Instalace SSL certifikátu na server IIS 7 a IIS 6

V tomto článku najdete návod pro vygenerování CSR a následnou instalaci SSL/TLS certifikátu na webové servery IIS 7 a IIS 6.

Vygenerování CSR requestu

Vygenerování CSR requestu je předpokladem vydání certifikátu. V CSR je obsažen veřejný klíč, který autorita podepíše a vznikne tak SSL/TLS certifikát. Bez CSR není možné certifikát vydat.

Vytvoření CSR requestu na serveru IIS 7

Na webovém serveru s IIS 7 se CSR generuje v průvodci. Jděte v IIS do nabídky SSL certifikátů (Server certificates) a vpravo nahoře vyberte Create certificate request. Uvidíte průvodce vytvořením CSR. Do něj zadejte všechny vyžadované informace, zvolte hloubku 2048 (bitů) a soubor s vygenerovaným CSR uložte.

Vygenerované CSR je v textové podobě, takže můžete soubor vytvořený v IIS otevřít v Notepadu a text CSR vložit do objednávky v SSLmarketu.

Video s postupem vygenerování CSR requestu na platformě Microsoft IIS 7 najdete v sekci videonávody.

Vytvoření CSR requestu na serveru IIS 6

Na webovém serveru IIS 6 probíhá generování v průvodci IIS. Ve spuštěném IIS 6 klikněte pravým tlačítkem na website, se kterou chcete pracovat. Vyberte Properties a v následujícím okně vyberte záložku Directory Security. Vespodu okna uvidíte sekci Secure Communications, ve které klikněte na Server Certificate. Tímto spustíte průvodce tvorbou CSR requestu. Vyberte Create a new Certificate a v dalším kroku Prepare the request now, but send it later. V dalším kroku napište popisné jméno certifikátu a vyberte bitovou hloubku 2048 bitů. V dalších třech krocích upřesňujete údaje, které mají být uvedeny v CSR.

Informace o údajích vyplňovaných do CSR a příklad správného vyplnění naleznete v článku nápovědy věnovanému veřejnému klíči (CSR requestu).

Common name je kompletní název domény, pro kterou bude certifikát určen; uvádějte tedy kompletní adresu včetně subdomén. Po vyplnění údajů vás průvodce vyzve k uložení textového souboru s CSR requestem. Po uložení soubor otevřete a vykopírujte text CSR requestu, který vložíte do administrace SSLmarket v detailu objednávky SSL certifikátu.

Při obnově certifikátu na IIS 6 a IIS 7 vytvořte úplně nový CSR request. Nepoužívejte možnost Prodloužit (renew) v nabídce IIS. U obou serverů je chyba, která způsobuje neplatnost takto vytvořeného CSR requestu.

Instalace certifikátu na IIS 7

Po obdržení e-mailu od certifikační autority s nově vystaveným certifikátem vykopírujte zašifrovaný text včetně pomlček a uložte do souboru CER. Pro uložení prostého textu požijte program Notepad, doporučujeme nepoužívat editory typu Microsoft Word.

V prvním kroku instalace je nutné se přihlásit k Windows serveru s IIS7, kde je provozován web, na kterém bude bezpečnostní SSL certifikát zprovozněn. K serveru je zapotřebí se přihlásit jako Administrátor. Po úspěšném přihlášení klikněte na tlačítko "Start", následně zvolte položku "Administrative Tools" a vyberte "Internet Information Services Manager". V IIS manažeru v levé části okna vyberte název vašeho serveru a poté vyberte položku "Server Certificates".

V této části IIS manažeru je možné provádět veškerou správu SSL certifikátů. IIS by mělo nyní čekat na dokončení žádosti o certifikát a importování nově vystaveného certifikátu.

V pravé horní části vyberte možnost "Complete Certificate Request" a zobrazí se nové okno, ve kterém vyberete cestu k souboru certifikátu a zadáte popisné jméno certifikátu. To slouží k vašemu pojmenování a lepší orientaci mezi certifikáty na serveru. Dialog potvrďte kliknutím na OK, čímž certifikát na server nainstalujete.

Pokud se Vám zobrazí chyba o nenalezení žádosti o certifikát, nebylo možné přiřadit certifikát k privátnímu klíči. Neváhejte kontaktovat zákaznickou podporu a s novým CSR requestem provést přegenerování certifikátu, které je zdarma.

Poté, co byl certifikát nainstalován na server, je třeba jej přiřadit k příslušné "Website".
Z levého menu "Connections" zvolte jméno serveru, na kterém bude certifikát nainstalován. Pod "Sites" naleznete seznam webů, které jsou v IIS provozované. Vyberte konkrétní, ke kterému chcete certifikát přiřadit a v nabídce vpravo klikněte na "Bindings". Zobrazí se okno "Site Bindings", ve kterém klikněte na "Add". V následujícím dialogu upřesníte nastavení. Jako "Type" vyberete HTTPS, upřesněte IP adresu a port pro komunikaci; ten je zpravidla 443. Konfiguraci dokončete vybráním certifikátu, který byl dříve nainstalován. Poznáte ho podle názvu domény. Tento i následující dialog potvrďte. Pro provedení změn zastavte a znovu spusťte webový server. Pokud by se ani poté změna neprojevila, bude třeba provést restart serveru.

Certifikát je nyní na IIS nainstalován, avšak je nutné věnovat pozornost i Intermediate certifikátům, které zajišťují důvěryhodnost certifikátu přes Root certifikát autority. Autority zveřejňují Intermediate certifikáty společně ve formátu PKCS#7 a v jednom souboru s příponou P7B.

Setkáte-li se při importu PFX souboru s chybou A specified logon session does not exist. It may already have been terminated. (Exception from HRESULT: 0x80070520), nezatrhli jste při importu PFX i import privátního klíče. Řešením je odstranění certifikátu přes MMC a nový import.

Videonávod instalace SSL/TLS certifikátu na IIS 7

Proces instalace SSL/TLS certifikátu na IIS 7 (viz výše) můžete udělat i podle našeho videa. Ve videonávodu se dozvíte, jak po vystavení nového SSL certifikátu provést jeho instalaci na server a sprárování (Binding) s příslušnou doménou. Nezapomeňte provést také instalaci Intermediate certifikátů, kterému se ve videonápovědě také věnujeme.

Instalace certifikátu na IIS 6

Po obdržení emailu od certifikační autority s nově vystaveným certifikátem vykopírujte zašifrovaný text včetně pomlček a uložte do souboru CER. Pro uložení prostého textu požijte program Notepad, doporučujeme nepoužívat editory typu Microsoft Word.

Ve spuštěném IIS 6 klikněte pravým tlačítkem na website, se kterou chcete pracovat. Vyberte Properties a v následujícím okně vyberte záložku Directory Security. Vespodu okna uvidíte sekci Secure Communications, ve které klikněte na Server Certificate. Tímto spustíte průvodce, který čeká na dokončení žádosti o certifikát (CSR). V průvodci vyberte možnost Process the Pending Request and Install the Certificate a v dalším kroku vyberte soubor s certifikátem, který jste předtím vytvořili. V dalším kroku jako SSL Port zadejte číslo portu 443. Průvodce dokončete a tím úspěšně dokončíte i instalaci SSL certifikátu.

Správnost instalace SSL certifikátu si můžete ověřit nástrojem certifikační autority. Pro více informací čtete sekci Kontrola instalace SSL certifikátů v článku nápovědy o instalaci certifikátů.

V případě potřeby neváhejte kontaktovat naši zákaznickou podporu, která vám pomůže s výběrem certifikátu a jakýmkoliv dotazem.

DigiCert Certificate Utility for Windows

Pro správu certifikátů v prostředí Windows a Windows Server (vytvoření CSR, import vydaného certifikátu) doporučujeme program DigiCert Certificate Utility for Windows. Zvládnete s ním všechny úkoly (CSR, import, export) a můžete pomocí něj spravovat i Code Signing certifikáty.

Byl tento článek pro vás užitečný?

Nápověda

Aplikace SSLmarket