Wie installiere ich ein SSL/TLS-Zertifikat auf meiner EC2-Windows-Instance, die auf einem IIS-Server ausgeführt wird?

Kurzbeschreibung

Hinweis: Wenn du Elastic Load Balancing (ELB) verwendest, kannst du dann ein von Amazon bereitgestelltes Zertifikat von AWS Certificate Manager (ACM) verwenden. Weitere Informationen findest du unter Wie ordne ich ein ACM SSL/TLS-Zertifikat einem Application, Network oder Classic Load Balancer zu?

Es gibt drei Schritte, um ein SSL/TLS-Zertifikat auf der EC2-Windows-Instance zu installieren:

1. Erstelle eine Certificate Signing Request (CSR) und fordere ein SSL/TLS-Zertifikat an.
2. Installiere das SSL/TLS-Zertifikat.
3. Weise das SSL/TLS-Zertifikat der IIS-Bereitstellung zu.

Du kannst auch ein vorhandenes SSL/TLS-Zertifikat ändern, das einer Site zugewiesen ist.

Lösung

Eine CSR erstellen und ein SSL/TLS-Zertifikat anfordern

Führe die folgenden Schritte aus:

1. Öffne den IIS-Manager. Um den IIS-Manager zu öffnen, wähle zuerst Start, dann Systemsteuerung, dann Verwaltungsprogramme und dann Internet Information Services (IIS) Manager.
2. Wähle unter Verbindungen den Namen des Servers, auf dem du das Zertifikat installieren möchtest.
3. Wähle auf der Startseite im Abschnitt IIS die Option Serverzertifikate.
4. Wähle in der Konsole Serverzertifikate unter Aktionen die Option Zertifikatsanforderung erstellen.
5. Gib im Assistenten in Zertifikatsanforderung die folgenden Werte ein:
   Gib für Allgemeiner Name den vollqualifizierten Domain-Namen (FQDN) der Domain ein (z. B. www.example.com).
   Gib für Organisation den Namen des Unternehmens ein.
   (Optional) Gib für Organisationseinheit den Namen der Abteilung innerhalb der Organisation ein.
   Gib für Stadt/Ort die Stadt ein, in der das Unternehmen rechtlich ansässig ist.
   Gib für Bundesstaat/Provinz den Bundesstaat oder die Provinz ein, in der das Unternehmen rechtlich ansässig ist.
   Gib für Land das Land ein, in dem das Unternehmen rechtlich ansässig ist.
6. Wähle Weiter.
7. Gib für Eigenschaften des Cryptographic Service Providers, die folgenden Werte ein:
   Wähle für Cryptographic Service Provider die Option ** Microsoft RSA Channel Cryptographic Provider** aus. Du kannst auch andere Optionen auswählen.
   Wähle für Bitlänge 2048 aus. Es empfiehlt sich, 2048 zu verwenden, sofern kein höherer Wert erforderlich ist.
8. Wähle Weiter.
9. Navigiere für Dateiname zu dem Speicherort, an dem du die CSR speichern möchtest.
   Hinweis: Wenn du keinen Speicherort angibst, wird die Datei unter C:\windows\system32 oder ProgramData\Microsoft\Windows\Startmenü\Programme\Verwaltungsprogramme gespeichert.
10. Wähle Fertigstellen.
11. Verwende einen Texteditor, um den Text aus der erstellten Datei zu kopieren. Das Folgende ist ein Beispiel für den Text:

-----BEGIN NEW CERTIFICATE REQUEST-----<examplekey>
-----END NEW CERTIFICATE REQUEST-----

12. Sende den vorangehenden Wert einschließlich der ersten und letzten Zeile an den von Ihnen ausgewählten Zertifikatsanbieter, damit dieser das Zertifikat ausstellen kann.

Wenn das Zertifikat verfügbar ist, installiere das SSL/TLS-Zertifikat.

SSL/TLS-Zertifikat installieren

Führe die folgenden Schritte aus:

1. Speichere die von dem ausgewählten Anbieter ausgestellte Zertifikatsdatei auf dem Server, auf dem du die CSR erstellt hast.
2. Öffne den IIS-Manager.
3. Wähle unter Verbindungen den Namen des Servers, auf dem du das Zertifikat installieren möchtest.
4. Wähle im Abschnitt IIS die Option Serverzertifikate.
5. Wähle unter Aktionen die Option Zertifikatsanforderung abschließen.
6. Gib im Assitenten Antwort der Zertifizierungsstelle angeben die folgenden Informationen ein:
   Wähle für Dateiname, der die Antwort der Zertifizierungsstelle enthält, die Zertifikatsdatei (.cer) aus.
   Gib für Anzeigename, einen Namen ein, um das Zertifikat zu identifizieren. Es hat sich bewährt, das Ablaufdatum und den Anwendungsfall hinzuzufügen, um die Identifizierung zu erleichtern.
   Wähle für Wähle einen Zertifikatsspeicher für das neue Zertifikat aus die Option Webhosting aus.

Nachdem das SSL/TLS-Zertifikat auf dem Server installiert und einsatzbereit ist, weise es der Site zu.

SSL-Zertifikat der IIS-Bereitstellung zuweisen

Führe die folgenden Schritte aus:

1. Öffne den IIS-Manager.
2. Wähle unter Verbindungen den Namen des Servers, auf dem du das Zertifikat installieren möchtest.
3. Wähle Sites aus, um den Abschnitt zu erweitern und wähle dann die Site aus, der du das Zertifikat zuweisen möchtest.
4. Wähle unter Aktionen die Option Bindungen.
5. Wähle im Assistenten Site-Bindungen die Option Hinzufügen.
6. Gib für Site-Bindung hinzufügen die folgenden Informationen ein:
   Wähle für Typ die Option HTTPS aus.
   Wähle für IP-Adresse die IP-Adresse der Site aus. Oder wähle Alle nicht zugewiesen aus.
   Gib unter Port den Wert 443 ein. Port 443 ist der Port, der von HTTPS für SSL/TLS-gesicherten Datenverkehr verwendet wird.
   Wähle für SSL-Zertifikat das SSL-Zertifikat für diese Website aus (z. B. www.example.com).
7. Wähle OK.

Das SSL/TLS-Zertifikat ist dieser speziellen Site zur Verwendung mit HTTPS zugewiesen.

Ein vorhandenes SSL/TLS-Zertifikat, das einer Site zugewiesen ist, ändern

Gehe wie folgt vor, um ein Zertifikat zu ändern, das einer Site zugewiesen ist:

1. Folge den Schritten im Abschnitt Erstelle eine CSR und fordere ein SSL/TLS-Zertifikat an in diesem Artikel.
2. Folge den Schritten im Abschnitt Installiere das SSL/TLS-Zertifikat in diesem Artikel.
3. Folgen den Schritten 1–4 im Abschnitt Weise das SSL/TLS-Zertifikat der IIS-Bereitstellung zu in diesem Artikel.
4. Suche im Assistenten für Site-Bindungen nach der HTTPS-Bindung. Wähle die Bindung aus und klicke dann auf Bearbeiten.
5. Wähle das neue Zertifikat aus der Dropdown-Liste für SSL-Zertifikate aus und wähle dann Ok.