Nessun costo: usa Let's Encrypt.
https://weblog.west-wind.com/posts/2016/Feb/22/Using-Lets-Encrypt-with-IIS-on-Windows

Che versione di Windows Server avete? Se avete da Windows Server 2012 in poi, avete il supporto a SNI e potrete anche far convivere diversi siti HTTPS sullo stesso indirizzo IP pubblico.

E' scritto nell'articolo ma, per riassumere:

• Assicurati che il sito IIS sia in ascolto sulla porta 80 e che sia raggiungibile dall'esterno della vostra rete locale con un nome host qualsiasi, tipo www.miosito.it
• Scarichi e installi un tool tipo letsencrypt-win-simple che è citato nell'articolo;
• Lanci il tool con privilegi di amministratore, e ti proporrà un elenco dei tuoi siti IIS papabili per l'installazione del certificato. Seleziona quello che ti interessa;
• Il tool invierà una richiesta di emissione certificato a let's encrypt, il quale verificherà che la richiesta parta da un IP che è lo stesso di www.miosito.it;
• Il tool riceve il certificato da let's encrypt e lo installa nel tuo sito IIS;
• Inoltre, il tool predisporrà un'operazione pianificata per il rinnovo automatico del certificato, che scade dopo 3 mesi;
• Non spostare l'eseguibile di letsencrypt-win-simple perché verrà chiamato dall'operazione pianificata per il rinnovo.
• Prova a raggiungere il tuo sito da https://www.miosito.it/ e vedere se funziona.

ciao,
Moreno

pietro09 ha scritto:

Il nostro sito è in intranet e non è assolutamente visibile fuori.

Let's Encrypt può emettere certificati solo per nomi DNS validi...Se la tua intranet non è raggiungibile da Internet ma utilizza un nome di dominio reale (esiste nei DNS pubblici) allora puoi cmq utilizzare Let's Encrypt...naturalmente la procedura è un pò più complicata

/Ciao

pietro09 ha scritto:

Ciao.

Ma non è possibile comprare un certificato e installarlo nel server senza che questo sia visibile fuori?

ps. scusa la domanda ma sono davvero digiuno in materia.

Stiamo parlando di sicurezza, un argomento complicato e in continua evoluzione...

Da qualche anno, se non sbaglio, le autorità di certificazione non possono emettere certificati per domini interni

Sostanzialmente se da nessun server della intranet non c'è la possibilità di accesso esterno devi crearti la tua CA (per es. guarda qui ) e registrala sui pc della intranet

cmq aspetta anche il parare di Moreno che sicuramente in materia è più preparato e magari ha qualche indicazione migliore

/Ciao