In Zeiten von Let's Encrypt gelten verschlüsselte Websites inzwischen zum Standard. Doch auch Wildcard- oder Extended-Zertifikate mit besonders vertrauenswürdiger Inhaber-Validierung werden oft benötigt. Der Anbieter DomainFactory bietet hier kostengünstige SSL-Zertifikate an, die man auch extern nutzen kann. Die Einrichtung auf einem aktuellen IIS gelingt ohne CSR mit Hilfe von OpenSSL. Nachfolgend zeige ich kurz, welche Schritte dazu erforderlich sind.
Zunächst wählt man als Domainname die gewünschte Adresse (durch Eingabe mit „www“, damit später sowohl https://tld.com als auch https://www.tld.com verschlüsselt sind):
Nach der Auswahl des gewünschten Zertifikats und der Laufzeit lässt man DomainFactory einen eigenen CSR erzeugen:
Die zweite Option (Upload eines eigenen CSRs) ist nicht notwendig und umständlich (der IIS bietet standardmäßig keine Möglichkeit, von DomainFactory benötigte SHA256 verschlüsselte Requests zu erzeugen). Nach der erfolgreichen Bestellung lädt man sich das SSL-Zertifikat, den privaten Schlüssel sowie das Intermediate CA Bundle herunter:
Nun kombiniert man (unter Vergabe eines sicheren Passworts) mit Hilfe von OpenSSL den Schlüssel sowie das Zertifikat in einer pfx-Datei:
openssl pkcs12 -export -out www.tld.com.pfx -inkey www.tld.com.key -in www.tld.com.crt
Schließlich lädt man das Zwischenzertifikat auf den Windows-Server:
Anschließend folgt der Import der erzeugten pfx-Datei im IIS-Manager (im Bereich Serverzertifikate) unter Eingabe des zuvor vergebenen Passworts:
Schließlich passt man noch die Bindungen (jeweils ein Eintrag mit und ein Eintrag ohne www) an:
Soll der Server nach außen hin erreichbar sein, öffnet man im Router / in der Firewall noch Port 443.