Let's Encrypt mit IIS (Windows)

Auf Windows-Servern wird Let's Encrypt am einfachsten über Win-ACME eingerichtet — ein schlankes Tool, das das Zertifikat ausstellt, in IIS einbindet und automatisch erneuert.

Voraussetzungen: IIS muss installiert und aktiv sein. Der A-Record Ihrer Domain muss auf die IP Ihres Servers zeigen. Port 80 und 443 müssen in der Windows Defender Firewall geöffnet sein.

Schritt 1: Win-ACME herunterladen

Win-ACME von der offiziellen Website herunterladen.

Laden Sie die aktuelle Version von win-acme.com herunter und entpacken Sie das Archiv — z. B. nach C:\win-acme.

Führen Sie Win-ACME immer als Administrator aus — das Tool muss Zertifikate in den Windows-Zertifikatsspeicher schreiben und IIS-Bindungen ändern.

Schritt 2: Zertifikat ausstellen

Win-ACME starten und dem interaktiven Assistenten folgen.

Öffnen Sie PowerShell als Administrator, wechseln Sie in das Win-ACME Verzeichnis und starten Sie das Tool:

PowerShell
cd C:win-acme .wacs.exe

Im interaktiven Menü wählen Sie folgende Optionen:

SchrittAuswahl
HauptmenüN — Create certificate (default settings)
Source1 — IIS — Read all bindings from IIS
Site auswählenDie Nummer der gewünschten IIS-Website wählen
BindingsAlle Bindings oder nur bestimmte auswählen
InstallationWin-ACME bindet das Zertifikat automatisch in IIS ein

Schritt 3: HTTP auf HTTPS weiterleiten

In IIS eine Weiterleitung einrichten, damit alle HTTP-Anfragen auf HTTPS umgeleitet werden.

Installieren Sie das URL-Rewrite-Modul für IIS falls noch nicht vorhanden, dann fügen Sie folgende Regel in die web.config Ihrer Website ein:

C:\inetpub\wwwroot\web.config
Terminal
<configuration> <system.webServer> <rewrite> <rules> <rule name="HTTP to HTTPS" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="^OFF$" /> </conditions> <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" /> </rule> </rules> </rewrite> </system.webServer> </configuration>

Schritt 4: Automatische Erneuerung prüfen

Win-ACME richtet automatisch eine geplante Aufgabe zur Erneuerung ein.

Prüfen Sie im Task-Scheduler ob die Aufgabe vorhanden ist:

PowerShell
Get-ScheduledTask | Where-Object {$_.TaskName -like "*win-acme*"}

Die Aufgabe läuft täglich und erneuert Zertifikate, die in weniger als 30 Tagen ablaufen. Sie müssen nichts weiter tun.

Häufige Fehlermeldungen

FehlerUrsache & Lösung
Could not connect to port 80Port 80 ist in der Windows Defender Firewall oder einem vorgeschalteten Router gesperrt.
DNS problem: NXDOMAINDer A-Record der Domain zeigt nicht auf diesen Server. DNS prüfen.
Access deniedWin-ACME wurde nicht als Administrator gestartet. PowerShell als Admin neu starten.

Weiterführende Dokumentation

Weitere Informationen zu Win-ACME finden Sie in der offiziellen Dokumentation.