Использование протокола HTTPS позволяет обеспечить конфиденциальность и целостность данных, передаваемых между веб-сервером и пользователями. Шифрование трафика с помощью SSL/TLS-сертификата защищает передаваемую информацию от перехвата или изменения третьими лицами. Кроме того, HTTPS является стандартным требованием для корректной работы как веб-приложений, так и браузеров, с помощью которых осуществляется доступ к сайтам.
Internet Information Services (IIS) поддерживает работу с SSL/TLS-сертификатами и позволяет обеспечить защищённый доступ к сайтам, размещённым на сервере. Что касается самого Windows Server 2025 Core, то несмотря на отсутствие графического интерфейса, все необходимые действия по настройке HTTPS в данной операционной системе можно выполнить с помощью PowerShell и встроенных инструментов администрирования.
В статье разберём, как при помощи PowerShell включить HTTPS для веб-сайта в IIS на сервере под управлением Windows Server 2025 Core.
Как включить HTTPS в IIS на Windows Server 2025 Core
Для защиты передаваемых данных между веб-сервером и клиентом используются SSL/TLS-сертификаты. При обращении пользователя к сайту по протоколу HTTPS именно такой сертификат обеспечивает шифрование трафика. Благодаря этому данные передаются в зашифрованном виде и не могут быть перехвачены третьими лицами. Кроме того, сертификат подтверждает подлинность сервера и гарантирует, что пользователь подключается именно к требуемому, а не поддельному ресурсу.
Одним из наиболее распространённых центров сертификации, предоставляющим сертификаты бесплатно, является Let’s Encrypt. Данный проект широко применяется как для публичных интернет-ресурсов, так и для корпоративных сервисов. Популярность Let’s Encrypt объясняется простотой получения сертификатов и возможностью их автоматического продления с помощью ACME-клиентов. Сертификаты выпускаются на ограниченный срок, обычно на 90 дней, однако благодаря автоматизации администратору не требуется регулярно выполнять процедуру продления вручную. Это позволяет быстро внедрить HTTPS и обеспечить базовый уровень защиты веб-сервиса без дополнительных финансовых затрат, что делает Let’s Encrypt удобным решением для большинства сценариев использования.
Предварительная настройка сайта
После настройки веб-сайта выполните следующую команду, которая выводит список всех привязок сайтов на сервере:
Get-WebBindingВывод команды в нашем примере означает, что в IIS настроены две HTTP-привязки на порт 80, но без указания доменного имени.
В IIS для установки TLS-сертификата от Let’s Encrypt используется консольная утилита win-acme. Данная утилита в процессе настройки HTTPS-доступа ищет сайты IIS с указанным доменным именем. При этом в текущей конфигурации утилита не сможет найти веб-сайт, для которого можно произвести установку TLS-сертификата. Поэтому при помощи следующей команды добавьте доменное имя к сайту IIS:
New-WebBinding -Name "your-site" -Protocol http -Port 80 -HostHeader "your-domain-name.ru"В данном случае:
your-site– внутренний идентификатор сайта в IIS;your-domain-name.ru– доменное имя, предназначенное для доступа к веб-сайту.
Использование доменного имени при настройке HTTPS-доступа является обязательным, поскольку осуществить установку TLS-сертификата от Let’s Encrypt, оперируя только IP-адресом сервера, не представляется возможным.
После чего ещё раз выведите список всех привязок сайтов на сервере:
Get-WebBindingВывод команды показывает, что в IIS добавлен сайт, имеющий привязку с использованием доменного имени.
Настройка HTTPS в IIS на Windows Server 2025 Core
В корне диска C: создайте временный каталог для загрузки консольной утилиты win-acme:
mkdir C:\tempПерейдите в созданный каталог:
cd C:\tempИ загрузите архив с актуальной версией утилиты win-acme:
Invoke-WebRequest -Uri https://github.com/win-acme/win-acme/releases/latest/download/win-acme.v2.2.9.1701.x64.trimmed.zip -OutFile win-acme.zipЗатем распакуйте полученный архив в каталог win-acme на диске C:
Expand-Archive win-acme.zip -DestinationPath C:\win-acmeПосле чего перейдите в каталог win-acme:
cd C:\win-acmeИ запустите на выполнение утилиту win-acme:
.\wacs.exeВ ходе работы утилиты клиент win-acme запускает интерактивный мастер получения и управления TLS-сертификатами от Let’s Encrypt:
- сначала выберите строку
N: Create certificate (default settings); - затем введите цифровой идентификатор сайта, для которого будет выполнен запрос на получение сертификата;
- на следующем шаге выберите
A: Pick all bindings; - далее при помощи символа
yподтвердите свой выбор; - на вопрос об открытии файла, содержащего условия обслуживания, можно ответить отрицательно;
- затем необходимо согласиться с условиями предоставления услуг;
- после чего укажите адрес электронной почты.
В результате утилита запустит проверку доступности домена, и в случае успешного прохождения данной проверки запросит для него сертификат. Затем win-acme установит сертификат, внесёт изменения в настройки IIS и настроит автоматическое обновление сертификата до окончания срока его действия. Проверить, создана ли задача автоматического продления TLS-сертификатов, можно при помощи команды:
schtasks /query | findstr win-acmeСостояние созданной в планировщике задачи – Ready. Это означает, что задача готова к выполнению.
Затем откройте браузер и проверьте доступность сайта при помощи ссылки вида https://your-domain-name.ru. В данном случае вместо your-domain-name.ru введите доменное имя, предназначенное для доступа к вашему сайту.
