🔒 خلاصه سریع (TL;DR)
نصب SSL روی IIS شامل ۴ مرحله است: ۱) ایجاد CSR در IIS Manager، ۲) خرید و دریافت گواهی از CA معتبر، ۳) نصب گواهی در Server Certificates، ۴) Bind کردن به وبسایت روی پورت 443. در ۲۰۲۶، ابزار Win-ACME برای گواهی رایگان Let's Encrypt با تمدید خودکار توصیه میشود.
پیشنیازهای نصب SSL روی IIS
قبل از شروع نصب گواهی SSL روی وب سرور IIS، مطمئن شوید که موارد زیر را در اختیار دارید:
✅ چکلیست پیشنیازها
- ☑ Windows Server 2019/2022/2025 با IIS نصب شده
- ☑ دسترسی Administrator به سرور
- ☑ دامنه فعال با DNS تنظیمشده (رکورد A به IP سرور)
- ☑ پورت 443 در فایروال باز باشد
- ☑ گواهی SSL (خریداری شده یا رایگان Let's Encrypt)
📊 تغییرات SSL در ۲۰۲۶
- TLS 1.3 پروتکل استاندارد - TLS 1.0 و 1.1 منقضی شده
- حداکثر اعتبار گواهی: ۹۰ روز (ACME استاندارد)
- گواهیهای ۲۰۰ روزه از مارس ۲۰۲۶ برای CAهای تجاری
- ابزار Win-ACME برای تمدید خودکار در ویندوز
- Windows Server 2025 با IIS 10 پشتیبانی کامل
مرحله ۱: ایجاد CSR (Certificate Signing Request)
CSR یک فایل رمزگذاریشده است که اطلاعات دامنه و سازمان شما را برای صدور گواهی SSL به CA (Certificate Authority) ارسال میکند.
ایجاد CSR در IIS Manager
- IIS Manager را باز کنید (از Start Menu یا با اجرای
inetmgr) - در پنل سمت چپ، روی نام سرور کلیک کنید
- در پنل وسط، روی Server Certificates دوبار کلیک کنید
- در پنل سمت راست (Actions)، روی Create Certificate Request کلیک کنید
در مرحله بعد، Cryptographic Service Provider و Bit Length را تنظیم کنید:
Cryptographic Service Provider: Microsoft RSA SChannel
Bit Length: 2048 (minimum) or 4096 (recommended)
# For ECC certificates:
Provider: Microsoft ECDSA P-256 / P-384
فایل CSR را در یک مکان امن ذخیره کنید (مثلاً C:\SSL\mydomain.csr).
مرحله ۲: خرید و دریافت گواهی SSL
فایل CSR ایجاد شده را به یکی از CAهای معتبر ارسال کنید:
🔒 DV (Domain Validation)
فقط مالکیت دامنه تأیید میشود. صدور سریع (دقایق). مناسب سایتهای شخصی و کوچک.
🏢 OV (Organization Validation)
هویت سازمان بررسی میشود. صدور ۱-۳ روز. مناسب کسبوکارها.
🎯 EV (Extended Validation)
بررسی کامل قانونی سازمان. صدور ۱-۲ هفته. مناسب بانکها و فروشگاههای بزرگ.
برای خرید گواهی SSL با قیمت مناسب و پشتیبانی فارسی، میتوانید از سرویس SSL برتینا استفاده کنید.
مرحله ۳: نصب گواهی SSL در IIS
پس از دریافت فایل گواهی (معمولاً با پسوند .cer یا .crt)، مراحل زیر را دنبال کنید:
- IIS Manager را باز کنید
- روی نام سرور کلیک کرده و Server Certificates را باز کنید
- در پنل Actions، روی Complete Certificate Request کلیک کنید
- فایل گواهی دریافتی را Browse کنید
- یک Friendly Name وارد کنید (مثلاً
www.example.com-2026) - برای Certificate Store گزینه Web Hosting یا Personal را انتخاب کنید
- روی OK کلیک کنید
⚠️ نکته مهم: گواهیهای Intermediate
اکثر CAها یک فایل Intermediate/Chain Certificate هم ارائه میدهند. این فایل را باید در MMC → Certificates → Intermediate Certification Authorities نصب کنید، در غیر این صورت برخی مرورگرها خطای گواهی میدهند.
مرحله ۴: Bind کردن SSL به وبسایت
حالا باید گواهی نصبشده را به وبسایت مورد نظر متصل کنید:
- در IIS Manager، بخش Sites را باز کنید
- روی سایت مورد نظر راستکلیک کرده و Edit Bindings را انتخاب کنید
- روی Add کلیک کنید
- تنظیمات زیر را وارد کنید:
✅ گزینه Require Server Name Indication را فعال کنید اگر چند سایت با SSL روی یک IP دارید.
روش جایگزین: نصب خودکار با Win-ACME (Let's Encrypt)
Win-ACME ابزار رایگان برای دریافت و تمدید خودکار گواهی Let's Encrypt در ویندوز است:
1. Download from: https://www.win-acme.com/
2. Extract to C:\Win-ACME
3. Run wacs.exe as Administrator
# Interactive menu:
N: Create certificate (default settings)
# Select your IIS site
# Certificate auto-renews every 60 days
💡 مزایای Win-ACME
- ✓ گواهی رایگان Let's Encrypt
- ✓ تمدید خودکار (Task Scheduler)
- ✓ پشتیبانی از Wildcard (*.example.com)
- ✓ سازگار با IIS 7.5 تا 10
تست و تأیید نصب SSL
بعد از نصب، گواهی SSL را با این روشها تست کنید:
- سایت را با
https://در مرورگر باز کنید - باید قفل سبز ببینید - ابزار آنلاین: SSL Labs Test
- PowerShell:
Test-NetConnection -ComputerName example.com -Port 443
سوالات متداول
آیا میتوانم گواهی SSL رایگان روی IIS نصب کنم؟
بله، با ابزار Win-ACME میتوانید گواهی رایگان Let's Encrypt را روی IIS نصب کنید. این گواهی هر ۶۰ روز بهصورت خودکار تمدید میشود و برای اکثر سایتها کافی است.
تفاوت گواهی DV، OV و EV چیست؟
DV فقط مالکیت دامنه را تأیید میکند (سریع و ارزان). OV هویت سازمان را هم بررسی میکند. EV بالاترین سطح اعتبارسنجی است و برای بانکها و سایتهای مالی توصیه میشود. از نظر رمزنگاری، هر سه یکسان هستند.
چرا مرورگر خطای گواهی نشان میدهد؟
دلایل رایج: ۱) گواهی Intermediate نصب نشده، ۲) Common Name با آدرس سایت مطابقت ندارد، ۳) گواهی منقضی شده، ۴) ساعت سیستم کاربر اشتباه است. با SSL Labs میتوانید مشکل دقیق را پیدا کنید.
گواهی Wildcard چیست و چه زمانی به آن نیاز دارم؟
گواهی Wildcard با فرمت *.example.com تمام زیردامنههای یک سطح را پوشش میدهد (مثل www، blog، shop). اگر چند زیردامنه دارید، Wildcard اقتصادیتر از خرید گواهی جداگانه است. برتینا گواهی Wildcard ارائه میدهد.
چگونه HTTP را به HTTPS ریدایرکت کنم؟
در IIS میتوانید از ماژول URL Rewrite استفاده کنید یا در web.config یک rule اضافه کنید که تمام درخواستهای HTTP را به HTTPS ریدایرکت میکند. این کار برای SEO و امنیت ضروری است.
گواهی SSL معتبر با قیمت مناسب
گواهی SSL برتینا با پشتیبانی فارسی و نصب رایگان. انواع DV، OV و Wildcard موجود است.
جمعبندی
نصب SSL روی IIS یک فرآیند ۴ مرحلهای است: ایجاد CSR، خرید گواهی، نصب در IIS، و Bind کردن به سایت. در سال ۲۰۲۶، استفاده از ابزارهای خودکار مثل Win-ACME برای گواهیهای Let's Encrypt توصیه میشود تا از مشکلات تمدید دستی جلوگیری شود.
برای خرید گواهی SSL یا سرور مجازی ویندوز با پشتیبانی فارسی، با تیم برتینا تماس بگیرید.
