آموزش نصب گواهی SSL در IIS و ایجاد کد CSR

نصب SSL روی IIS چطور انجام می‌شود؟ IIS وب سرور قدرتمند مایکروسافت است که از آن با عنوان وب سرور ویندوز نیز یاد می‌شود. اگرچه از این وب سرور می‌توان برای سیستم‌عامل‌های دیگری مانند لینوکس نیز استفاده کرد، IIS به‌طورویژه برای مایکروسافت دات‌نت طراحی شده است. برای استفاده از پروتکل ایمن HTTPS، باید گواهی معتبر SSL را روی این سرور نصب کنیم. در این مقاله از آموزش SSL بلاگ پارس پک، قصد داریم نحوه نصب SSL در IIS 7 را آموزش دهیم؛ پس تا پایان با ما همراه باشید.

مقدمه‌ای بر نصب SSL روی IIS

در این مقاله از آموزش نصب SSL در IIS قصد داریم نحوه‌ی نصب و فعال‌سازی گواهی SSL را روی یک سرور توضیح دهیم. در صورتی‌که یک گواهی جدید تهیه کرده باشید، می‌توانید فایل pfx آن را دریافت کنید. وب‌سایت پارس پک در پنل کاربری، قسمت SSL این فایل را در اختیار کاربران قرار می‌دهد. همچنین، در صورتی‌که فقط مقادیر Certificate, Private Key, CA-Bundle را در اختیار دارید، می‌تواند توسط این وب‌سایت sslshopper.com اقدام به استخراج فایل pfx کنید.

در صورتی‌که یک گواهی فعال بر روی سروری دیگر داشته باشید، ابتدا باید از گواهی خود Export بگیرید و سپس روندی را که در این مقاله ارائه شده است، انجام دهید. نحوه‌ی Export گرفتن از گواهی SSL روی یک سرور، در انتهای همین مقاله توضیح داده شده است.

وب سرور IIS درخواست‌های کاربران را ازطریق پروتکل HTTP دریافت و پردازش می‌کند و پاسخشان را به مرورگر کاربران می‌فرستد تا مرورگر به‌سرعت محتوای درخواستی‌ را به آن‌‌ها نمایش دهد. برای ایمن‌سازی ارتباط بین کاربران و وب‌سرور IIS استفاده از پروتکل HTTPS بهترین راهکار است. با نصب SSL روی IIS می‌توانید داده‌های ردوبدل‌شده بین وب سرور آی‌آی‌اس و مرورگر کاربر را رمزنگاری و امنیتشان را به‌ میزان قابل توجهی افزایش دهید.

روش اول: نحوه Import (نصب کردن) گواهی امنیتی از طریق فایل .pfx

برای اینکه گواهی SSL را به سرور خود Import کنید، مراحل زیر را انجام دهید:

۱. در منو Start، روی Run کلیک و در پنجره شناور بازشده، عبارت mmc را تایپ کنید.

تایپ عبارت mmc در پنجره Run

۲. در برنامه باز شده، از منو File، گزینه Add / Remove Snap-in را انتخاب کنید.

انتخاب گزینه Add / Remove Snap-in

۳. در این مرحله از قسمت سمت راست (Available snap-in) گزینه Certificates را انتخاب و سپس، روی کلید Add کلیک کنید.

انتخاب کلید Add

۴. پس از کلیک روی OK، در پنجره بعدی، گزینه Computer Accounts را انتخاب و درادامه، روی کلید Next کلیک کنید.

انتخاب گزینه Computer Accounts  کلیک روی Next

۵. این قسمت، گزینه Local Computer را انتخاب و سپس، روی Finish کلیک کنید. درنهایت، پنجره‌های Add Standalone snap-in و Add / Remove snap-in را ببندید.

انتخاب گزینه Local Computer و کلیک روی Finish 

۶. در این مرحله قابلیت اضافه کردن یک گواهی امنیتی در سیستم اضافه شده است. حال در پنجره اصلی، از ستون سمت چپ گزینه

 Console Root > Certificates > [Local Computer] > Personal > Certificates

را انتخاب کرده و با کلیک روی قسمت خالی ستون وسط، امکان اضافه کردن یک گواهی تحت عنوان All Task > Import امکان‌پذیر است.

All Task > Import را انتخاب کنید

۷. برای Importکردن گواهی، صفحات را تأیید کنید. 

تایید صفحات برای ایمپورت‌شدن گواهی

۸. در مرحله‌ی دومِ این روند، باید فایل گواهی pfx قرار داده شده بر روی سرور را انتخاب کنید.

انتخاب فایل گواهی pfx

۹. فراموش نکنید که در پنجره باز شده، نوع فایل‌ها را روی All Files قرار دهید تا تمامی فایل‌ها از جمله .pfx ها قابل مشاهده باشند.

نوع فایل‌ها را روی All Files قرار دهید

۱۰. حالا باید رمز عبور را وارد کنید. هنگامی که فایل pfx را از داشبورد خود در وب سایت پارس پک دانلود می‌کنید، یک رمز عبور به شما داده می‌شود که باید از همان رمز در این قسمت استفاده کنید. در‌نهایت، باید انتخاب کنید که گواهی مدنظرتان به‌طورخودکار در Certificates Store قرار بگیرد.

وارد کردن رمز عبور

۱۱. حتماً گزینه Automatically را انتخاب کنید تا سیستم به‌صورت خودکار گواهی شما را از تمامی بخش‌ها در دسترس قرار دهد.

انتخاب گزینه Automatically برای اختصاصی گواهی به تمام بخش‌ها

۱۲. در نهایت گواهی شما با موفقیت روی سیستم اضافه می‌شود.

گواهی با موفقیت اضافه شد

۱۳. در پنجره اصلی، قسمت Certificates می‌توانید گواهی امنیتی خود را مشاهده کنید.درصورتی‌که از قبل گواهی دیگری روی سیستم نصب باشد؛ از این قسمت قابل مشاهده خواهد بود.

امکان مشاهده گواهینامه امنیتی اس‌اس‌ال در قسمت Certificates

فعال‌سازی SSL در IIS

پس از نصب SSL در IIS حالا باید گواهی Import شده را روی سرور خود فعال کنید. برای این منظور، مراحل زیر را دنبال کنید:

۱. در منو Start، گزینه Administrative Tools و سپس Internet Information Service (IIS) را انتخاب کنید.

انتخاب گزینه Administrative Tools و IIS

۲. در IIS Manager، روی نام سرور کلیک کنید.

۳. پوشه Sites را باز کنید.

۴. وب‌سایتی که می‌خواهید گواهی SSL را روی آن فعال کنید، برگزینید.

۵. در منو Actions در بخش Edit Site، روی گزینه Binding کلیک کنید. این گزینه در تصویر زیر نشان داده شده است:

روی گزینه Binding کلیک کنید

۶. در پنجره Binding، روی کلید Add کلیک کنید. همچنین، اگر ازقبل لینک HTTPS وجود دارد، آن را انتخاب و روی کلید Edit کلیک کنید.

روی کلید Add کلیک کنید

۷. اطلاعات موردنیاز پنجره Add Site Binding را تکمیل و سپس با استفاده از منو کشویی Type، گزینه HTTPS را انتخاب کنید. درادامه در قسمت IP، آی‌پی وب‌سایتتان را وارد یا از گزینه Unassigned استفاده کنید.

آی‌پی وب‌سایتتان را وارد کنید

با‌توجه‌به اینکه ترافیک SSL معمولاً از پورت ۴۴۳ به همراه گواهی استفاده می‌کند، در قسمت Port، این عدد را وارد کنید. با کلیک بر روی گزینه‌ی View، لیست تمامی گواهی‌های ایجاد شده‌ی قبلی به نمایش در خواهد آمد. از این لیست، گواهی موردنظر را انتخاب کنید.

در در قسمت Port عدد ۴۴۳ را وارد کنید

۸. با وارد کردن نامِ دامنه و کلیک بر روی دکمه‌ی View، گواهی‌های فعال بر روی سرور قابل مشاهده است.

وارد کردن نام دامنه و مشاهده گواهی‌های فعال روی سرور 

۹. شما باید در این قسمت نامِ گواهی Import شده در قسمت قبلی را انتخاب کرده و روی گزینه OK کلیک کنید. بدین‌ترتیب، گواهی SSL شما به‌‌درستی روی سرور IIS نصب خواهد شد و وب‌سایت از پروتکل HTTPS برای انتقال اطلاعات استفاده خواهد کرد. البته ممکن است مجبور باشید سرور خود را مجدداً راه‌اندازی کنید تا بتواند گواهی جدید را تشخیص دهد.

انتخاب نامِ گواهی Import شده در قسمت قبلی 

۱۰. در صورتی‌که گواهی شما هم برای دامنه با www و هم بدونِ آن صادر شده است، در این قسمت باید هر دو این گواهی‌ها نصب شود.

نمایش گواهی فعال برای دامنه‌ها

۱۱. در نهایت، قسمت Binding سایت شما به این صورت خواهد بود.

نمایش Binding وب‌سایت

نحوه Export یا گرفتن بک‌آپ گواهی SSL به فایل .pfx

در این مرحله از نصب SSL در IIS در صورتی که گواهی SSL شما بر روی یک سرور دیگر قرار داشته باشد و حالا بخواهید آن را به سرور جدید منتقل کنید، باید ابتدا از گواهی SSL بر روی سرور قبلی، Export بگیرید و سپس مراحل Import کردن و فعال‌سازی گواهی روی سرور جدید را انجام دهید. برای این منظور مراحل زیر را طی کنید:

1. در منو Start، روی Run کلیک و سپس عبارت mmc را تایپ کنید.
2. از منو File، روی گزینه Add / Remove Snap-in کلیک کنید.
3. از قسمت Certificates گزینه Add را انتخاب کنید.
4. Computer Accounts را انتخاب و سپس روی دکمه Next کلیک کنید. سپس، Local Computer را انتخاب و بعد‌از‌آن روی Finish کلیک کنید. در‌نهایت، پنجره‌های Add Standalone snap-in و Add/Remove Snap-in را ببندید.
5. برای گسترش نمودار درختی گواهی‌ها، روی علامت + کلیک کنید. در منوهای باز‌شده، به‌دنبال گزینه Personal Directory / Folder بگردید.
6. روی گواهی‌ای که می‌خواهید از آن نسخه بک‌آپ بگیرید، راست‌کلیک و سپس از قسمت ALL Tasks، گزینه Export را انتخاب کنید.
7. با انتخاب گزینه Yes، از کلید خصوصی Export بگیرید.

هشدار: مراقب باشید که در این قسمت، گزینه Delete Private Key را انتخاب نکنید.

1. تنظیمات پیش‌فرض را تأیید و درصورت نیاز، رمز‌عبور خود را وارد کنید.
2. گزینه Save the File را انتخاب و سپس روی کلید Finish کلیک کنید.

در این‌ صورت، باید پیغامی مبنی‌بر اتمام موفقیت‌آمیز عملیات Export دریافت کنید. حالا فایل .pfx در محلی که انتخاب کرده‌اید، ذخیره شده است.

روش دوم: ساخت کد CSR توسط ویندوز سرور

۱. سرویس IIS این امکان را در اختیار کاربران خود قرار می‌دهد تا اقدام به تولید کد CSR کنند. برای این منظور از قسمت Server Manager در ویندوز سرور، وارد سرویس IIS شوید.

نحوه ساخت کد CSR

۲. سپس از ستون سمت راست، روی نام سرور کلیک کنید.

کلیک روی نام سرور

۳. سپس گزینه Server Certificates را انتخاب و در پنجره بازشده از منوی سمت راست، گزینه Create Certificate Request را انتخاب کنید.

create certificate request in iis را انتخاب کنید

۴. فرمی که در این مرحله نمایش داده می شود ، در بر دارنده اطلاعات لازم جهت ساخت کدCSR و سپس ساخت گواهی SSL بر اساس آن خواهد بود که آن را به ترتیب زیر تکمیل نمایید:

•  ” Common name ” عبارت است از نام دامنه و یا زیر دامنه‌ای که می‌خواهید برای آن سفارش SSL را ثبت کنید.
• ” Organization ” و ” Organization Unit ” را با نام شرکت و نام دپارتمان تکمیل کنید.
•  در بخش های ” City ” ، ” State ” و ” Country ” به ترتیب شهر، استان و کشور را درج کنید.

در ادامه، باید نام دامنه مورد نظر و مشخصات مورد نیاز شامل محل شرکت را وارد کنید. (لطفا در نظر داشته باشید متاسفانه کشور ایران تحریم است و با وارد کردن موقعیت ایران با مشکل مواجه خواهید شد. به همین دلیل، به ناچار موقعیتی غیر از ایران را وارد کنید.)

اطلاعات لازم برای ساخت گواهی

۵.  در مرحله بعد رمز نگاری را مطابق تصویر و Bit Length را روی ۲۰۴۸ بیتی قرار دهید.

 Bit Length را روی ۲۰۴۸ بیتی قرار دهید

۶. در مرحله بعد باید یک فایل متنی را انتخاب کنید تا محتویات CSR روی آن ذخیره شود. بنابراین، از پنجره فعلی با کلیک راست روی مسیر مورد نظر یک New > File ایجاد کنید.

تعیین محل ذخیره فایل CSR

۷. حال فایل ایجاد شده را انتخاب کنید.

انتخاب فایل متنی برای ذخیره محتویات CSR

۸. در نهایت، با کلیک بر روی Finish صدور  CSR را تایید کنید.

CSR با موفقیت ساخته شد

۹. در صورت بررسی محتویات فایل باید به شکل زیر باشد.

نمایش ایجاد موفقیت‌آمیز فایل CSR

حال با در دست داشتن کد CSR می توانید به صفحه خرید گواهینامه SSL پارس پک مراجعه کرده و از گواهی متناسب با نیاز خود استفاده نمایید.

شایان ذکر است، در صورت سفارش گواهینامه ssl از شرکت پارس پک، پس از نهایی شدن سفارش، در پنل ssl خود می توانید گزینه ” تکمیل اطلاعات ” را کلیک کرده و با انتخاب دکمه ” creat CSR ” به صورت خودکار کدCSR را ایجاد نمایید و بدین ترتیب نیازی به اجرای مراحل بالا نخواهد بود.

نصب SSL روی ویندوز سرور

ابتدا کدهای ” Private key ” و ” Certificate ” و ” chain ” گواهینامه صادر شده را در سه فایل جداگانه با پسوند .txt ذخیره کنید.

سپس به لینک زیر مراجعه نمایید:

sslshopper.com

1. در این قسمت از نصب SSL روی ویندوز سرور، 3 فایل گواهینامه که با فرمت .txt آماده کرده اید را در بخش های مربوطه آپلود نمایید. لازم به ذکر است ” type of current certificate ” را روی گزینه ” standard pem ” و ” type to convert to ” را روی pfx/pkcs#12 قرار دهید. سپس در فیلد ” PFX Password ” یک پسورد دلخواه را وارد نمایید.

نکته: پسوردی که در ” PFX Password ” وارد می نمایید را به خاطر داشته باشید زیرا در Import گواهینامه در IIS این پسورد مورد نیاز خواهد بود.

2. سپس روی گزینه ” Convert Certificate ” کلیک نموده که در نهایت یک فایل با پسوند .pfx به شما ارائه داده می شود که باید آن را ذخیره نمایید.

نصب سرویس SSL

3. به منظور نصب گواهی SSL ابتدا در صفحه اصلی IIS ، در قسمت Home وارد ” Server Certificates ” شوید.

نحوه ایمپورت کردن certificate

4. سپس در سمت راست بر روی گزینه Import کلیک نمایید.

نصب گواهی نامه S.SL

5. در فرم مربوطه در فیلد ” Certificate file ” مسیر فایل pfx که ایجاد شده است را انتخاب نمایید، در بخش password همان PFX password ای که در هنگام تبدیل گواهینامه وارد نموده بودید را وارد کرده و در نهایت ” Select Certificate Store ” را بر روی ” Web hosting ” قرار داده و بر روی گزینه OK کلیک نمایید.

Certificate file

بدین ترتیب گواهی sslبر روی وب سرور نصب شده است.

در برخی موارد پس از نصب گواهینامه SSL، مرورگر ها آن را بصورت معتبر شناسایی نکرده و با خطایی مشابه ” Certificate Not Trusted ” مواجه می شوید. به منظور رفع این مشکل بایستی اقدام به نصب Bundle و یا Chain بر روی سرور نمایید. مراحل نصب بدین شرح است:

1. ابتدا در منوی استارت وارد Run شده و عبارت ” mmc ” را جستجو نمایید.

دستور mmc در run

2. در پنجره console1 از منوی File گزینه ” Add/Remove Snap-in ” را انتخاب کنید.

پاک کردن certificate در mmc

3. حال در پنجره سمت چپ ” Certificates ” را انتخاب و بر روی Add و سپس OK کلیک نمایید.

add or remove snap-ins

4. در کادر ” Certificates snap-in ” گزینه ” Computer account ” را انتخاب و بر روی next کلیک کنید.

computer account snap-in

5. این بخش را مطابق با تصویر زیر تنظیم نموده و بر روی Finish کلیک نمایید .

local computer 

6. حال در پنجره ” Add or Remove Snap-ins ” بر روی Ok کلیک کنید.

add شدن certificate در لوکال کامپیوتر

7. سپس در پنجره console1 در کادر سمت چپ، علامت + کنار Certificates را انتخاب نمایید.

console1 tab

8. با کلیک راست بر روی ” Intermediate Certificate Authorities ” به All Tasks و سپس Import روید.

ایمپورت certificate

9. در پنجره جدید ابتدا بر روی Next کلیک کنید.

import certificate wizard

10. در پنجره بعدی با کلیک بر روی دکمه Browse به محل قرار گیری فایل Bundle رفته و آن را انتخاب نمایید.

محل قرار گیری فایل 

11. سپس بر روی Finish کلیک کنید.

آموزش کامل نصب certificate و گواهی ssl  

12. نصب Bundle نیز در اینجا به پایان رسیده است. حال console1 را بسته و بر روی دکمه No کلیک نمایید.

جمع‌بندی

نصب SSL روی IIS را در این مقاله بصورت کامل توضیح دادیم. استفاده از پروتکل HTTPS به یکی از نیازهای اساسی وب‌سایت‌ها تبدیل شده است. با استفاده از این پروتکل، اطلاعات بین سرور و کلاینت به‌طورایمن و رمزگذاری‌شده منتقل خواهند شد. برای این منظور، گواهی SSL معتبری باید روی سرور وب‌سایتتان نصب کنید. نصب گواهی SSL روی سرور یکی از مشکلات همیشگی توسعه‌دهندگان است؛ به‌همین‌دلیل، در این مقاله از آموزش امنیت بلاگ پارس پک، تصمیم گرفتیم تا نحوه نصب گواهی SSL روی IIS 7 را آموزش دهیم. در مطلب حاضر توضیح داده‌ایم که چطور می‌توانید گواهی SSL را بر روی سرور IIS 7 خود Import کنید. همچنین نحوه‌ی پیکربندی و فعال کردن آن را نیز توضیح داده‌ایم. علاوه بر این موارد، در صورتی‌که بخواهید گواهی SSL خود را از یک سرور به سروری دیگر انتقال دهید، باید از گواهی SSL روی سرور قبلی خود Export بگیرید. نحوه‌ی انجام این کار نیز در این مقاله به‌صورت گام به گام توضیح داده شده است. 

برای ایمن‌سازی اطلاعات مبادله‌ شده بین کاربران و سرور می‌توانید از گواهی امنیتی SSL استفاده کنید. نصب SSL رایگان روی IIS به شما کمک می‌کند تا تبادل اطلاعاتتان در وب سرور ویندوزی با کاربران امنیت بالایی داشته باشد و حتی روی سئو وب‌ساتتان هم تاثیر مثبتی داشته و تجربه کاربری بهتری برای کاربران به‌ارمغان می‌آورد. با استفاده از فایل pfx می‌توانید به‌راحتی SSL را روی وب سرور IIS نصب کنید.

سؤالات متداول

۱. IIS چیست؟

IIS یا Internet Information Service به سرورهای شرکت مایکروسافت گفته می‌شود که به‌صورت اختصاصی برای مایکروسافت دات‌نت طراحی شده است.

۲. پروتکل HTTPS چیست؟

پروتکل HTTPS مجموعه قواعدی است که انتقال اطلاعات بین Client و Server را به‌طورایمن و با استفاده از SSL امکان‌پذیر می‌سازد.

۳. گواهینامه SSL چیست؟

گواهینامه SSL باعث می‌شود تا وب‌سایت شما از پروتکل HTTPS استفاده کند. بدین‌ترتیب، تمامی اطلاعات بین کلاینت و سرور به‌طورایمن منتقل خواهند شد.

۴. آیا استفاده از گواهی SSL روی وب‌سایت‌ ها ضروری است؟

با‌توجه‌به اینکه امروزه کاربران به امنیت اطلاعاتشان بسیار حساس‌اند، درصورتی‌که از این گواهی استفاده نکنید، احتمالاً با ریزش مخاطبان خود روبه‌رو خواهید شد. درضمن، موتورهای جست‌وجو و مرورگرها قوانین سخت‌گیرانه‌ای برای اجبار صاحبان وب‌سایت‌ها به استفاده از پروتکل HTTPS در پیش گرفته‌اند.

۵. آیا استفاده‌ نکردن از پروتکل HTTPS باعث افت نتایج سئو خواهد شد؟

بله، گوگل رسماً اعلام کرده است وب‌سایت‌هایی که از پروتکل HTTPS استفاده نکنند، با افت ترافیک مواجه خواهند شد. به‌عبارت‌دیگر، اگر از این پروتکل در وب‌سایتتان استفاده نکنید، ممکن است تمامی زحمات شما برای سئو به‌هدر رود.