Het instellen van een SSL-certificaat op IIS is soms niet zo eenvoudig als even de wizard doorlopen. Je kunt problemen tegenkomen zoals certificaten die niet verschijnen, browserwaarschuwingen of SSL-componenten die helemaal niet werken. Dat is best frustrerend, vooral als je je website snel wilt beveiligen. Gelukkig kunnen de meeste van deze problemen worden opgelost met een paar aanpassingen of door een aantal instellingen te controleren. Deze handleiding behandelt de essentiële stappen – van het genereren van een correcte CSR tot het koppelen van het certificaat aan IIS – en geeft ook een aantal praktische tips om veelvoorkomende problemen met niet-verschijnende SSL-certificaten of browserfouten te voorkomen.
Hoe los je veelvoorkomende SSL/TLS-configuratieproblemen in IIS op?
Een correcte CSR aanmaken die ervoor zorgt dat uw certificaat niet wordt afgewezen.
Als uw SSL-certificaat na de installatie steeds foutmeldingen geeft, is de kans groot dat de CSR onjuist of met verkeerde instellingen is gegenereerd. Om een correct herkende CSR te genereren, opent u de Internet Information Services (IIS) Manager ( InetMgr.exe), navigeert u naar Servercertificaten. Selecteer vervolgens Certificaatverzoek maken. Zorg ervoor dat u het formulier zorgvuldig invult:
- Algemene naam : Deze moet exact overeenkomen met de URL van uw site, bijvoorbeeld
reports.woshub.com, of een wildcard zoals*.woshub.com. Anders geven browsers certificaatfouten weer. - Organisatie & Organisatie-eenheid : Vul hier uw officiële bedrijfsgegevens in. Voor persoonlijke websites, als u een DV-certificaat gebruikt, vult u uw volledige naam in.
- Plaats/stad, staat, land : Wees nauwkeurig — onjuiste informatie kan leiden tot een validatiefout.
Bij het kiezen van een cryptografische provider, gebruik de standaard Microsoft RSA SChannel Cryptographic Provider en stel de sleutellengte in op minimaal 2048 bits. Nadat u alle informatie hebt ingevuld, slaat u de CSR op als een tekstbestand. Soms kopieert u de tekst rechtstreeks naar de interface van uw CA, maar als het een bestand is, zorg er dan voor dat het begint met -----BEGIN NEW CERTIFICATE REQUEST-----en eindigt met -----END NEW CERTIFICATE REQUEST-----. Als u vastloopt, controleer dan uw CSR op typefouten of ontbrekende informatie – een veelvoorkomende reden waarom certificaten worden geweigerd.
Uw SSL-certificaat correct installeren in IIS
Zodra de certificeringsinstantie (CA) u het. CER-bestand heeft gestuurd, moet u ervoor zorgen dat u het correct importeert. Als uw certificaat in DER- of Base64-formaat is, dubbelklikt u er gewoon op in Windows om de wizard Certificaat importeren te openen. Kies vervolgens ‘ Plaats alle certificaten in de persoonlijke certificatenopslag, tenzij u weet dat u een andere nodig hebt’.Soms zorgt het importeren in de verkeerde opslag ervoor dat het certificaat niet wordt weergegeven wanneer u het probeert te koppelen in IIS. Als uw certificaat in. CRT-formaat is geleverd, maar u het in PFX-formaat nodig hebt (voor bepaalde koppelingen), kunt u OpenSSL gebruiken om het te converteren.
$ openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crtDeze stap is cruciaal: Windows verwacht vaak dat het certificaat plus de bijbehorende privésleutel in een gecombineerd PFX-bestand staan. Als u een afzonderlijk CRT-bestand en een aparte sleutel probeert te importeren, werkt dit niet tenzij u ze samen verpakt. Opmerking: in sommige configuraties kan het ook werken om het CRT-bestand te exporteren als een. CER-bestand (Base-64 X.509), maar PFX is flexibeler voor bindingen en importeren/exporteren.
Het SSL-certificaat koppelen en ervoor zorgen dat het werkt
Dit kan mensen gemakkelijk in de war brengen. Ga naar je IIS-site en klik op Website beheren > Bindingen. Klik op Toevoegen en stel het volgende in:
- Type :
https - IP-adres : Meestal
All Unassigned, of kies er een als uw server meerdere websites host. - Poort : 443 (standaard SSL-poort)
- Hostnaam : Het domein van uw site, bijvoorbeeld
reports.woshub.com - SSL-certificaat : Selecteer het certificaat dat u zojuist hebt geïnstalleerd.
Soms pakt IIS het nieuwe certificaat na deze stap niet meteen op. Herstart IIS met de opdracht `sudo apt-restart` iisreset— dit is als het ware een duwtje in de rug voor de server. Open daarna uw site in een browser met de opdracht `sudo apt-restart` https://en als alles correct is ingesteld, zou u het groene hangslotje moeten zien. Zo niet, controleer dan of de certificaatketen compleet is in de ontwikkelaarstools van uw browser of bekijk de certificaatdetails.
Oh, en vergeet niet: bij sommige Windows-systemen moet je mogelijk ook de SSL-protocollen in het register inschakelen (zoals TLS 1.2 of 1.3), of je IIS-instellingen aanpassen als je waarschuwingen over gemengde inhoud ziet. Het is een beetje omslachtig, maar de moeite waard.
Als je een gratis SSL-certificaat gebruikt, zoals Let’s Encrypt, kunnen tools zoals Certbot of een speciale IIS-plug-in dit grotendeels automatiseren. Vergeet niet dat verlengingen periodiek moeten worden uitgevoerd, anders ontvang je waarschuwingen vóór de vervaldatum.
Samenvatting
- Genereer een correcte CSR met de juiste informatie, met name uw domeinnaam.
- Gebruik OpenSSL indien nodig om certificaatformaten te converteren.
- Importeer het certificaat correct in Windows, in de Persoonlijke certificatenopslag.
- Koppel het SSL-certificaat correct in IIS met poort 443 en de juiste hostnaam.
- Start IIS opnieuw op als het certificaat niet direct verschijnt of niet werkt.
Samenvatting
SSL werkend krijgen op IIS kan soms een hele klus zijn, maar als alles eenmaal goed is ingesteld, werkt het meestal gewoon – zelfs als er een paar aanpassingen nodig waren. De meest voorkomende problemen worden meestal veroorzaakt door onjuiste hostnamen, een verkeerde CSR-generatie of problemen met het certificaatarchief. Door deze zaken in de gaten te houden, verloopt het hele proces een stuk soepeler. Hopelijk bespaart dit iemand een paar uur frustratie. Succes en blijf veilig!