IIS 10: Zertifikatssignaturanforderung erstellen und SSL-Zertifikat installieren

In diesem Kapitel erhalten Sie eine Anleitung, um IIS 10 (Internetinformationsdienste Manager) dazu zu verwenden, Ihre CSR (Zertifikatssignaturanforderung) zu erstellen und dann Ihr SSL-Zertifikat auf Ihren Windows Server 2016 zu installieren. Es ist in die folgenden Abschnitte gegliedert:

Tipp

Wenn Sie nach einem einfacheren Weg suchen, um eine Zertifikatssignaturanforderung zu erstellen und Ihre SSL-Zertifikate zu installieren und zu verwalten, empfehlen wir die DigiCert® Certificate Utility for Windows. Sie können die DigiCert® Certificate Utility verwenden, um Ihre Zertifikatssignaturanforderung zu erstellen und Ihr SSL-Zertifikat zu installieren.

Weitere Informationen hierzu erhalten Sie unter: DigiCert Utility | Windows Server 2016 | Create a CSR & Install SSL Certificate (nur auf Englisch verfügbar).
Allgemeine Informationen zu SSL-Zertifikaten erhalten Sie unter: Was ist ein SSL-Zertifikat?
Bitte beachten Sie, dass Sie mit dem Klick auf diese Webadressen das TRASER DOCS verlassen. Für Inhalte auf diesen Webseiten ist TRASER Software GmbH nicht verantwortlich.

Zertifikatssignaturanforderung mit IIS 10 unter Windows Server 2016 erstellen

In diesem Abschnitt erfahren Sie, wie Sie Ihre Zertifikatssignaturanforderung mit IIS 10 erstellen. Gehen Sie hierzu wie folgt vor:

  • Geben Sie im Windows-Startmenü Internetinformationsdienste (IIS)-Manager ein und öffnen Sie den Manager.
  • Suchen Sie im Fenster Internetinformationsdienste (IIS)-Manager in der Menüstruktur unter Verbindungen (links) den Servernamen und klicken Sie darauf.
  • Doppelklicken Sie auf der Startseite (mittlerer Bereich) im IIS-Manager auf Serverzertifikate.
  • Klicken Sie auf der Seite Serverzertifikate im Menü Aktionen (rechts) auf die Option Zertifikatsanforderung erstellen….
  • Geben Sie im Assistenten Zertifikat anfordern auf der Seite Eigenschaften für definierte Namen die folgenden Informationen an und klicken Sie dann auf Weiter:
Information Beschreibung
Gemeinsamer Name: Geben Sie den vollständig qualifizierten Domainnamen (FQDN) an (z. B. www.example.com).
Organisation: Geben Sie den gesetzlich eingetragenen Namen Ihres Unternehmens ein (z. B. Beispiel GmbH).
Organisationseinheit: Der Name Ihrer Abteilung innerhalb der Organisation. Häufig wird dieser Eintrag als "IT" bzw. "Web-Sicherheit" aufgeführt oder einfach leer gelassen.
Ort: Geben Sie die Stadt ein, in der Ihr Unternehmen rechtmäßig ansässig ist.
Bundesland/Kanton: Geben Sie das/den Bundesland/Kanton ein, in dem Ihr Unternehmen rechtmäßig ansässig ist.
Land/Region: Wählen Sie in der Dropdown-Liste das Land aus, in dem Ihr Unternehmen rechtmäßig ansässig ist.
  • Geben Sie auf der Seite Eigenschaften für Kryptografiedienstanbieter die nachfolgenden Informationen an und klicken Sie dann auf Weiter.
Information Beschreibung
Kryptografiedienstanbieter: Wählen Sie aus der Dropdown-Liste Microsoft RSA SChannel Cryptographic Provider aus, sofern Sie keinen anderen Kryptografiedienstanbieter bevorzugen.
Bitlänge: Wählen Sie in der Dropdown-Liste 2048 aus, es sei denn, Sie haben einen besonderen Grund, sich für eine größere Bitlänge zu entscheiden.
  • Klicken Sie auf der Seite Dateiname unter Dateiname für die Zertifikatsanforderung auf das Feld , um zu einem Speicherort zu navigieren, an dem Sie Ihre Zertifikatssignaturanforderung speichern möchten.

Hinweis

Merken Sie sich den gewählten Dateinamen und den Ort, an dem Sie Ihre csr.txt-Datei speichern. Wenn Sie einfach einen Dateinamen eingeben, ohne einen Speicherort zu definieren, wird Ihre Zertifikatssignaturanforderung unter dem Standardpfad C:\Windows\System32 gespeichert.

  • Klicken Sie auf Fertig stellen, wenn Sie fertig sind.
  • Öffnen Sie die Datei anschließend mit einem Texteditor (z. B. Notepad).
  • Kopieren Sie dann den Text, einschließlich der Tags -----BEGIN NEW CERTIFICATE REQUEST----- und -----END NEW CERTIFICATE REQUEST-----, und fügen Sie ihn in das DigiCert-Bestellformular ein.
  • Um Ihr SSL-Zertifikat zu bestellen, klicken Sie auf den folgenden Link: TLS/SSL-Zertifikate. Bitte beachten Sie, dass Sie mit dem Klick auf die Webadresse das TRASER DOCS verlassen. Für Inhalte auf diesen Webseiten ist TRASER Software GmbH nicht verantwortlich.

Sie haben erfolgreich ein SSL-Zertifikat bestellt. Nachdem Sie Ihr SSL-Zertifikat von DigiCert erhalten haben, können Sie es installieren und einer Website zuweisen.

SSL-Zertifikat unter Windows Server 2016 installieren und konfigurieren

Nachdem Ihr SSL-Zertifikat validiert und ausgestellt wurde, müssen Sie es auf dem Windows 2016-Server installieren, auf dem die Zertifikatssignaturanforderung generiert wurde. Anschließend müssen Sie den Server für die Verwendung des Zertifikats konfigurieren. Gehen Sie dazu wie folgt vor:

  • Speichern Sie auf dem Server, auf dem Sie die Zertifikatssignaturanforderung erstellt haben, die .cer-Datei für das SSL-Zertifikat (z. B. ihre_Domain_com.cer), die DigiCert an Sie gesendet hat.
  • Geben Sie im Windows-Startmenü Internetinformationsdienste (IIS)-Manager ein und öffnen Sie den Manager.
  • Suchen Sie im Internetinformationsdienste (IIS)-Manager im Menübaum Verbindungen (links) den Servernamen und klicken Sie darauf.
  • Doppelklicken Sie auf der Startseite (mittlerer Bereich) im IIS-Manager auf Serverzertifikate.
  • Klicken Sie auf der Seite Serverzertifikate im Menü Aktionen (rechts) auf die Option Zertifikatsanforderung abschließen….
  • Geben Sie im Assistenten Zertifikatsanforderung abschließen auf der Seite Antwort der Zertifizierungsstelle angeben die folgenden Informationen ein:
Information Beschreibung
Name der Datei mit der Antwort der Zertifizierungsstelle: Klicken Sie auf das Feld und wählen Sie die .cer-Datei (z. B. Ihre_Domain_com.cer) aus, die DigiCert an Sie geschickt hat.
Anzeigename: Geben Sie einen Anzeigenamen für das Zertifikat ein. Der Anzeigename ist nicht Teil des Zertifikats, sondern wird zur Identifizierung des Zertifikats verwendet. Wir empfehlen Ihnen, DigiCert und das Ablaufdatum am Ende des Anzeigenamens hinzuzufügen, beispielsweise: ihreseite-digicert-(Ablaufdatum). Diese Informationen helfen bei der Identifizierung des Ausstellers und des Ablaufdatums für jedes Zertifikat. Sie helfen auch bei der Unterscheidung mehrerer Zertifikate mit demselben Domainnamen.
Zertifikatsspeicher für das neue Zertifikat auswählen: Wählen Sie Webhosting aus der Dropdown-Liste.
  • Bestätigen Sie Ihre Angaben mit OK
  • Erweitern Sie im Internetinformationsdienste (IIS)-Manager im Menübaum Verbindungen (links) den Namen des Servers, auf dem das Zertifikat installiert wurde. Erweitern Sie dann Sites und klicken Sie auf die Website, die Sie mit dem SSL-Zertifikat sichern möchten.
  • Klicken Sie auf der Website Default Web Site Startseite im Menü Aktionen (rechts) unter dem Punkt Site bearbeiten auf die Option Bindungen….
  • Klicken Sie im Fenster Sitebindungen auf Hinzufügen.
  • Geben Sie im Fenster Sitebindungen hinzufügen die folgenden Informationen an:
Information Beschreibung
Typ: Wählen Sie aus der Dropdown-Liste https aus.
IP-Adresse: Wählen Sie aus der Dropdown-Liste die IP-Adresse der Website aus oder wählen Sie die Option Keine zugewiesen aus.
Port: Geben Sie in diesem Feld 443 an. Der Port, über den der Traffic durch SSL geschützt wird, lautet 443.
SSL-Zertifikat: Wählen Sie aus der Dropdown-Liste Ihr neues SSL-Zertifikat (beispielsweise ihredomain.com) aus.
  • Bestätigen Sie Ihre Angaben mit OK

Sie haben erfolgreich Ihr SSL-Zertifikat installiert und die Website konfiguriert, damit sichere Verbindungen akzeptiert werden.

Weitere SSL-Zertifikate mit SNI installieren

Wenn Sie mehrere Websites über den gleichen Server betreiben möchten, benötigen Sie für jede Domain ein eigenes SSL-Zertifikat. Zusätzlich muss Ihr Server SNI (Server Name Indication) unterstützen, um mehrere Zertifikate über den gleichen Host bzw. die gleiche IP-Adresse verwalten zu können. Gehen Sie für jedes weitere SSL-Zertifikat, das Sie installieren und zuweisen möchten, wie folgt vor:

  • Speichern Sie auf dem Server, auf dem Sie die Zertifikatssignaturanforderung erstellt haben, die .cer-Datei für das SSL-Zertifikat (beispielsweise ihre_domain_com.cer), die Ihnen DigiCert gesendet hat.
  • Geben Sie im Startmenü von Windows Internetinformationsdienste (IIS)-Manager ein und öffnen Sie den Manager.
  • Suchen Sie im Internetinformationsdienste (IIS)-Manager unter dem Menübaum Verbindungen den Servernamen und klicken Sie darauf.
  • Doppelklicken Sie auf der Startseite (mittlerer Bereich) im IIS-Manager auf Serverzertifikate.
  • Klicken Sie auf der Seite Serverzertifikate im Menü Aktionen (rechts) auf die Option Zertifikatsanforderung abschließen….
  • Geben Sie im Assistenten Zertifikatsanforderung abschließen auf der Seite Antwort der Zertifizierungsstelle angeben die folgenden Informationen ein und klicken Sie dann auf OK.
Information Beschreibung
Name der Datei mit der Antwort der Zertifizierungsstelle: Klicken Sie auf das Feld und wählen Sie die .cer-Datei (z. B. Ihre_Domain_com.cer) aus, die DigiCert an Sie geschickt hat.
Anzeigename: Geben Sie einen Anzeigenamen für das Zertifikat ein. Der Anzeigename ist nicht Teil des Zertifikats, sondern wird zur Identifizierung des Zertifikats verwendet. Wir empfehlen Ihnen, DigiCert und das Ablaufdatum am Ende des Anzeigenamens hinzuzufügen, beispielsweise: ihreseite-digicert-(Ablaufdatum). Diese Informationen helfen bei der Identifizierung des Ausstellers und des Ablaufdatums für jedes Zertifikat. Sie helfen auch bei der Unterscheidung mehrerer Zertifikate mit demselben Domainnamen.
Zertifikatsspeicher für das neue Zertifikat auswählen: Wählen Sie Webhosting aus der Dropdown-Liste.
  • Nun, da Sie Ihr SSL-Zertifikat erfolgreich installiert haben, müssen Sie das Zertifikat der entsprechenden Website zuweisen.
  • Erweitern Sie im Internetinformationsdienste (IIS)-Manager im Menübaum Verbindungen (links) den Namen des Servers, auf dem das Zertifikat installiert wurde. Erweitern Sie dann Sites und klicken Sie auf die Website, die Sie mit dem SSL-Zertifikat sichern möchten.
  • Klicken Sie auf der Website Default Web Site Startseite im Menü Aktionen (rechts) unter dem Punkt Site bearbeiten auf die Option Bindungen….
  • Klicken Sie im Fenster Sitebindungen auf Hinzufügen.
  • Geben Sie im Fenster Sitebindungen hinzufügen die folgenden Informationen an und klicken Sie dann auf OK:
Information Beschreibung
Typ: Wählen Sie aus der Dropdown-Liste https aus.
IP-Adresse: Wählen Sie aus der Dropdown-Liste die IP-Adresse der Website aus oder wählen Sie die Option Keine zugewiesen aus.
Port: Geben Sie in diesem Feld 443 an. Der Port, über den der Traffic durch SSL geschützt wird, lautet 443.
Hostname: Geben Sie den Hostnamen an, den Sie sichern möchten.
Angabe des Servernamens erfordern: Nachdem Sie den Hostnamen eingegeben haben, markieren Sie dieses Feld. Dies ist für alle weiteren Zertifikate/Sites erforderlich, nachdem Sie das erste Zertifikat installiert und die Hauptsite gesichert haben.
SSL-Zertifikat: Wählen Sie aus der Dropdown-Liste Ihr neues SSL-Zertifikat (beispielsweise ihredomain2.com) aus.

Sie haben erfolgreich ein weiteres SSL-Zertifkat installiert und die Website konfiguriert, sodass sichere Verbindungen akzeptiert werden.