یکی از راهکارهای اساسی برای بالابردن امنیت یک وبسایت استفاده از گواهی SSL است. در مقاله «SSL چیست» به صورت مفصل راجعبه این گواهی صحبت کردیم. این مقاله را به نصب گواهی SSL در IIS اختصاص میدهیم. بعد از آن هم نحوه فعالسازی آن را مرور خواهیم کرد.
برای یادآوری، IIS (مخفف Internet Information Services) یک وب سرور است که توسط کمپانی مایکروسافت عرضه شده و مختص سیستم عامل ویندوز است. البته از IIS در لینوکس هم میشود استفاده کرد، اما چون عملکرد خوبی ندارد، اصلاً توصیه نمیشود.
خب، برویم سراغ نصب گواهی SSL روی این وب سرور و ببینیم چطور میتوان این کار را انجام داد.
نصب گواهی SSL در IIS
قبل از اینکه گواهی SSL را نصب کنید باید بتوانید برای سایت خود یک CSR بسازید. در مقاله «آموزش تولید CSR در IIS» بهطور کامل راجعبه این موضوع صحبت کردیم. این مقاله را مطالعه کنید، کد CSR را بسازید و مراحلی که در ادامه میگوییم را انجام دهید.
روی سروری که CSR را در آن تولید کردید، فایل گواهی SSL را با پسوند .cer ذخیره کنید (مثلاً mesal_com.cer). این فایل توسط شرکتی ارائهدهنده گواهی برایتان ارسال میشود.
حالا وارد نرمافزار Internet Information Services (IIS) Manager شوید.
در ستون سمت چپ (Connections) نام سرور مدنظرتان را پیدا و روی آن کلیک کنید. سپس از ستون وسطی روی Server Certificates کلیک کنید.
اینجا شما وارد صفحۀ Server Certificates شدهاید. از ستون سمت راست روی لینک Create Certificate Request کلیک کنید.
در صفحه Specify Certificate Authority Response که برایتان باز میشود، کارهای زیر را انجام دهید و Ok را بزنید.
- در قسمت File name… فایل .cer را آدرس دهی و انتخاب کنید. (اگر فایل گواهی با پسوند دیگری ذخیره شده است، باید پسوند آن را به cer تغییر دهید. برای این کار میتوانید از یک ویرایشگر متنی مانند Notepad استفاده کنید. تنها کافیست فایل را با این نرمافزار باز کرده و با پسوند cer ذخیره کنید).
- در بخش Friendly name یک نام برای گواهینامه SSL خود انتخاب کنید. (بهتر است نامی انتخاب کنید که در صورت وجود چندین گواهی بر روی یک سرور امکان تشخیص آنها وجود داشته باشد. به عنوان مثال میتوانید نام دامنه را قرار دهید).
- در بخش سوم، Web Hosting را از منوی کشویی انتخاب کنید.
پس از اتمام این مرحله، گواهی شما در سرور اضافه شده است و در قسمت Server Certificates میتوانید گواهی نصب شده را مشاهده کنید.
حالا باید گواهی را به سایت خود متصل کنید یا به اصطلاح آن را BIND کنید.
فعال کردن SSL در وبسایت
برای Bind کردن یا به قولی برقراری ارتباط بین گواهی SSL و وبسایت، اول از همه مثل تصویر زیر وبسایت مدنظرتان را از ستون سمت چپ انتخاب کنید و بعد از ستون Actions (سمت راست) روی Bindings کلیک کنید.
در پنجره باز شده، Add را انتخاب کنید.
در ابن قسمت، اطلاعات خواسته شده را طبق توضیحاتی که میدهیم وارد کنید.
- Type: از منوی کشویی Https را انتخاب کنید.
- IP address: در این قسمت یا IP مورد نظرتان را انتخاب کنید یا اگر میخواهید به همه IP ها اساین شود گزینه All Unassigned را بزنید.
- Port: عدد 443 را در قسمت پورت وارد کنید.
- SSL certificate: اینجا SSL جدیدی را که ساخته بودید انتخاب کنید. اگر یادتان باشد SSL را با نام دامنه ذخیره کردید.
در آخر Ok را بزنید.
در صورتی که سایتهای متفاوت با آدرسIP های متفاوتی در دسترس هستند از قسمت IP address، آدرس IP مربوط به سایت خود را انتخاب کنید. اگر پس از انجام مراحل بالا مشکلی در فعالسازی گواهی وجود داشت در قسمت Host name نام سایت را نیز وارد کنید.
روش رفع خطا در فعالسازی گواهیهای SSL در IIS
در بعضی موارد، پس از فعالسازی SSL در سرورهای ویندوزی (در کنترل پنل Plesk نیز ممکن است مشکل وجود داشته باشد) گواهی بر روی دامنه مورد نظر فعال نشده و گواهی دیگری را به جای گواهی اصلی نشان میدهد.
این مشکل به این دلیل است که binding یک گواهی بر روی IP و پورت ۴۴۳ در تنظیمات IIS باقی مانده است. برای رفع این مشکل در cmd با دسترسی administrator ابتدا دستور زیر را وارد کنید:
netsh http show sslcert > C:\certificates.txt
سپس در فایل certificates.txt بررسی کنید که آیا binding برای آدرس IP و پورت ۴۴۳ وجود دارد یا خیر. به عنوان مثال به صورت: ۲۰۳.۰.۱۱۳.۲:۴۴۳
در صورتی که binding وجود دارد، برای حذف آن دستور زیر را در cmd وارد کنید:
netsh http delete sslcert ipport=203.0.113.2:443
و سپس با دستور iisreset سرویس IIS را ریست کنید.
پایان
دیدید که به راحتی و با اعمال چند دستور ساده میتوان گواهی SSL را برای سایت نصب و فعال کنید. اگر مراحل را به ترتیب دنبال کردید و به مشکلی برخوردید، حتما مشکل خود را با ما در میان بگذارید تا بتوانیم به شما کمک کنیم.
امیدوارم این مطلب برای شما مفید بوده باشد.
حالا اگر میخواهید برای سایتتان گواهی SSL بخرید، پیشنهاد میکنم به لینک زیر مراجعه کنید.
منابع کمکی: [sslshopper.com] و [digicert.com]
2 دیدگاه. دیدگاه تازه ای بنویسید
با سلام
ایا اگر گواهی رسمی خریداری کرده باشی هم از این طریق انجام میدیم یا تفاوت داره؟
سلام و درود
مراحل همینه