Windows server 2008 r2 iis ssl

Обновлено 14.11.2017

Добрый день уважаемые читатели и гости блога, сегодня мы с вами продолжим изучать, веб сервисы на базе Windows, а именно, посмотрим, как производится настройка SSL на IIS для одного или нескольких сайтов, как с одним Ip адресом, так и с несколькими. Для выполнения этой, поставленной задачи у вас должен быть установлен веб сервер iis, на Windows Server начиная от 2008 R2 и выше, на текущий момент самый последний, это Windows Server 2016.

Настройка https сайта на IIS

И так про создание сайта iis на windows server 2012, я вам уже рассказывал, подразумевается, что он у вас есть. Далее, когда вы прописали все DNS записи, вы генерировали запрос на выпуск сертификата и уже потом получали от центра сертификации ваш сертификат, но его еще приходилось затачивать под iis, так как ему нужен формат pfx.

Еще немного теории и ограничения

Если у вас один сайт на https на вашем iis сервере, то проблем с сертификатом не возникнет, если же планируется два сайта, то тут уже есть варианты:

• Купить wildcard сертификат, чтобы была возможность вешать SSL на любой сайт IIS
• Купить дополнительный ip для каждого сайта
• Воспользоваться скриптом и применить привязку нужного SSL к нужному сайту, на одном Ip адресе
• Воспользоваться технологией SNI (Server Name Indication)

Установка SSL в PFX

Первым делом для создания сайтов на протоколе https, вам необходимо импортировать нужный сертификат, делается это очень просто. Вы открываете, диспетчер IIS и переходите в пункт «Сертификаты сервера»

Далее в поле «Действия» вы нажимаете импортировать.

Через обзор, указываете ваш pfx архив.

Указываете пароль, в строке «Выбрать хранилище сертификатов» укажите либо «Личный» подойдет для обычного размещение, а вот пункт «Размещение веб-служб» нужен для SNI технологии.

По сути, это и есть сложная установка SSL в iis, как вам такое.

Теперь произведем привязку SSL сертификата к нужному сайту. Для начала я проверю свой сайт на протоколе http, как видите все отлично работает.

Теперь щелкаем по нужному сайту правым кликом и выберем пункт «Изменить привязки», именно там мы и произведем настройку https в  iis.

Как видите ваш сайт по умолчанию, будет работать по протоколу http, нажимаем кнопку добавить.

Указываем для сайта:

• Тип https и номер порта, по умолчанию, это порт 443, убедитесь, что он открыт у вас в брандмауэр.
• В имени узла, пишем полное название сайта.
• SSL-сертификат > выбираем нужный и сохраняем настройки.

Проверяем ваш сайт по протоколу HTTPS, если все отлично, то вы увидите закрытый замочек, это значит, что ssl сертификат установлен в IIS правильно.

Настройка нескольких HTTPS сайтов на разных ip

Предположим, что у вас есть два сайта:

• api.pyatilistnik2010.ru
• new.pyatilistnik2010.ru

Вам необходимо, чтобы каждый из них имел свой ip привязанный к DNS имени и так же отдельный сертификат, тут все просто. Вы так же поднимаете отдельные сайты, с той лишь разницей, что в поле ip адрес, указываете нужный и в поле имя узла, адрес вашего ресурса, ну и собственно нужный сертификат.

Сохраняем и проверяем, должно все работать, на любой из версий сервера IIS от 7,5 до 9.

Настройка нескольких HTTPS сайтов на одном ip

Теперь представим себе ситуацию, что у вас один внешний ip адрес, как быть, пробуем повесить все на него. В итоге один из сайтов у вас получит 404 ошибку, кто не в курсе, что это такое, то вам сюда.

Вся проблема в том, что в IIS по такому сценарию, в веб интерфейсе может работать, только сертификат на домен, формата wildcard *.pyatilistnik.org. Звездочка подразумевает, что вы можете использовать SSL на любой домен третьего уровня. Но не смейте сдаваться, есть два выхода:

1. Использование технологии SNI (Server Name Indication) в IIS, подходит для всего старше версии 7.5, так, что Windows Server 2008 R2 и ниже в пролете.
2. Использовать скрипт от Microsoft.

Вот вам пример такого сертификата.

Если у вас wildcard, то все просто, либо через диспетчер IIS все меняете, либо через конфигурационный файл.

Откройте его, здесь хранятся настройки IIS. И можно задать биндинг на разные доменные имена:

<sites>
<site name=»default» id=»1″ serverAutoStart=»false»>
<application path=»/»>
<virtualDirectory path=»/» physicalPath=»%SystemDrive%inetpubwwwroot» />
</application>
<bindings>
<binding protocol=»https» bindingInformation=»192.168.5.151:443:api.ваш домен.ru» sslFlags=»1″ />
</bindings>
</site>
<site name=»api.pyatilistnik2010.ru» id=»2″>
<application path=»/» applicationPool=»api.ваш доме.ru»>
<virtualDirectory path=»/» physicalPath=»C:api.ваш доме.ru» />
</application>
<bindings>
<binding protocol=»https» bindingInformation=»*:443:api.ваш доме.ru» sslFlags=»1″ />
</bindings>
</site>
<site name=»new.ваш доме.ru» id=»3″ serverAutoStart=»true»>
<application path=»/» applicationPool=»new.ваш доме.ru»>
<virtualDirectory path=»/» physicalPath=»C:new.pyatilistnik2010.ru» />
</application>
<bindings>
<binding protocol=»https» bindingInformation=»192.168.5.159:443:new.ваш доме» sslFlags=»1″ />
</bindings>
</site>
<siteDefaults>
<logFile logFormat=»W3C» directory=»%SystemDrive%inetpublogsLogFiles» />
<traceFailedRequestsLogging directory=»%SystemDrive%inetpublogsFailedReqLogFiles» />
</siteDefaults>
<applicationDefaults applicationPool=»DefaultAppPool» />
<virtualDirectoryDefaults allowSubDirConfig=»true» />
</sites>

Теперь метод, если у вас нет wildcard и только один внешний ip на сервере, подходит для IIS 7.5 и выше. Первое, что нам необходимо сделать, это узнать ID вашего сайта, делается это просто, либо через консоль диспетчер IIS

Либо все в том же файле applicationHost.config

Далее переходим в папку:

Если у вас, например, на IIS 8 и старше в данной папке нет этого файла, то вам необходимо доставить IIS Management Scripts and tools (IIS скрипты и инструменты управления
).

В Windows Server 2012 R2 файл adsutil.vbs set у меня появился в папке

Если у вас будет ошибка, что файл не найдет, то создайте в папке %SYSTEMDRIVE%Inetpub папку AdminScripts и скопируйте в нее файлы по из того каталога, что я указывал выше или воспользуйтесь поиском файла adsutil.vbs set

затем перейдите в командой строке в папку AdminScripts

Теперь если при выполнении скрипта вы получаете ошибку компиляции и ваш файл adsutil.vbs это просто кракозябры, то делаем следующее.

Заходим в добавление ролей и выбираем компонент

В результате чего у вас папка cd %SYSTEMDRIVE%InetpubAdminScripts со всем ее содержимым перезапишется. Пробуем снова выполнить команду, на этот раз все прошло успешно.

Все проверяем теперь в браузере ваши сайты, теперь при одном ip сайты должны отвечать по своим адресам и по протоколу https. Еще у нас остается технология SNI (Server Name Indication), я ее я рассмотрю в отдельной статье, так что щелкайте по ссылке.

Windows Server 2008 includes Internet Information Services (IIS) 7.0. This new version makes several big changes in the way that SSL certificates are generated, making it much easier than previous versions of IIS. In addition to the new method of requesting and installing SSL certificates, IIS 7 includes the ability to:

• Request more than one SSL certificate at a time
• Import, export, and renew SSL certificates easily in IIS
• Quickly create a self-signed certificate for testing

This article will walk you through the process of ordering an SSL certificate from a commercial certificate authority and installing it on an IIS 7 Windows Server 2008 machine. The process will also work for later versions such as Windows Server 2016 and IIS 8 and IIS 10 with some small modifications.

Create the Certificate Signing Request

The first step in ordering an SSL certificate is generating a Certificate Signing Request. This is very easy to do in IIS7 using the following instructions. Click here to hide or show the images

1. Click on the Start menu, go to Administrative Tools, and click on Internet Information Services (IIS) Manager.

   

2. Click on the name of the server in the Connections column on the left. Double-click on Server Certificates.

   

3. In the Actions column on the right, click on Create Certificate Request…

   

4. Enter all of the following information about your company and the domain you are securing and then click Next.

   

   Name	Explanation	Examples
   Common Name	The fully qualified domain name (FQDN) of your server. This must match exactly what you type in your web browser or you will receive a name mismatch error.	*.google.com mail.google.com
   Organization	The legal name of your organization. This should not be abbreviated and should include suffixes such as Inc, Corp, or LLC.	Google Inc.
   Organizational Unit	The division of your organization handling the certificate. (Most CAs don’t validate this field)	IT Web
   City/Locality	The city where your organization is located.	Mountain View
   State/province	The state/region where your organization is located. This shouldn’t be abbreviated.	California
   Country/Region	The two-letter ISO code for the country where your organization is location.	US GB

5. Leave the default Cryptographic Service Provider. Increase the Bit length to 2048 bit or higher. Click Next.

   

6. Click the button with the three dots and enter a location and filename where you want to save the CSR file. Click Finish.

   

Once you have generated a CSR you can use it to order the certificate from a certificate authority. If you don’t already have a favorite, you can compare SSL features from each provider using our SSL Wizard or by comparing cheap SSL certificates, Wildcard Certificates, or EV certificates. Once you paste the contents of the CSR and complete the ordering process, your order is validated, and you will receive the SSL certificate file.

Install the Certificate

To install your newly acquired SSL certificate in IIS 7, first copy the file somewhere on the server and then follow these instructions:

1. Click on the Start menu, go to Administrative Tools, and click on Internet Information Services (IIS) Manager.
2. Click on the name of the server in the Connections column on the left. Double-click on Server Certificates.

   

3. In the Actions column on the right, click on Complete Certificate Request…

   

4. Click the button with the three dots and select the server certificate that you received from the certificate authority. If the certificate doesn’t have a .cer file extension, select to view all types. Enter any friendly name you want so you can keep track of the certificate on this server. Click OK.

   

5. If successful, you will see your newly installed certificate in the list. If you receive an error stating that the request or private key cannot be found, make sure you are using the correct certificate and that you are installing it to the same server that you generated the CSR on. If you are sure of those two things, you may just need to create a new Certificate Request and reissue/replace the certificate. Contact your certificate authority if you have problems with this.

   

Bind the Certificate to a website

1. In the Connections column on the left, expand the sites folder and click on the website that you want to bind the certificate to. Click on Bindings…in the right column.

   

2. Click on the Add…button.

   

3. Change the Type to https and then select the SSL certificate that you just installed. Click OK.

   

4. You will now see the binding for port 443 listed. Click Close.

   

Install any Intermediate Certificates

Most SSL providers issue server certificates off of an Intermediate certificate so you will need to install this Intermediate certificate to the server as well or your visitors will receive a Certificate Not Trusted Error. You can install each Intermediate certificate (sometimes there is more than one) using these instructions:

1. Download the intermediate certificate to a folder on the server.
2. Double click the certificate to open the certificate details.
3. At the bottom of the General tab, click the Install Certificate button to start the certificate import wizard. Click Next.

   

4. Select Place all certificates in the following store and click Browse.

   

5. Check the Show physical stores checkbox, then expand the Intermediate Certification Authorities folder, select the Local Computer folder beneath it. Click OK. Click Next, then Finishto finish installing the intermediate certificate.

   

You may need to restart IIS so that it starts giving out the new certificate. You can verify that the certificate is installed correctly by visiting the site in your web browser using https instead of http or using our SSL Checker.

Links

• Move or copy an SSL certificate from a Windows server to another Windows server
• How to Disable SSL 2.0 in IIS 7
• How to Setup SSL on IIS 7.0
• Video tutorials for installing an SSL Certificate in IIS 7 at NetoMeter

IIS 7 SSL Certificate Installation Videos

Originally posted on Sun Oct 28, 2007