نحوه ایجاد CSR و نصب SSL در سی‌پنل

نحوه ایجاد CSR و نصب SSL در سی‌پنل: راهنمای جامع ۱۴۰۵

مقدمه: چرا SSL و CSR برای هر وب‌سایتی ضروری است؟

در سال ۱۴۰۵، داشتن گواهی SSL دیگر یک انتخاب نیست، بلکه یک الزام است. تمام مرورگرهای مدرن، وب‌سایت‌های بدون HTTPS را با برچسب «ناامن» نمایش می‌دهند که باعث از دست رفتن اعتماد کاربران و کاهش ترافیک می‌شود. علاوه بر این، گوگل از سال ۲۰۱۴ از HTTPS به عنوان یک فاکتور رتبه‌بندی SEO استفاده می‌کند.

برای نصب یک گواهی SSL پولی (غیر از AutoSSL)، ابتدا باید یک CSR (Certificate Signing Request) ایجاد کنید. این فایل حاوی اطلاعات رمزنگاری‌شده دامنه و سازمان شماست که به مرجع صدور گواهی (CA) ارسال می‌شود. در این راهنمای جامع، تمام مراحل ایجاد CSR و نصب SSL در cPanel را به زبان ساده آموزش می‌دهیم.

جدول مقایسه انواع گواهی SSL (DV, OV, EV, Wildcard)

قبل از ایجاد CSR، باید بدانید کدام نوع گواهی SSL برای کسب‌وکار شما مناسب است. در جدول زیر، تفاوت‌های اصلی انواع گواهی‌ها را مشاهده می‌کنید:

CSR چیست و چرا به آن نیاز دارید؟

CSR (Certificate Signing Request) یک فایل رمزنگاری‌شده است که شامل اطلاعات زیر است:

• Common Name (CN): نام دامنه شما (مثلاً www.example.com)
• Organization (O): نام رسمی شرکت یا سازمان
• Organizational Unit (OU): واحد سازمانی (مثلاً بخش IT)
• City/Locality (L): شهر محل ثبت شرکت
• State/Province (ST): استان
• Country (C): کد کشور (IR برای ایران)
• Public Key: کلید عمومی که در گواهی نهایی قرار می‌گیرد

وقتی CSR را به CA (مانند Sectigo، DigiCert یا Comodo) ارسال می‌کنید، آن‌ها اطلاعات را تأیید کرده و یک گواهی SSL امضا شده صادر می‌کنند.

فرآیند کلی صدور SSL:

1. ایجاد CSR و Private Key در cPanel
2. ارسال CSR به مرجع صدور گواهی (CA)
3. تأیید مالکیت دامنه توسط CA (از طریق ایمیل، DNS یا فایل HTTP)
4. دریافت گواهی SSL (فایل‌های CRT و CA Bundle)
5. نصب گواهی در cPanel

مرحله ۱: ایجاد CSR در سی‌پنل (گام به گام)

برای ایجاد CSR در cPanel، مراحل زیر را دنبال کنید:

گام ۱: ورود به بخش SSL/TLS

1. وارد cPanel هاست خود شوید
2. در بخش Security (امنیت)، روی آیکون SSL/TLS کلیک کنید
3. یا در کادر جستجو، عبارت «SSL» را تایپ کنید

گام ۲: ورود به صفحه CSR

در صفحه SSL/TLS، چهار گزینه اصلی می‌بینید:

• Private Keys (KEY): مدیریت کلیدهای خصوصی
• Certificate Signing Requests (CSR): ایجاد و مدیریت CSR
• Certificates (CRT): مدیریت گواهی‌های SSL
• Manage SSL sites: نصب و حذف SSL روی دامنه‌ها

روی گزینه «Generate, view, or delete SSL certificate signing requests» کلیک کنید.

گام ۳: پر کردن فرم CSR

در این صفحه، فرمی برای وارد کردن اطلاعات مشاهده می‌کنید:

بخش Key (کلید):

بخش Domains (دامنه):

• نام دامنه را دقیقاً وارد کنید
• معمولاً هم نسخه با www و هم بدون آن را وارد کنید: example.com و www.example.com
• SSL دقیقاً برای همان دامنه‌ای کار می‌کند که در CSR وارد کرده‌اید

برای گواهی Wildcard SSL:

اگر می‌خواهید تمام ساب‌دامین‌های خود را با یک گواهی پوشش دهید، دامنه را به این شکل وارد کنید:

این گواهی برای blog.example.com، shop.example.com، api.example.com و هر ساب‌دامین دیگری کار می‌کند.

بخش اطلاعات جغرافیایی:

• City: نام شهر (مثلاً Tehran)
• State/Province: نام استان (مثلاً Tehran)
• Country: کد کشور دو حرفی (IR برای ایران)

بخش اطلاعات سازمانی:

• Company: نام رسمی شرکت یا سازمان
• Company Division: واحد سازمانی (معمولاً IT یا Technical)
• Email: ایمیل معتبر برای تماس (ترجیحاً ایمیل سازمانی)

بخش‌های اختیاری:

• Passphrase: رمز عبور برای محافظت از کلید خصوصی (اختیاری، اما توصیه می‌شود خالی بگذارید)
• Description: توضیحات برای شناسایی آسان‌تر

گام ۴: تولید CSR

پس از پر کردن تمام فیلدها، روی دکمه Generate کلیک کنید.

بلافاصله دو بلوک متنی مشاهده می‌کنید:

1. Encoded Certificate Signing Request: این همان CSR است که باید به CA ارسال کنید
2. Encoded Key: این Private Key است که باید به صورت امن نگهداری شود

گام ۵: کپی و ارسال CSR به CA

متن CSR (شامل خطوط -----BEGIN CERTIFICATE REQUEST----- و -----END CERTIFICATE REQUEST-----) را کپی کرده و در پنل فروشنده SSL یا CA وارد کنید.

-----BEGIN CERTIFICATE REQUEST-----
MIICvDCCAaQCAQAwdzELMAkGA1UEBhMCSVIxDzANBgNVBAgTBlRlaHJhbjEPMA0G
A1UEBxMGVGVocmFuMRMwEQYDVQQKEwpCZXJ0aW5hIElyMQswCQYDVQQLEwJJVDEk
MCIGA1UEAxMbd3d3LmV4YW1wbGUuY29tIC8gZXhhbXBsZS5jb20wggEiMA0GCSqG
...
-----END CERTIFICATE REQUEST-----

مرحله ۲: تأیید مالکیت دامنه (Domain Validation)

پس از ارسال CSR به CA، باید مالکیت دامنه را تأیید کنید. سه روش رایج وجود دارد:

روش ۱: تأیید از طریق ایمیل

CA یک ایمیل به یکی از آدرس‌های زیر ارسال می‌کند:

• admin@yourdomain.com
• administrator@yourdomain.com
• hostmaster@yourdomain.com
• postmaster@yourdomain.com
• webmaster@yourdomain.com

روی لینک تأیید در ایمیل کلیک کنید تا گواهی صادر شود.

روش ۲: تأیید از طریق DNS (CNAME Record)

یک رکورد CNAME با مقادیر مشخص‌شده توسط CA در DNS دامنه ایجاد کنید. این روش برای دامنه‌هایی که ایمیل ندارند مناسب است.

روش ۳: تأیید از طریق فایل HTTP

یک فایل متنی با محتوای مشخص در مسیر /.well-known/pki-validation/ وب‌سایت آپلود کنید.

مرحله ۳: نصب گواهی SSL در سی‌پنل

پس از تأیید دامنه، CA فایل‌های زیر را برای شما ارسال می‌کند:

• Certificate (CRT): فایل گواهی اصلی (yourdomain.crt)
• CA Bundle / Intermediate Certificate: زنجیره گواهی‌های واسط

گام ۱: ورود به بخش Manage SSL

1. در cPanel به بخش SSL/TLS بروید
2. روی «Manage SSL sites» یا «Install and Manage SSL for your site (HTTPS)» کلیک کنید

گام ۲: انتخاب دامنه

از لیست کشویی، دامنه‌ای که می‌خواهید SSL روی آن نصب کنید را انتخاب کنید.

گام ۳: وارد کردن Certificate (CRT)

محتوای فایل گواهی (شامل -----BEGIN CERTIFICATE----- تا -----END CERTIFICATE-----) را در کادر Certificate (CRT) وارد کنید.

گام ۴: وارد کردن Private Key

Private Key که هنگام ایجاد CSR تولید شد، باید در کادر مربوطه وارد شود. اگر CSR را در همین cPanel ساخته‌اید، معمولاً با کلیک روی Autofill by Domain به صورت خودکار پر می‌شود.

اگر کلید خصوصی از دست رفته باشد، می‌توانید آن را از مسیر زیر بازیابی کنید:

گام ۵: وارد کردن CA Bundle

محتوای فایل CA Bundle یا Intermediate Certificate را در کادر Certificate Authority Bundle (CABUNDLE) وارد کنید. این فایل معمولاً با نام‌هایی مانند ca-bundle.crt یا intermediate.crt ارسال می‌شود.

گام ۶: نصب گواهی

روی دکمه Install Certificate کلیک کنید. پیام موفقیت‌آمیز بودن نصب نمایش داده می‌شود.

مرحله ۴: تنظیم ریدایرکت HTTP به HTTPS

پس از نصب SSL، باید تمام ترافیک HTTP را به HTTPS هدایت کنید:

روش ۱: از طریق cPanel (ساده‌ترین)

1. به بخش Domains در cPanel بروید
2. کنار دامنه مورد نظر، گزینه Force HTTPS Redirect را روشن کنید

روش ۲: از طریق .htaccess

کد زیر را به ابتدای فایل .htaccess اضافه کنید:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

استفاده از AutoSSL و Let's Encrypt (جایگزین رایگان)

اگر نمی‌خواهید گواهی SSL خریداری کنید، cPanel دو گزینه رایگان ارائه می‌دهد:

گزینه ۱: AutoSSL (Sectigo)

بسیاری از هاست‌ها، AutoSSL را به صورت پیش‌فرض فعال دارند. برای بررسی:

1. به SSL/TLS Status در cPanel بروید
2. وضعیت گواهی‌های AutoSSL را مشاهده کنید
3. در صورت نیاز، روی Run AutoSSL کلیک کنید

گزینه ۲: Let's Encrypt

اگر هاست شما از Let's Encrypt پشتیبانی می‌کند:

1. به بخش Let's Encrypt SSL بروید
2. دامنه مورد نظر را انتخاب کنید
3. روی Issue کلیک کنید

رفع خطاهای رایج SSL در cPanel

در ادامه، رایج‌ترین مشکلات نصب SSL و راه‌حل آن‌ها را بررسی می‌کنیم:

خطا ۱: Domain Mismatch (عدم تطابق دامنه)

علت: گواهی SSL برای دامنه‌ای متفاوت از آنچه در cPanel استفاده می‌کنید صادر شده است.

راه‌حل:

• بررسی کنید که آیا گواهی برای www.example.com است اما روی example.com نصب کرده‌اید
• در صورت نیاز، گواهی را Reissue کنید

خطا ۲: Missing Private Key (کلید خصوصی گم‌شده)

علت: Private Key که هنگام ایجاد CSR تولید شد، حذف یا گم شده است.

راه‌حل:

• ابتدا در SSL/TLS → Private Keys جستجو کنید
• اگر پیدا نشد، CSR جدید بسازید و از CA درخواست Reissue کنید (معمولاً رایگان است)

خطا ۳: Incomplete Certificate Chain (زنجیره ناقص)

علت: CA Bundle یا Intermediate Certificate وارد نشده است.

راه‌حل:

• فایل CA Bundle را از CA دریافت کرده و در بخش CABUNDLE وارد کنید
• می‌توانید از ابزار SSL Labs برای تشخیص مشکل استفاده کنید

خطا ۴: SSL Certificate Expired (گواهی منقضی شده)

علت: مدت اعتبار گواهی به پایان رسیده است.

راه‌حل:

• گواهی جدید خریداری کرده و نصب کنید
• یا AutoSSL/Let's Encrypt را فعال کنید برای تمدید خودکار

خطا ۵: Mixed Content (محتوای ترکیبی)

علت: صفحه HTTPS، منابعی (تصاویر، CSS، JS) را از HTTP بارگذاری می‌کند.

راه‌حل:

• تمام URLهای http:// را به https:// تغییر دهید
• در وردپرس از افزونه Really Simple SSL استفاده کنید
• در DevTools مرورگر (Console) منابع ناامن را شناسایی کنید

خطا ۶: Redirect Loop (حلقه ریدایرکت)

علت: تنظیمات ریدایرکت متعدد یا تداخل با Cloudflare.

راه‌حل:

• قوانین ریدایرکت تکراری را از .htaccess حذف کنید
• در Cloudflare، SSL Mode را روی Full (Strict) تنظیم کنید

خطا ۷: AutoSSL Not Working (عدم کارکرد AutoSSL)

علت: مشکل در DNS، گواهی موجود، یا ریدایرکت.

راه‌حل:

• مطمئن شوید رکورد A دامنه به IP سرور اشاره می‌کند
• گواهی‌های قدیمی (حتی منقضی) را از Manage SSL Sites حذف کنید
• ریدایرکت‌های فعال را موقتاً غیرفعال کنید

بهترین روش‌های امنیتی SSL در سال ۱۴۰۵

برای داشتن بالاترین سطح امنیت، این موارد را رعایت کنید:

• از کلید ۲۰۴۸ یا ۴۰۹۶ بیتی استفاده کنید: کلیدهای کوتاه‌تر امنیت کافی ندارند
• HSTS را فعال کنید: هدر Strict-Transport-Security مرورگرها را مجبور به استفاده از HTTPS می‌کند
• TLS 1.0 و 1.1 را غیرفعال کنید: فقط TLS 1.2 و TLS 1.3 امن هستند
• تمدید خودکار تنظیم کنید: با AutoSSL یا Let's Encrypt
• تست امنیت انجام دهید: از SSL Labs استفاده کنید (هدف: رتبه A+)
• پشتیبان‌گیری کنید: از Private Key و گواهی‌ها بکاپ بگیرید

سوالات متداول درباره CSR و SSL در cPanel

جمع‌بندی و اقدامات بعدی

در این راهنما، تمام مراحل ایجاد CSR و نصب گواهی SSL در cPanel را به صورت گام به گام آموختید:

• ✅ نحوه ایجاد CSR با کلید ۲۰۴۸ یا ۴۰۹۶ بیتی
• ✅ نحوه ارسال CSR به CA و تأیید مالکیت دامنه
• ✅ نصب گواهی SSL به همراه CA Bundle
• ✅ تنظیم ریدایرکت HTTPS
• ✅ رفع خطاهای رایج نصب SSL

اقدامات توصیه‌شده:

1. اگر هنوز SSL ندارید، همین الان گواهی SSL برتینا را بررسی کنید
2. برای هاست جدید با SSL رایگان، هاست لینوکس برتینا را ببینید
3. اگر به سرور مجازی با کنترل کامل نیاز دارید، VPS برتینا گزینه مناسبی است
4. برای سایت‌های وردپرسی، هاست وردپرس بهینه‌شده با SSL رایگان در دسترس است

📚 منابع معتبر:

• مستندات رسمی cPanel SSL/TLS
• راهنمای Let's Encrypt
• تفاوت گواهی‌های DV، OV و EV - DigiCert
• ابزار تست SSL Labs
• راهنمای CSR در cPanel - SSL.com