HTTP mengirimkan data dalam teks biasa sehingga rentan terhadap penyadapan dan perubahan. Browser modern juga menandai situs HTTP sebagai "Tidak Aman." Panduan ini menjelaskan cara menginstal sertifikat SSL pada server Internet Information Services (IIS) Windows untuk mengaktifkan HTTPS serta memverifikasi instalasi tersebut.
Jika Anda memiliki pertanyaan, hubungi manajer akun Anda untuk mendapatkan bantuan.
Prasyarat
Sebelum memulai, pastikan hal-hal berikut:
-
Sertifikat Anda valid. Anda memiliki sertifikat SSL yang dikeluarkan oleh otoritas sertifikat (CA) tepercaya. Jika sertifikat telah kedaluwarsa atau akan segera kedaluwarsa, perbarui terlebih dahulu.
-
Sertifikat Anda mencakup domain yang tepat. Sertifikat harus sesuai dengan semua domain yang ingin diamankan:
-
Sertifikat dengan pencocokan eksak (misalnya,
example.com) hanya melindungi domain spesifik tersebut dan tidak melindungiwww.example.comatau subdomain apa pun. -
Sertifikat wildcard (misalnya,
*.example.com) melindungi subdomain tingkat pertama sepertiwww.example.comdana.example.com, tetapi tidak melindungi domain rootexample.comatau subdomain multi-level sepertia.b.example.com.
Untuk melindungi subdomain multi-level, bidang Bound Domains harus berisi domain eksak (seperti
a.b.example.com) atau wildcard yang sesuai (seperti*.b.example.com). Untuk menambah atau mengubah domain, beli sertifikat komersial atau modifikasi domain yang dibind. -
-
Anda memiliki akses administrator. Masuk dengan akun
Administratoratau akun dengan hak istimewa administrator. Resolusi nama domain: Rekaman DNS domain telah dikonfigurasi dan di-resolve ke alamat IP publik server.
-
DNS mengarah ke server Anda. Rekaman DNS domain mengarah ke alamat IP publik server.
-
Versi OS Anda didukung. Instruksi ini berlaku untuk Windows Server 2008 R2 dan versi yang lebih baru. Antarmuka pengguna mungkin berbeda antarversi — sesuaikan langkah-langkahnya sesuai kebutuhan.
Langkah 1: Siapkan sertifikat SSL
-
Buka konsol SSL Certificate Service. Pada kolom Actions untuk sertifikat target, klik Download Certificate. Di tab Download, pilih IIS sebagai Server Type, lalu unduh sertifikat tersebut.
-
Ekstrak paket sertifikat yang diunduh:
-
Jika paket berisi file sertifikat (
.pfx) dan file password (.txt), simpan kedua file tersebut karena Anda akan memerlukannya selama penerapan. > Important: Sistem menghasilkan password baru setiap kali Anda mengunduh sertifikat. Password ini hanya berlaku untuk file sertifikat yang diunduh dalam sesi yang sama. -
Jika paket hanya berisi file sertifikat
.pem, konversikan ke format.pfxmenggunakan toolkit sertifikat. Untuk detailnya, lihat Mengonversi format sertifikat. > Note: Jika Anda menggunakan tool seperti OpenSSL atau keytool untuk menghasilkan Certificate Signing Request (CSR) saat mengajukan sertifikat, kunci privat disimpan secara lokal dan tidak termasuk dalam paket yang diunduh. Jika Anda kehilangan kunci privat, Anda tidak dapat menggunakan sertifikat tersebut — Anda harus membeli sertifikat baru dan menghasilkan CSR serta kunci privat baru.
-
-
Unggah file sertifikat ke server.
-
Tarik file sertifikat dari direktori Workbench ke drive
C:atau drive lokal lainnya untuk disimpan.
Langkah-langkah berikut menggunakan contoh instans Alibaba Cloud Elastic Compute Service (ECS). Untuk jenis server lain, rujuk dokumentasi resmi mereka.
PentingSaat Anda memutuskan koneksi atau keluar dari instans, Workbench secara otomatis menghapus semua file dari direktori Redirected drives and folders. Direktori ini hanya untuk transfer file — jangan gunakan untuk penyimpanan permanen.

-
Langkah 2: Buka port 443
Buka port 443 di grup keamanan
Jika server Anda di-host di platform cloud, grup keamanan harus mengizinkan lalu lintas inbound pada port 443 (TCP). Jika tidak, HTTPS tidak dapat diakses dari internet. Langkah-langkah berikut menggunakan Alibaba Cloud ECS. Untuk platform lain, lihat dokumentasi resmi mereka.
-
Masuk ke Konsol ECS. Pilih wilayah instans target. Di halaman Instances, temukan instans tersebut.
-
Klik nama instans untuk membuka halaman detail. Buka Security Groups > Internal Inbound Rules dan periksa apakah ada aturan dengan pengaturan berikut: Action = Allow, Protocol Type = TCP, Destination Port Range = HTTPS (443), Authorization Object = All IPv4 Addresses.
-
Jika aturan ini tidak ada, tambahkan aturan grup keamanan.
Buka port 443 di firewall Windows
-
Masuk ke server Windows. Klik Start, lalu buka Control Panel.
-
Buka System and Security > Windows Firewall > Check firewall status.
-
Jika firewall dimatikan, tidak perlu tindakan lebih lanjut — lanjutkan ke Langkah 3: Impor sertifikat SSL di MMC.

-
Jika firewall aktif, buka Advanced settings > Inbound Rules dan periksa apakah ada aturan dengan Protocol = TCP, Local Port = 443, dan Action = Block. Jika aturan ini ada, klik kanan, pilih Properties, buka tab General, ubah pengaturannya menjadi Allow the connection, lalu klik Apply.
Langkah 3: Impor sertifikat SSL di MMC
-
Klik Start, cari Run, lalu buka. Masukkan
mmcdan klik OK. -
Di konsol MMC, tambahkan snap-in Certificates:
-
Di kotak dialog Certificates snap-in, pilih Computer Account, lalu klik Next.
-
Di kotak dialog Select Computer, pilih Local computer (the computer this console is running on), lalu klik Finish.
-
Klik OK.

-
-
Di panel navigasi kiri, perluas Console Root > Certificates (Local Computer). Klik kanan Personal, lalu buka All Tasks > Import.

-
Ikuti Certificate Import Wizard:
-
Password: Buka file password
.txt, salin isinya, tempelkan ke bidang Password, lalu klik Next. -
Certificate Store: Pilih Automatically select the certificate store based on the type of certificate, lalu klik Next.
-
Completing the Certificate Import Wizard: Klik Finish. Saat pesan The Import Was Successful muncul, klik OK.

-
Langkah 4: Bind sertifikat di IIS Manager
Windows Server 2012 R2 dan versi yang lebih baru
-
Klik ikon
Start, lalu buka Server Manager > Tools > IIS Manager. -
Di panel Connections, perluas node server, klik Sites, lalu pilih website target. Di panel Actions, klik Bindings.

-
Di kotak dialog Site Bindings, klik Add.
-
Di kotak dialog Add Site Binding, konfigurasikan pengaturan sesuai skenario Anda, lalu klik OK.
Website tunggal atau beberapa website berbagi satu sertifikat
Gunakan konfigurasi ini jika Anda memiliki satu website atau jika beberapa website menggunakan sertifikat yang sama.
-
Type: Pilih https.
-
IP address: Pilih alamat IP server. Jika server hanya memiliki satu alamat IP, biarkan sebagai All Unassigned.
-
Port: Pertahankan nilai default 443.
Port 443 adalah port HTTPS standar. Jika Anda menggunakan port non-standar, pengguna harus menyertakannya dalam URL (misalnya,
https://domain.com:8443). -
Host name: Masukkan domain yang ingin diamankan, seperti
domain.com. -
Require Server Name Indication: Biarkan tidak dicentang untuk pengaturan situs tunggal.
-
SSL certificate: Pilih sertifikat yang telah Anda impor.
Beberapa website, masing-masing dengan sertifikat sendiri (disarankan: SNI)
Server Name Indication (SNI) memungkinkan Anda meng-host beberapa website yang diaktifkan HTTPS pada satu alamat IP dan port yang sama. Ini merupakan pendekatan yang direkomendasikan untuk Windows Server 2012 R2 dan versi yang lebih baru.
Pada contoh di bawah, dua website (web01 dan web02) berbagi alamat IP dan port 443 yang sama. Pilih Require Server Name Indication untuk setiap situs. Jika Anda melewatkannya, IIS akan menampilkan error: "At least one other site is using the same HTTPS binding."

Untuk setiap website:
-
Type: Pilih https.
-
IP address: Pertahankan default All Unassigned jika server memiliki satu alamat IP.
-
Port: Pertahankan nilai default 443.
-
Host name: Masukkan nama domain situs (misalnya,
example1.comatauexample2.com). -
Require Server Name Indication: Centang kotak ini.
-
SSL certificate: Pilih sertifikat yang sesuai dengan situs tersebut.
Setelah Anda mengonfigurasi semua situs, Anda mungkin melihat peringatan: The default SSL site has not been created... Ini berarti browser lama yang tidak mendukung SNI (seperti Internet Explorer pada Windows XP) akan mengalami error. Untuk mendukung browser tersebut, siapkan situs SSL default sebagai fallback:
Situs SSL default menangani permintaan dari browser yang tidak kompatibel dengan SNI. Konfigurasikan sebagai halaman kosong atau halaman pengalihan. Jika pengguna Anda tidak menggunakan browser lawas, abaikan peringatan ini.
-
Di IIS Manager, perluas node server, lalu klik Sites. Pilih Default Web Site atau tambahkan website baru. Di panel Actions, klik Bindings.
-
Klik Add. Konfigurasikan binding sebagai berikut, lalu klik OK.
-
Type: Pilih https.
-
IP address: Pilih alamat IP server.
-
Port: Pertahankan default 443.
-
Host name: Biarkan kosong.
-
Require Server Name Indication: Biarkan tidak dicentang.
-
SSL certificate: Pilih sertifikat yang telah diimpor.

-
Beberapa website, masing-masing dengan alamat IP sendiri
Pendekatan ini mengharuskan Anda memodifikasi rekaman DNS — alamat IP entri berubah dari satu IP menjadi beberapa IP. Hal ini dapat memengaruhi layanan yang sedang berjalan. Evaluasi dampak bisnis sebelum melanjutkan.
-
Buat Elastic Network Interface (ENI) sekunder, lalu sambungkan ke instans ECS. Untuk detailnya, lihat Buat dan gunakan ENI.
-
Buat elastic IP addresses (EIPs), lalu asosiasikan dengan ENI sekunder. Pemetaan IP publik ke IP privat ditunjukkan di bawah ini.

-
Di penyedia DNS Anda, arahkan setiap domain ke alamat IP publik yang sesuai — misalnya,
example1.comke106.xx.xx.198danexample2.comke101.xx.xx.50. -
Di IIS Manager, konfigurasikan setiap website sebagai berikut:
Untuk setiap website:-
Type: Pilih https.
-
IP address: Masukkan alamat IP privat situs (misalnya,
192.168.1.211untuk Web01). -
Port: Pertahankan nilai default 443.
-
SSL certificate: Pilih sertifikat yang sesuai dengan situs tersebut.
IIS website SSL certificate IP address (private) Public IP address Web01 Certificate for example1.com192.168.1.211106.xx.xx.198Web02 Certificate for example2.com192.168.1.212101.xx.xx.50 -
-
Klik Close di kotak dialog Site Bindings.
-
(Opsional) Terapkan praktik terbaik TLS menggunakan IIS Crypto:
-
Unduh IIS Crypto GUI dari https://www.nartac.com/Products/IISCrypto/Download.
-
Jalankan file yang diunduh. Di halaman utama Schannel, klik Best Practices, klik OK, lalu klik Apply. Mulai ulang server saat diminta.
-
Windows Server 2008 R2
-
Klik Start, lalu buka Administrative Tools > IIS Manager.
-
Di panel Connections, perluas node server, perluas Sites, lalu klik website target. Di panel Actions, klik Bindings.

-
Di kotak dialog Site Bindings, klik Add.
-
Di kotak dialog Add Site Binding, konfigurasikan pengaturan sesuai skenario Anda.
Website tunggal
-
Type: Pilih https.
-
IP address: Pilih alamat IP server. Jika server hanya memiliki satu alamat IP, pertahankan default All Unassigned.
-
Port: Pertahankan nilai default 443. Jika Anda menggunakan port non-standar, pengguna harus menyertakannya dalam URL (misalnya,
https://domain.com:8443). -
SSL certificate: Pilih sertifikat yang telah Anda impor.
Beberapa website
Windows Server 2008 R2 tidak mendukung Server Name Indication (SNI). Setiap website yang diaktifkan HTTPS harus dibind ke alamat IP unik, dan setiap alamat IP harus memiliki sertifikat unik.
Pendekatan ini mengharuskan Anda memodifikasi rekaman DNS — alamat IP entri berubah dari satu IP menjadi beberapa IP. Hal ini dapat memengaruhi layanan yang sedang berjalan. Evaluasi dampak bisnis sebelum melanjutkan.
-
Buat Elastic Network Interface (ENI) sekunder, lalu sambungkan ke instans ECS. Untuk detailnya, lihat Buat dan gunakan ENI.
-
Buat elastic IP addresses (EIPs), lalu asosiasikan dengan ENI sekunder.

-
Di penyedia DNS Anda, arahkan setiap domain ke alamat IP publik yang sesuai.
-
Di IIS Manager, konfigurasikan setiap website:
Untuk setiap website:-
Type: Pilih https.
-
IP address: Masukkan alamat IP privat situs.
-
Port: Pertahankan nilai default 443.
-
SSL certificate: Pilih sertifikat yang sesuai dengan situs tersebut.
IIS website SSL certificate IP address (private) Public IP address Web01 Certificate for example1.com192.168.1.211106.xx.xx.198Web02 Certificate for example2.com192.168.1.212101.xx.xx.50 -
-
Klik Close di kotak dialog Site Bindings.
Beberapa sistem Windows Server 2008 mungkin melaporkan error
One or more intermediate certificates in the certificate chain are missing. Lihat FAQ untuk solusinya. -
Atur kebijakan TLS. Konfigurasi TLS default Windows Server 2008 R2 mungkin tidak dipercaya oleh browser, aplikasi, atau mini program modern. Jika Anda melihat error seperti
ERR_SSL_VERSION_OR_CIPHER_MISMATCHatauUnsupported protocolsetelah penerapan, terapkan praktik terbaik TLS:-
Unduh IIS Crypto GUI dari https://www.nartac.com/Products/IISCrypto/Deprecated.
-
Jalankan file yang diunduh. Di tab Schannel, klik Best Practices, klik OK, lalu klik Apply. Mulai ulang server saat diminta.
-
(Opsional) Siapkan pengalihan HTTP ke HTTPS
Mengalihkan traffic HTTP ke HTTPS memastikan semua koneksi menggunakan enkripsi.
-
Di IIS Manager, perluas node server, klik Sites, lalu pilih situs target. Periksa tampilan utama situs untuk modul URL Rewrite. Jika tidak ada, unduh dan instal dari https://www.iis.net/downloads/microsoft/url-rewrite. Tutup dan buka kembali IIS Manager setelah instalasi.


-
Klik ganda URL Rewrite. Di panel Actions, klik Add Rule(s).
-
Pilih Inbound Rules > Blank Rule, lalu klik OK.
-
Di kotak dialog Edit Inbound Rule, konfigurasikan aturan sebagai berikut. Pertahankan nilai default untuk parameter yang tidak tercantum.
Parameter
Pengaturan
Name
Masukkan nama deskriptif, seperti HTTP to HTTPS Redirect.
Match URL
Requested URL
Pilih Matches the Pattern.
Using
Pilih Regular Expressions.
Pattern
Masukkan
(.*).Ignore case
Centang kotak centang.
Conditions
Logical grouping
Pilih Match All.
Conditions (Add a condition)
Condition input
Masukkan
{HTTPS}.Check if input string
Pilih Matches the Pattern.
Pattern (condition)
Masukkan
^OFF$.Ignore case
Centang kotak centang.
Action
Action type
Pilih Redirect.
Redirect URL
Masukkan
https://{HTTP_HOST}/{R:1}.Append query string
Centang kotak centang.
Redirect type
Pilih Permanent (301) untuk produksi, atau Found (302) untuk pengujian.

-
Di panel Actions, klik Apply.
-
Di panel Connections, klik server, lalu klik Restart. Verifikasi bahwa permintaan HTTP secara otomatis dialihkan ke HTTPS.

Langkah 5: Verifikasi penerapan
-
Buka browser web, lalu navigasi ke
https://<your-domain>— ganti<your-domain>dengan domain aktual Anda. -
Jika ikon gembok muncul di bilah alamat, sertifikat telah terinstal dengan benar.
Mulai Chrome 117, ikon
gembok telah diganti dengan ikon
baru. Klik ikon tersebut untuk melihat detail sertifikat.
-
Jika Anda mengalami error akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi di jendela private (incognito).
Jika masalah berlanjut, lihat FAQ di bawah atau panduan troubleshooting penerapan sertifikat SSL.
Memulai operasi
Sebelum menerapkan ke produksi, terapkan praktik terbaik berikut:
-
Jalankan sebagai pengguna non-administrator. Buat akun sistem khusus dengan hak istimewa rendah untuk aplikasi. Jangan pernah menjalankan aplikasi dengan hak istimewa administrator.
Untuk keamanan yang lebih baik, pertimbangkan untuk mengakhiri SSL di lapisan gerbang dengan menerapkan sertifikat pada Server Load Balancer (SLB) atau reverse proxy seperti Nginx. Gerbang menangani terminasi HTTPS dan meneruskan traffic HTTP yang telah didekripsi ke backend.
-
Jauhkan kredensial dari kode Anda. Jangan pernah menyematkan password atau data sensitif secara langsung di file konfigurasi. Gunakan variabel lingkungan, Vault, atau layanan manajemen kunci cloud untuk menyuntikkan kredensial saat waktu proses.
-
Paksakan HTTPS. Alihkan semua traffic HTTP ke HTTPS untuk mencegah serangan man-in-the-middle.
-
Nonaktifkan protokol TLS lawas. Nonaktifkan SSL v3, TLS 1.0, dan TLS 1.1. Aktifkan hanya TLS 1.2 dan TLS 1.3.
-
Pantau masa berlaku sertifikat. Setelah penerapan, aktifkan pemantauan domain. Alibaba Cloud memeriksa periode validitas sertifikat dan mengirimkan pengingat perpanjangan sebelum kedaluwarsa. Untuk detailnya, lihat Beli dan aktifkan pemantauan nama domain publik.
FAQ
Mengapa website saya masih tidak dapat diakses melalui HTTPS setelah menginstal sertifikat?
Periksa hal-hal berikut secara berurutan:
-
Port 443 diblokir. Grup keamanan atau firewall Windows mungkin memblokir port 443. Ikuti langkah-langkah di Langkah 2: Buka port 443.
-
Ketidaksesuaian domain. Domain yang Anda akses tidak tercakup oleh Bound Domains sertifikat. Verifikasi bahwa sertifikat mencakup domain eksak yang Anda gunakan.
-
Sertifikat salah atau kedaluwarsa. File sertifikat yang digunakan mungkin sudah usang. Unduh sertifikat terbaru dan impor ulang.
-
Sertifikat tidak ada di layanan hulu. Jika domain Anda menggunakan Content Delivery Network (CDN), Server Load Balancer (SLB), atau Web Application Firewall (WAF), sertifikat juga harus diinstal pada layanan tersebut. Lihat Lokasi penerapan sertifikat saat traffic melewati beberapa Layanan Alibaba Cloud.
-
Penerapan multi-server belum lengkap. Jika domain di-resolve ke beberapa server, sertifikat harus diinstal pada semuanya.
Untuk bantuan lebih lanjut, lihat Atasi masalah penerapan sertifikat berdasarkan pesan error browser dan panduan troubleshooting penerapan sertifikat SSL.
Bagaimana cara memperbaiki error "One or more intermediate certificates in the certificate chain are missing" pada Windows Server 2008 R2?
Error ini muncul pada sistem operasi lama yang penyimpanan sertifikatnya tidak memiliki sertifikat root modern yang diperlukan untuk memvalidasi rantai sertifikat Anda. Perbaiki dengan menginstal manual sertifikat root yang hilang.
-
Identifikasi sertifikat akar yang benar. Masuk ke Konsol Layanan Manajemen Sertifikat atau Konsol Layanan Manajemen Sertifikat. Buka Certificate Management > SSL Certificate Service, lalu buka halaman detail sertifikat. Periksa bagian Certificate Chain Information untuk melihat penerbit sertifikat dan tanggal penerbitannya. Untuk informasi selengkapnya mengenai pemilihan akar yang benar, lihat [Pengumuman] Penggantian sertifikat akar DigiCert.


-
Diterbitkan setelah 1 Desember 2024: unduh Digicert_Global_Root_G2_DV_OV (New - Cross-signed Root).
-
Diterbitkan sebelum 1 Desember 2024: unduh DigiCert_Global_Root_G2_DV_OV (Old - Transitional).
-
-
Unduh sertifikat root. Buka Unduh dan instal sertifikat root, lalu unduh file yang diidentifikasi di atas.
-
Instal sertifikat root.
-
Unggah file sertifikat root ke server Anda.
-
Klik ganda file tersebut untuk membuka Certificate Import Wizard.
-
Ikuti petunjuk dan tempatkan sertifikat di penyimpanan Trusted Root Certification Authorities untuk Local Computer.
-
Bagaimana cara memperbarui sertifikat SSL yang sudah ada di IIS?
Impor sertifikat baru, lalu perbarui binding situs agar menggunakan sertifikat tersebut.
-
Impor sertifikat baru. Ikuti Langkah 3: Impor sertifikat SSL di MMC untuk mengimpor file
.pfxbaru ke penyimpanan Local Computer > Personal. -
Perbarui binding. Di IIS Manager, buka Bindings situs, pilih binding
https, klik Edit, pilih sertifikat baru dari dropdown SSL certificate, lalu klik OK. -
Verifikasi. Buka situs Anda di jendela browser private baru. Klik ikon keamanan di bilah alamat untuk memastikan detail sertifikat (seperti tanggal kedaluwarsa) sudah benar.
![]() |
![]() |
![]() |
|---|
Mengapa saya tidak bisa melihat file .pfx saya di Certificate Import Wizard?
Browser file secara default hanya menampilkan file .cer. Ubah filter jenis file di pojok kanan bawah dari "X.509 Certificate" menjadi All Files (*.*) untuk melihat file .pfx Anda.
Saya kehilangan password untuk file .pfx saya. Apakah saya bisa memulihkannya?
Tidak — password .pfx yang hilang tidak dapat dipulihkan. Unduh kembali sertifikat dari konsol SSL Certificate Service. Setiap unduhan menghasilkan file .pfx baru dan file password yang sesuai.
Bagaimana cara memeriksa apakah Windows Server saya 32-bit atau 64-bit?
Melalui Command Prompt: Jalankan wmic os get osarchitecture. Output akan menampilkan 64-bit atau 32-bit.
Melalui Konsol ECS: Jika server adalah instans Alibaba Cloud ECS, arsitektur tercantum di halaman detail instans.


