа действия» и укажите в поле «URL-адрес перенаправления»:
https://{HTTP_HOST}/{R:1}Установите флажок «Добавить строку запроса»
Выберите «Постоянное (301)» из меню «Тип перенаправления»

Нажмите «Применить» вверху справа из меню «Действия».
Теперь нам нужно применить правило к самому сайту.

В «Диспетчер служб IIS» щелкните ПКМ на свой сайт (у нас это Default Web Site) и выберите «Проводник», откроется корневой каталог сайта, где найдите файл web.config и откройте его. Проверьте содержимое на следующий блок кода (если его нет, добавьте). Также, не лишним будет сделать бекап файла web.config в случае неудачи, можно вернуть старый файл. Главное вписать код в соответствующие блоки в файле.
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name=”HTTPS force” enabled=”true” stopProcessing=”true”>
<match url=”(.*)” />
<conditions>
<add input=”{HTTPS}” pattern=”^OFF$” />
</conditions>
<action type=”Redirect” url=”https://{HTTP_HOST}/{R:1}” redirectType=”Permanent” />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>Если web.config отсутствует, создайте новый файл ТХТ (например, 1.txt) и вставьте в него код, сохраните, а потом переименуйте файл в web.config
Теперь перенаправление можно проверить, перейдя на сайт по адресу http:// но откроет https:// и браузер покажет Безопасное соединение и замочек.
Можно использовать анонимный режим браузера (Ctrl Shift N для Chrome) и отладчик (F12).
