All Products
Search
Document Center

Certificate Management Service:Instal Sertifikat SSL pada server IIS (Windows)

Last Updated:Apr 03, 2026

HTTP mengirimkan data dalam teks biasa sehingga rentan terhadap penyadapan dan perubahan. Browser modern juga menandai situs HTTP sebagai "Tidak Aman." Panduan ini menjelaskan cara menginstal sertifikat SSL pada server Internet Information Services (IIS) Windows untuk mengaktifkan HTTPS serta memverifikasi instalasi tersebut.

Penting

Jika Anda memiliki pertanyaan, hubungi manajer akun Anda untuk mendapatkan bantuan.

Prasyarat

Sebelum memulai, pastikan hal-hal berikut:

  • Sertifikat Anda valid. Anda memiliki sertifikat SSL yang dikeluarkan oleh otoritas sertifikat (CA) tepercaya. Jika sertifikat telah kedaluwarsa atau akan segera kedaluwarsa, perbarui terlebih dahulu.

  • Sertifikat Anda mencakup domain yang tepat. Sertifikat harus sesuai dengan semua domain yang ingin diamankan:

    • Sertifikat dengan pencocokan eksak (misalnya, example.com) hanya melindungi domain spesifik tersebut dan tidak melindungi www.example.com atau subdomain apa pun.

    • Sertifikat wildcard (misalnya, *.example.com) melindungi subdomain tingkat pertama seperti www.example.com dan a.example.com, tetapi tidak melindungi domain root example.com atau subdomain multi-level seperti a.b.example.com.

    Untuk melindungi subdomain multi-level, bidang Bound Domains harus berisi domain eksak (seperti a.b.example.com) atau wildcard yang sesuai (seperti *.b.example.com). Untuk menambah atau mengubah domain, beli sertifikat komersial atau modifikasi domain yang dibind.
  • Anda memiliki akses administrator. Masuk dengan akun Administrator atau akun dengan hak istimewa administrator.

  • Resolusi nama domain: Rekaman DNS domain telah dikonfigurasi dan di-resolve ke alamat IP publik server.

  • DNS mengarah ke server Anda. Rekaman DNS domain mengarah ke alamat IP publik server.

  • Versi OS Anda didukung. Instruksi ini berlaku untuk Windows Server 2008 R2 dan versi yang lebih baru. Antarmuka pengguna mungkin berbeda antarversi — sesuaikan langkah-langkahnya sesuai kebutuhan.

Langkah 1: Siapkan sertifikat SSL

  1. Buka konsol SSL Certificate Service. Pada kolom Actions untuk sertifikat target, klik Download Certificate. Di tab Download, pilih IIS sebagai Server Type, lalu unduh sertifikat tersebut.

  2. Ekstrak paket sertifikat yang diunduh:

    • Jika paket berisi file sertifikat (.pfx) dan file password (.txt), simpan kedua file tersebut karena Anda akan memerlukannya selama penerapan. > Important: Sistem menghasilkan password baru setiap kali Anda mengunduh sertifikat. Password ini hanya berlaku untuk file sertifikat yang diunduh dalam sesi yang sama.

    • Jika paket hanya berisi file sertifikat .pem, konversikan ke format .pfx menggunakan toolkit sertifikat. Untuk detailnya, lihat Mengonversi format sertifikat. > Note: Jika Anda menggunakan tool seperti OpenSSL atau keytool untuk menghasilkan Certificate Signing Request (CSR) saat mengajukan sertifikat, kunci privat disimpan secara lokal dan tidak termasuk dalam paket yang diunduh. Jika Anda kehilangan kunci privat, Anda tidak dapat menggunakan sertifikat tersebut — Anda harus membeli sertifikat baru dan menghasilkan CSR serta kunci privat baru.

  3. Unggah file sertifikat ke server.

    1. Tarik file sertifikat dari direktori Workbench ke drive C: atau drive lokal lainnya untuk disimpan.

    Langkah-langkah berikut menggunakan contoh instans Alibaba Cloud Elastic Compute Service (ECS). Untuk jenis server lain, rujuk dokumentasi resmi mereka.
    Penting

    Saat Anda memutuskan koneksi atau keluar dari instans, Workbench secara otomatis menghapus semua file dari direktori Redirected drives and folders. Direktori ini hanya untuk transfer file — jangan gunakan untuk penyimpanan permanen.

    image

Langkah 2: Buka port 443

Buka port 443 di grup keamanan

Penting

Jika server Anda di-host di platform cloud, grup keamanan harus mengizinkan lalu lintas inbound pada port 443 (TCP). Jika tidak, HTTPS tidak dapat diakses dari internet. Langkah-langkah berikut menggunakan Alibaba Cloud ECS. Untuk platform lain, lihat dokumentasi resmi mereka.

  1. Masuk ke Konsol ECS. Pilih wilayah instans target. Di halaman Instances, temukan instans tersebut.

  2. Klik nama instans untuk membuka halaman detail. Buka Security Groups > Internal Inbound Rules dan periksa apakah ada aturan dengan pengaturan berikut: Action = Allow, Protocol Type = TCP, Destination Port Range = HTTPS (443), Authorization Object = All IPv4 Addresses.

  3. Jika aturan ini tidak ada, tambahkan aturan grup keamanan.

Buka port 443 di firewall Windows

  1. Masuk ke server Windows. Klik Start, lalu buka Control Panel.

  2. Buka System and Security > Windows Firewall > Check firewall status.

  3. Jika firewall dimatikan, tidak perlu tindakan lebih lanjut — lanjutkan ke Langkah 3: Impor sertifikat SSL di MMC.

    image

  4. Jika firewall aktif, buka Advanced settings > Inbound Rules dan periksa apakah ada aturan dengan Protocol = TCP, Local Port = 443, dan Action = Block. Jika aturan ini ada, klik kanan, pilih Properties, buka tab General, ubah pengaturannya menjadi Allow the connection, lalu klik Apply.

Langkah 3: Impor sertifikat SSL di MMC

  1. Klik Start, cari Run, lalu buka. Masukkan mmc dan klik OK.

  2. Di konsol MMC, tambahkan snap-in Certificates:

    1. Di kotak dialog Certificates snap-in, pilih Computer Account, lalu klik Next.

    2. Di kotak dialog Select Computer, pilih Local computer (the computer this console is running on), lalu klik Finish.

    3. Klik OK.

    添加或删除管理单元界面

  3. Di panel navigasi kiri, perluas Console Root > Certificates (Local Computer). Klik kanan Personal, lalu buka All Tasks > Import.

    打开证书导入向导

  4. Ikuti Certificate Import Wizard:

    1. Password: Buka file password .txt, salin isinya, tempelkan ke bidang Password, lalu klik Next.

    2. Certificate Store: Pilih Automatically select the certificate store based on the type of certificate, lalu klik Next.

    3. Completing the Certificate Import Wizard: Klik Finish. Saat pesan The Import Was Successful muncul, klik OK.

    导入证书

Langkah 4: Bind sertifikat di IIS Manager

Windows Server 2012 R2 dan versi yang lebih baru

  1. Klik ikon image..png Start, lalu buka Server Manager > Tools > IIS Manager.

  2. Di panel Connections, perluas node server, klik Sites, lalu pilih website target. Di panel Actions, klik Bindings.

    绑定

  3. Di kotak dialog Site Bindings, klik Add.

  4. Di kotak dialog Add Site Binding, konfigurasikan pengaturan sesuai skenario Anda, lalu klik OK.

Website tunggal atau beberapa website berbagi satu sertifikat

Gunakan konfigurasi ini jika Anda memiliki satu website atau jika beberapa website menggunakan sertifikat yang sama.

添加网站绑定
  • Type: Pilih https.

  • IP address: Pilih alamat IP server. Jika server hanya memiliki satu alamat IP, biarkan sebagai All Unassigned.

  • Port: Pertahankan nilai default 443.

    Port 443 adalah port HTTPS standar. Jika Anda menggunakan port non-standar, pengguna harus menyertakannya dalam URL (misalnya, https://domain.com:8443).
  • Host name: Masukkan domain yang ingin diamankan, seperti domain.com.

  • Require Server Name Indication: Biarkan tidak dicentang untuk pengaturan situs tunggal.

  • SSL certificate: Pilih sertifikat yang telah Anda impor.

Beberapa website, masing-masing dengan sertifikat sendiri (disarankan: SNI)

Server Name Indication (SNI) memungkinkan Anda meng-host beberapa website yang diaktifkan HTTPS pada satu alamat IP dan port yang sama. Ini merupakan pendekatan yang direkomendasikan untuk Windows Server 2012 R2 dan versi yang lebih baru.

Pada contoh di bawah, dua website (web01 dan web02) berbagi alamat IP dan port 443 yang sama. Pilih Require Server Name Indication untuk setiap situs. Jika Anda melewatkannya, IIS akan menampilkan error: "At least one other site is using the same HTTPS binding."

image image

Untuk setiap website:

  • Type: Pilih https.

  • IP address: Pertahankan default All Unassigned jika server memiliki satu alamat IP.

  • Port: Pertahankan nilai default 443.

  • Host name: Masukkan nama domain situs (misalnya, example1.com atau example2.com).

  • Require Server Name Indication: Centang kotak ini.

  • SSL certificate: Pilih sertifikat yang sesuai dengan situs tersebut.

Setelah Anda mengonfigurasi semua situs, Anda mungkin melihat peringatan: The default SSL site has not been created... Ini berarti browser lama yang tidak mendukung SNI (seperti Internet Explorer pada Windows XP) akan mengalami error. Untuk mendukung browser tersebut, siapkan situs SSL default sebagai fallback:

Situs SSL default menangani permintaan dari browser yang tidak kompatibel dengan SNI. Konfigurasikan sebagai halaman kosong atau halaman pengalihan. Jika pengguna Anda tidak menggunakan browser lawas, abaikan peringatan ini.
  1. Di IIS Manager, perluas node server, lalu klik Sites. Pilih Default Web Site atau tambahkan website baru. Di panel Actions, klik Bindings.

  2. Klik Add. Konfigurasikan binding sebagai berikut, lalu klik OK.

    • Type: Pilih https.

    • IP address: Pilih alamat IP server.

    • Port: Pertahankan default 443.

    • Host name: Biarkan kosong.

    • Require Server Name Indication: Biarkan tidak dicentang.

    • SSL certificate: Pilih sertifikat yang telah diimpor.

    image

Beberapa website, masing-masing dengan alamat IP sendiri

Penting

Pendekatan ini mengharuskan Anda memodifikasi rekaman DNS — alamat IP entri berubah dari satu IP menjadi beberapa IP. Hal ini dapat memengaruhi layanan yang sedang berjalan. Evaluasi dampak bisnis sebelum melanjutkan.

  1. Buat Elastic Network Interface (ENI) sekunder, lalu sambungkan ke instans ECS. Untuk detailnya, lihat Buat dan gunakan ENI.

  2. Buat elastic IP addresses (EIPs), lalu asosiasikan dengan ENI sekunder. Pemetaan IP publik ke IP privat ditunjukkan di bawah ini.

    image

  3. Di penyedia DNS Anda, arahkan setiap domain ke alamat IP publik yang sesuai — misalnya, example1.com ke 106.xx.xx.198 dan example2.com ke 101.xx.xx.50.

  4. Di IIS Manager, konfigurasikan setiap website sebagai berikut: image image Untuk setiap website:

    • Type: Pilih https.

    • IP address: Masukkan alamat IP privat situs (misalnya, 192.168.1.211 untuk Web01).

    • Port: Pertahankan nilai default 443.

    • SSL certificate: Pilih sertifikat yang sesuai dengan situs tersebut.

    IIS website SSL certificate IP address (private) Public IP address
    Web01 Certificate for example1.com 192.168.1.211 106.xx.xx.198
    Web02 Certificate for example2.com 192.168.1.212 101.xx.xx.50
  5. Klik Close di kotak dialog Site Bindings.

  6. (Opsional) Terapkan praktik terbaik TLS menggunakan IIS Crypto:

    1. Unduh IIS Crypto GUI dari https://www.nartac.com/Products/IISCrypto/Download.

    2. Jalankan file yang diunduh. Di halaman utama Schannel, klik Best Practices, klik OK, lalu klik Apply. Mulai ulang server saat diminta.

Windows Server 2008 R2

  1. Klik Start, lalu buka Administrative Tools > IIS Manager.

  2. Di panel Connections, perluas node server, perluas Sites, lalu klik website target. Di panel Actions, klik Bindings.

    image

  3. Di kotak dialog Site Bindings, klik Add.

  4. Di kotak dialog Add Site Binding, konfigurasikan pengaturan sesuai skenario Anda.

Website tunggal

image
  • Type: Pilih https.

  • IP address: Pilih alamat IP server. Jika server hanya memiliki satu alamat IP, pertahankan default All Unassigned.

  • Port: Pertahankan nilai default 443. Jika Anda menggunakan port non-standar, pengguna harus menyertakannya dalam URL (misalnya, https://domain.com:8443).

  • SSL certificate: Pilih sertifikat yang telah Anda impor.

Beberapa website

Windows Server 2008 R2 tidak mendukung Server Name Indication (SNI). Setiap website yang diaktifkan HTTPS harus dibind ke alamat IP unik, dan setiap alamat IP harus memiliki sertifikat unik.

Penting

Pendekatan ini mengharuskan Anda memodifikasi rekaman DNS — alamat IP entri berubah dari satu IP menjadi beberapa IP. Hal ini dapat memengaruhi layanan yang sedang berjalan. Evaluasi dampak bisnis sebelum melanjutkan.

  1. Buat Elastic Network Interface (ENI) sekunder, lalu sambungkan ke instans ECS. Untuk detailnya, lihat Buat dan gunakan ENI.

  2. Buat elastic IP addresses (EIPs), lalu asosiasikan dengan ENI sekunder.

    image

  3. Di penyedia DNS Anda, arahkan setiap domain ke alamat IP publik yang sesuai.

  4. Di IIS Manager, konfigurasikan setiap website: image image Untuk setiap website:

    • Type: Pilih https.

    • IP address: Masukkan alamat IP privat situs.

    • Port: Pertahankan nilai default 443.

    • SSL certificate: Pilih sertifikat yang sesuai dengan situs tersebut.

    IIS website SSL certificate IP address (private) Public IP address
    Web01 Certificate for example1.com 192.168.1.211 106.xx.xx.198
    Web02 Certificate for example2.com 192.168.1.212 101.xx.xx.50
  5. Klik Close di kotak dialog Site Bindings.

    Beberapa sistem Windows Server 2008 mungkin melaporkan error One or more intermediate certificates in the certificate chain are missing. Lihat FAQ untuk solusinya.
  6. Atur kebijakan TLS. Konfigurasi TLS default Windows Server 2008 R2 mungkin tidak dipercaya oleh browser, aplikasi, atau mini program modern. Jika Anda melihat error seperti ERR_SSL_VERSION_OR_CIPHER_MISMATCH atau Unsupported protocol setelah penerapan, terapkan praktik terbaik TLS:

    1. Unduh IIS Crypto GUI dari https://www.nartac.com/Products/IISCrypto/Deprecated.

    2. Jalankan file yang diunduh. Di tab Schannel, klik Best Practices, klik OK, lalu klik Apply. Mulai ulang server saat diminta.

(Opsional) Siapkan pengalihan HTTP ke HTTPS

Mengalihkan traffic HTTP ke HTTPS memastikan semua koneksi menggunakan enkripsi.

  1. Di IIS Manager, perluas node server, klik Sites, lalu pilih situs target. Periksa tampilan utama situs untuk modul URL Rewrite. Jika tidak ada, unduh dan instal dari https://www.iis.net/downloads/microsoft/url-rewrite. Tutup dan buka kembali IIS Manager setelah instalasi. imageimage

  2. Klik ganda URL Rewrite. Di panel Actions, klik Add Rule(s).

  3. Pilih Inbound Rules > Blank Rule, lalu klik OK.

  4. Di kotak dialog Edit Inbound Rule, konfigurasikan aturan sebagai berikut. Pertahankan nilai default untuk parameter yang tidak tercantum.

    Parameter

    Pengaturan

    Name

    Masukkan nama deskriptif, seperti HTTP to HTTPS Redirect.

    Match URL

    Requested URL

    Pilih Matches the Pattern.

    Using

    Pilih Regular Expressions.

    Pattern

    Masukkan (.*).

    Ignore case

    Centang kotak centang.

    Conditions

    Logical grouping

    Pilih Match All.

    Conditions (Add a condition)

    Condition input

    Masukkan {HTTPS}.

    Check if input string

    Pilih Matches the Pattern.

    Pattern (condition)

    Masukkan ^OFF$.

    Ignore case

    Centang kotak centang.

    Action

    Action type

    Pilih Redirect.

    Redirect URL

    Masukkan https://{HTTP_HOST}/{R:1}.

    Append query string

    Centang kotak centang.

    Redirect type

    Pilih Permanent (301) untuk produksi, atau Found (302) untuk pengujian.

    image

  5. Di panel Actions, klik Apply.

  6. Di panel Connections, klik server, lalu klik Restart. Verifikasi bahwa permintaan HTTP secara otomatis dialihkan ke HTTPS.

    image

Langkah 5: Verifikasi penerapan

  1. Buka browser web, lalu navigasi ke https://<your-domain> — ganti <your-domain> dengan domain aktual Anda.

  2. Jika ikon gembok muncul di bilah alamat, sertifikat telah terinstal dengan benar.

    Mulai Chrome 117, ikon image gembok telah diganti dengan ikon image baru. Klik ikon tersebut untuk melihat detail sertifikat.

    image

  3. Jika Anda mengalami error akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi di jendela private (incognito).

    Jika masalah berlanjut, lihat FAQ di bawah atau panduan troubleshooting penerapan sertifikat SSL.

Memulai operasi

Sebelum menerapkan ke produksi, terapkan praktik terbaik berikut:

  • Jalankan sebagai pengguna non-administrator. Buat akun sistem khusus dengan hak istimewa rendah untuk aplikasi. Jangan pernah menjalankan aplikasi dengan hak istimewa administrator.

    Untuk keamanan yang lebih baik, pertimbangkan untuk mengakhiri SSL di lapisan gerbang dengan menerapkan sertifikat pada Server Load Balancer (SLB) atau reverse proxy seperti Nginx. Gerbang menangani terminasi HTTPS dan meneruskan traffic HTTP yang telah didekripsi ke backend.
  • Jauhkan kredensial dari kode Anda. Jangan pernah menyematkan password atau data sensitif secara langsung di file konfigurasi. Gunakan variabel lingkungan, Vault, atau layanan manajemen kunci cloud untuk menyuntikkan kredensial saat waktu proses.

  • Paksakan HTTPS. Alihkan semua traffic HTTP ke HTTPS untuk mencegah serangan man-in-the-middle.

  • Nonaktifkan protokol TLS lawas. Nonaktifkan SSL v3, TLS 1.0, dan TLS 1.1. Aktifkan hanya TLS 1.2 dan TLS 1.3.

  • Pantau masa berlaku sertifikat. Setelah penerapan, aktifkan pemantauan domain. Alibaba Cloud memeriksa periode validitas sertifikat dan mengirimkan pengingat perpanjangan sebelum kedaluwarsa. Untuk detailnya, lihat Beli dan aktifkan pemantauan nama domain publik.

FAQ

Mengapa website saya masih tidak dapat diakses melalui HTTPS setelah menginstal sertifikat?

Periksa hal-hal berikut secara berurutan:

  • Port 443 diblokir. Grup keamanan atau firewall Windows mungkin memblokir port 443. Ikuti langkah-langkah di Langkah 2: Buka port 443.

  • Ketidaksesuaian domain. Domain yang Anda akses tidak tercakup oleh Bound Domains sertifikat. Verifikasi bahwa sertifikat mencakup domain eksak yang Anda gunakan.

  • Sertifikat salah atau kedaluwarsa. File sertifikat yang digunakan mungkin sudah usang. Unduh sertifikat terbaru dan impor ulang.

  • Sertifikat tidak ada di layanan hulu. Jika domain Anda menggunakan Content Delivery Network (CDN), Server Load Balancer (SLB), atau Web Application Firewall (WAF), sertifikat juga harus diinstal pada layanan tersebut. Lihat Lokasi penerapan sertifikat saat traffic melewati beberapa Layanan Alibaba Cloud.

  • Penerapan multi-server belum lengkap. Jika domain di-resolve ke beberapa server, sertifikat harus diinstal pada semuanya.

Untuk bantuan lebih lanjut, lihat Atasi masalah penerapan sertifikat berdasarkan pesan error browser dan panduan troubleshooting penerapan sertifikat SSL.

Bagaimana cara memperbaiki error "One or more intermediate certificates in the certificate chain are missing" pada Windows Server 2008 R2?

Error ini muncul pada sistem operasi lama yang penyimpanan sertifikatnya tidak memiliki sertifikat root modern yang diperlukan untuk memvalidasi rantai sertifikat Anda. Perbaiki dengan menginstal manual sertifikat root yang hilang.

  1. Identifikasi sertifikat akar yang benar. Masuk ke Konsol Layanan Manajemen Sertifikat atau Konsol Layanan Manajemen Sertifikat. Buka Certificate Management > SSL Certificate Service, lalu buka halaman detail sertifikat. Periksa bagian Certificate Chain Information untuk melihat penerbit sertifikat dan tanggal penerbitannya. Untuk informasi selengkapnya mengenai pemilihan akar yang benar, lihat [Pengumuman] Penggantian sertifikat akar DigiCert. gambargambar

    • Diterbitkan setelah 1 Desember 2024: unduh Digicert_Global_Root_G2_DV_OV (New - Cross-signed Root).

    • Diterbitkan sebelum 1 Desember 2024: unduh DigiCert_Global_Root_G2_DV_OV (Old - Transitional).

  2. Unduh sertifikat root. Buka Unduh dan instal sertifikat root, lalu unduh file yang diidentifikasi di atas.

  3. Instal sertifikat root.

    • Unggah file sertifikat root ke server Anda.

    • Klik ganda file tersebut untuk membuka Certificate Import Wizard.

    • Ikuti petunjuk dan tempatkan sertifikat di penyimpanan Trusted Root Certification Authorities untuk Local Computer.

Bagaimana cara memperbarui sertifikat SSL yang sudah ada di IIS?

Impor sertifikat baru, lalu perbarui binding situs agar menggunakan sertifikat tersebut.

  1. Impor sertifikat baru. Ikuti Langkah 3: Impor sertifikat SSL di MMC untuk mengimpor file .pfx baru ke penyimpanan Local Computer > Personal.

  2. Perbarui binding. Di IIS Manager, buka Bindings situs, pilih binding https, klik Edit, pilih sertifikat baru dari dropdown SSL certificate, lalu klik OK.

  3. Verifikasi. Buka situs Anda di jendela browser private baru. Klik ikon keamanan di bilah alamat untuk memastikan detail sertifikat (seperti tanggal kedaluwarsa) sudah benar.

image image image

Mengapa saya tidak bisa melihat file .pfx saya di Certificate Import Wizard?

Browser file secara default hanya menampilkan file .cer. Ubah filter jenis file di pojok kanan bawah dari "X.509 Certificate" menjadi All Files (*.*) untuk melihat file .pfx Anda.

Saya kehilangan password untuk file .pfx saya. Apakah saya bisa memulihkannya?

Tidak — password .pfx yang hilang tidak dapat dipulihkan. Unduh kembali sertifikat dari konsol SSL Certificate Service. Setiap unduhan menghasilkan file .pfx baru dan file password yang sesuai.

Bagaimana cara memeriksa apakah Windows Server saya 32-bit atau 64-bit?

Melalui Command Prompt: Jalankan wmic os get osarchitecture. Output akan menampilkan 64-bit atau 32-bit.

Melalui Konsol ECS: Jika server adalah instans Alibaba Cloud ECS, arsitektur tercantum di halaman detail instans.

image