آموزش تصویری نصب ssl روی وب سرور IIS

🔒 خلاصه سریع (TL;DR)

نصب SSL روی IIS شامل ۴ مرحله است: ۱) ایجاد CSR در IIS Manager، ۲) خرید و دریافت گواهی از CA معتبر، ۳) نصب گواهی در Server Certificates، ۴) Bind کردن به وب‌سایت روی پورت 443. در ۲۰۲۶، ابزار Win-ACME برای گواهی رایگان Let's Encrypt با تمدید خودکار توصیه می‌شود.

پیش‌نیازهای نصب SSL روی IIS

قبل از شروع نصب گواهی SSL روی وب سرور IIS، مطمئن شوید که موارد زیر را در اختیار دارید:

✅ چک‌لیست پیش‌نیازها

☑ Windows Server 2019/2022/2025 با IIS نصب شده
☑ دسترسی Administrator به سرور
☑ دامنه فعال با DNS تنظیم‌شده (رکورد A به IP سرور)
☑ پورت 443 در فایروال باز باشد
☑ گواهی SSL (خریداری شده یا رایگان Let's Encrypt)

📊 تغییرات SSL در ۲۰۲۶

TLS 1.3 پروتکل استاندارد - TLS 1.0 و 1.1 منقضی شده
حداکثر اعتبار گواهی: ۹۰ روز (ACME استاندارد)
گواهی‌های ۲۰۰ روزه از مارس ۲۰۲۶ برای CA‌های تجاری
ابزار Win-ACME برای تمدید خودکار در ویندوز
Windows Server 2025 با IIS 10 پشتیبانی کامل

مرحله ۱: ایجاد CSR (Certificate Signing Request)

CSR یک فایل رمزگذاری‌شده است که اطلاعات دامنه و سازمان شما را برای صدور گواهی SSL به CA (Certificate Authority) ارسال می‌کند.

ایجاد CSR در IIS Manager

IIS Manager را باز کنید (از Start Menu یا با اجرای inetmgr)
در پنل سمت چپ، روی نام سرور کلیک کنید
در پنل وسط، روی Server Certificates دوبار کلیک کنید
در پنل سمت راست (Actions)، روی Create Certificate Request کلیک کنید

فیلد	مقدار نمونه	توضیحات
Common Name	`www.example.com`	دامنه اصلی سایت (FQDN)
Organization	شرکت نمونه	نام سازمان یا شرکت
Organizational Unit	IT Department	بخش یا واحد سازمانی
City/Locality	Tehran	نام شهر
State/Province	Tehran	نام استان
Country/Region	IR	کد کشور (۲ حرفی)

در مرحله بعد، Cryptographic Service Provider و Bit Length را تنظیم کنید:

# Recommended Settings (2026)

Cryptographic Service Provider: Microsoft RSA SChannel

Bit Length: 2048 (minimum) or 4096 (recommended)
# For ECC certificates:

Provider: Microsoft ECDSA P-256 / P-384

فایل CSR را در یک مکان امن ذخیره کنید (مثلاً C:\SSL\mydomain.csr).

مرحله ۲: خرید و دریافت گواهی SSL

فایل CSR ایجاد شده را به یکی از CA‌های معتبر ارسال کنید:

🔒 DV (Domain Validation)

فقط مالکیت دامنه تأیید می‌شود. صدور سریع (دقایق). مناسب سایت‌های شخصی و کوچک.

🏢 OV (Organization Validation)

هویت سازمان بررسی می‌شود. صدور ۱-۳ روز. مناسب کسب‌وکارها.

🎯 EV (Extended Validation)

بررسی کامل قانونی سازمان. صدور ۱-۲ هفته. مناسب بانک‌ها و فروشگاه‌های بزرگ.

برای خرید گواهی SSL با قیمت مناسب و پشتیبانی فارسی، می‌توانید از سرویس SSL برتینا استفاده کنید.

مرحله ۳: نصب گواهی SSL در IIS

پس از دریافت فایل گواهی (معمولاً با پسوند .cer یا .crt)، مراحل زیر را دنبال کنید:

IIS Manager را باز کنید
روی نام سرور کلیک کرده و Server Certificates را باز کنید
در پنل Actions، روی Complete Certificate Request کلیک کنید
فایل گواهی دریافتی را Browse کنید
یک Friendly Name وارد کنید (مثلاً www.example.com-2026)
برای Certificate Store گزینه Web Hosting یا Personal را انتخاب کنید
روی OK کلیک کنید

⚠️ نکته مهم: گواهی‌های Intermediate

اکثر CA‌ها یک فایل Intermediate/Chain Certificate هم ارائه می‌دهند. این فایل را باید در MMC → Certificates → Intermediate Certification Authorities نصب کنید، در غیر این صورت برخی مرورگرها خطای گواهی می‌دهند.

مرحله ۴: Bind کردن SSL به وب‌سایت

حالا باید گواهی نصب‌شده را به وب‌سایت مورد نظر متصل کنید:

در IIS Manager، بخش Sites را باز کنید
روی سایت مورد نظر راست‌کلیک کرده و Edit Bindings را انتخاب کنید
روی Add کلیک کنید
تنظیمات زیر را وارد کنید:

تنظیم	مقدار
Type	https
IP Address	All Unassigned یا IP خاص
Port	443
Host name	www.example.com (اگر SNI استفاده می‌کنید)
SSL Certificate	گواهی نصب‌شده را انتخاب کنید

✅ گزینه Require Server Name Indication را فعال کنید اگر چند سایت با SSL روی یک IP دارید.

روش جایگزین: نصب خودکار با Win-ACME (Let's Encrypt)

Win-ACME ابزار رایگان برای دریافت و تمدید خودکار گواهی Let's Encrypt در ویندوز است:

# Download and run Win-ACME
1. Download from: https://www.win-acme.com/
2. Extract to C:\Win-ACME
3. Run wacs.exe as Administrator
# Interactive menu:

N: Create certificate (default settings)

# Select your IIS site

# Certificate auto-renews every 60 days

💡 مزایای Win-ACME

✓ گواهی رایگان Let's Encrypt
✓ تمدید خودکار (Task Scheduler)
✓ پشتیبانی از Wildcard (*.example.com)
✓ سازگار با IIS 7.5 تا 10

تست و تأیید نصب SSL

بعد از نصب، گواهی SSL را با این روش‌ها تست کنید:

سایت را با https:// در مرورگر باز کنید - باید قفل سبز ببینید
ابزار آنلاین: SSL Labs Test
PowerShell: Test-NetConnection -ComputerName example.com -Port 443

سوالات متداول

آیا می‌توانم گواهی SSL رایگان روی IIS نصب کنم؟

بله، با ابزار Win-ACME می‌توانید گواهی رایگان Let's Encrypt را روی IIS نصب کنید. این گواهی هر ۶۰ روز به‌صورت خودکار تمدید می‌شود و برای اکثر سایت‌ها کافی است.

تفاوت گواهی DV، OV و EV چیست؟

DV فقط مالکیت دامنه را تأیید می‌کند (سریع و ارزان). OV هویت سازمان را هم بررسی می‌کند. EV بالاترین سطح اعتبارسنجی است و برای بانک‌ها و سایت‌های مالی توصیه می‌شود. از نظر رمزنگاری، هر سه یکسان هستند.

چرا مرورگر خطای گواهی نشان می‌دهد؟

دلایل رایج: ۱) گواهی Intermediate نصب نشده، ۲) Common Name با آدرس سایت مطابقت ندارد، ۳) گواهی منقضی شده، ۴) ساعت سیستم کاربر اشتباه است. با SSL Labs می‌توانید مشکل دقیق را پیدا کنید.

گواهی Wildcard چیست و چه زمانی به آن نیاز دارم؟

گواهی Wildcard با فرمت *.example.com تمام زیردامنه‌های یک سطح را پوشش می‌دهد (مثل www، blog، shop). اگر چند زیردامنه دارید، Wildcard اقتصادی‌تر از خرید گواهی جداگانه است. برتینا گواهی Wildcard ارائه می‌دهد.

چگونه HTTP را به HTTPS ریدایرکت کنم؟

در IIS می‌توانید از ماژول URL Rewrite استفاده کنید یا در web.config یک rule اضافه کنید که تمام درخواست‌های HTTP را به HTTPS ریدایرکت می‌کند. این کار برای SEO و امنیت ضروری است.

گواهی SSL معتبر با قیمت مناسب

گواهی SSL برتینا با پشتیبانی فارسی و نصب رایگان. انواع DV، OV و Wildcard موجود است.

مشاهده گواهی‌های SSL
سرور مجازی ویندوز

جمع‌بندی

نصب SSL روی IIS یک فرآیند ۴ مرحله‌ای است: ایجاد CSR، خرید گواهی، نصب در IIS، و Bind کردن به سایت. در سال ۲۰۲۶، استفاده از ابزارهای خودکار مثل Win-ACME برای گواهی‌های Let's Encrypt توصیه می‌شود تا از مشکلات تمدید دستی جلوگیری شود.

برای خرید گواهی SSL یا سرور مجازی ویندوز با پشتیبانی فارسی، با تیم برتینا تماس بگیرید.