Instalarea certificatului SSL - Windows Server

Detalii
Autor: Silviu V.
Categorie: Windows Server IIS

1. Opțiunea gratuită cu Let’s Encrypt (win-acme)

  1. Descarcă ultima versiune a clientului win-acme de pe https://www.win-acme.com..
  2. Extrage arhiva într-un folder precum C:\Tools\win-acme.
  3. Deschide o fereastră PowerShell ca administrator și rulează .\wacs.exe.
  4. Alege „N: Create new certificate (simple for IIS)”.
  5. Selectează site-ul IIS pentru care vrei SSL (lista automată).
  6. Confirmă „Single binding” și „https binding” pe portul 443.
  7. Când ți se cere, alege autoritatea Let’s Encrypt și modul de validare „http-01”.
  8. După finalizare, win-acme va instala automat certificatul în „Server Certificates” și îl va lega de site.
  9. Asigură-te că sarcina de reînnoire automată (Windows Task Scheduler) a fost creată și rulează fără erori.

2. Opțiunea cu certificat comercial

  1. În IIS Manager, mergi la Server CertificatesCreate Certificate Request.
  2. Completează informațiile din CSR (Common Name = domeniul tău, organizație, țară etc.).
  3. Salvează fișierul CSR pe disc și trimite-l autorității de certificare (CA).
  4. Primești un .crt (certificate) și, eventual, un pachet de intermediari (.ca-bundle).
  5. În IIS Manager, revino la Server CertificatesComplete Certificate Request:
    • Path: calea către .crt
    • Friendly name: un nume descriptiv
  6. Importă fișierul .ca-bundle dacă autoritatea CA oferă lanț de încredere separat.

3. Configurare binding HTTPS în IIS

  1. În IIS Manager, selectează site-ul și deschide Bindings….
  2. Apasă Add…, alege tipul https, port 443 și selectează certificatul instalat.
  3. Dacă ai mai multe site-uri pe același IP, adaugă un binding distinct pe Host Name.
  4. Salvează și închide fereastra.

4. Redirect automat de la HTTP la HTTPS

  • Deschide URL Rewrite pentru site-ul tău în IIS.
  • Adaugă o regulă nouă de tip Blank rule cu următoarele setări:
    • Match URL: .*
    • Conditions: {HTTPS} != on
    • Action: Redirect to https://{HTTP_HOST}/{R:0}, Redirect type: Permanent (301).
  • Aplică și testează accesând http://domeniu.tld.

5. Verificare și mentenanță

  1. Folosește un scaner online (ex. SSL Labs) pentru a valida instalarea.
  2. Verifică data de expirare în IIS → Server Certificates sau în browser.
  3. Pentru Let’s Encrypt, asigură-te că task-ul din Task Scheduler rulează lunar.
  4. Monitorizează periodic jurnalele IIS pentru erori legate de SSL.

6. Măsuri suplimentare de securitate SSL

  • Activează HSTS adăugând header-ul Strict-Transport-Security în web.config..
  • Dezactivează protocoalele vechi (SSL 2.0/3.0, TLS 1.0/1.1) din Registry sau IIS Crypto.
  • Activează ciphersuite-urile recomandate (ex. TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384).

Acum website-ul de pe Windows Server beneficiază de conexiuni criptate și o autentificare robustă.

 

Se aplică la Windows 10/11, Windows Server.