نحوه انتقال گواهینامه SSL از IIS8 به IIS8

ویندوز سرورها از فایلهای pfx/p12 که حاوی فایل کلید عمومی Public Key (گواهی SSL) و همچنین فایل کلید خصوصی یا همان Private Key میباشد٫ استفاده میکنند. صادرکننده گواهینامه به شما گواهی SSL (فایل Public Key) را ارایه میکند. شما بایستی از سرور خودتان برای تولید فایل Private key مربوط به گواهی در همان جایی که CSR را تولید کرده اید استفاده کنید.

برای اینکه گواهی SSL شما به درستی بر روی هر سیستمی کار کند و نصب شود٬ نیاز است که هر دو فایل Public Key و Private Key را در اختیار داشته باشید. ویندوز از فایل با پسوند pfx/p12 که شامل هر دو کلید مربوطه است استفاده میکند٬ بنابراین در صورتی که نیاز داشته باشید گواهی SSL خودتان را از یک سرور به سرور دیگری انتقال دهید و یا آن را در جایی ایمن برای استفاده های آینده ذخیره کنید٬ بایستی یک فایل pfx پشتیبان ایجاد نمایید.

برای پشتیبانگیری٬ و یا انتقال گواهی SSL از IIS 8 ویندوز به یک IIS 8 دیگر٬ مراحل زیر را انجام دهید:

مرحله 1: استفاده از MMC برای مدیریت گواهینامه های موجود بر روی سیستم IIS 8:

  1. Start > run > MMC

  2. بر روی منوی File کلیک کنید و گزینه Add/Remove Snap-in را انتخاب نمایید

  3. بر روی Add کلیک کنید٬ سپس گزینه Certificates را انتخاب نمایید و سپس Add را کلیک کنید

  4. گزینه Computer Account را انتخاب نمایید و سپس Next را کلیک کنید

  5. گزینه Local Computer را انتخاب کنید و سپس Finish را کلیک نمایید.

  6. پنجره Add Standalone Snap-in را ببندید
  7. بر روی دکمه Ok در پنجره Add/Remove Snap-in کلیک کنید.

مرحله 2: پشتیبانگیری/ذخیره گواهینامه در فایل pfx:

  1. در پنجره MMC بر روی Certificates (Local Computer) در صفحه وسط کلیک کنید.
  2. بر روی Personal Folder دوبار کلیک کنید و سپس به قسمت Certificates بروید.
  3. بر روی گواهینامه ای که میخواهید پشتیبان بگیرید کلیک راست نمایید و سپس از منوی ALL TASKS گزینه Export را انتخاب کنید.
  4. مراحل مربوط به Certificate Export Wizard را طی نمایید تا فایل pfx گواهینامه شما تولید شود.

  5. گزینه Yes, export the private key را انتخاب کنید.

  6. گزینه Include all certificates in certificate path if possible را انتخاب کنید (به هیچ وجه گزینه حذف Private key را انتخاب نکنید)

  7. یک رمز که بعدا بتوانید به یاد بیاورید وارد کنید.
  8. مسیر ذخیره سازی فایل pfx را انتخاب کنید.
  9. کلید Finish را کلیک کنید.

  10. پیامی با عنوان The export was successful دریافت خواهید نمود. بر روی OK کلیک کنید. فایل pfx گواهینامه شما در مسیری که تعیین نموده اید ذخیره شده است و برای انتقال به یک سرور دیگر آماده است.

مرحله 3: اجرای MMC برای مدیریت گواهینامه ها در سرور مقصد

  1. Start > run > MMC

  2. بر روی منوی File کلیک کنید و گزینه Add/Remove Snap-in را انتخاب نمایید

  3. بر روی Add کلیک کنید٬ سپس گزینه Certificates را انتخاب نمایید و سپس Add را کلیک کنید

  4. گزینه Computer Account را انتخاب نمایید و سپس Next را کلیک کنید

  5. گزینه Local Computer را انتخاب کنید و سپس Finish را کلیک نمایید.

  6. پنجره Add Standalone Snap-in را ببندید
  7. بر روی دکمه Ok در پنجره Add/Remove Snap-in کلیک کنید.

مرحله 4: نصب فایل pfx بر روی IIS 8

  1. در صفحه MMC از قسمت سمت چپ گزینه Certificates را انتخاب نمایید
  2. در قسمت سمت راست بر روی گزینه Personal کلیک کنید
  3. در سمت راست صفحه بر روی Certificates کلیک راست نمایید و سپس از منوی All Tasks گزینه Import را انتخاب نمایید.
  4. فایل pfx مربوط به گواهینامه مورد نظر خود را انتخاب نمایید و سپس دکمه Next را کلیک کنید.
  5. رمزی که در مراحل قبل برای فایل خود انتخاب نموده بودید را وارد کنید و سپس کلید Ok را کلیک نمایید.
  6. برای اینکه بتوانید بعدا مجددا این گواهینامه را از روی سرور فعلی انتقال دهید گزینه Mark the key as exportable را کلیک نمایید.
  7. گزینه Automatically select the certificate store based on the type of certificate را انتخاب کنید. این کار باعث میشود که همه گواهینامه های مربوطه (Root و Intermediate و Server) در سرور جدید و در محل مشخص و مناسب قرار گیرد. در صورتی که گواهینامه ها در محل صحیح قرار نگیرند ممکن است در آینده استفاده از گواهینامه با مشکل مواجه شود.
  8. بر روی دکمه Finish کلیک کنید. یک پیام تایید ذخیره سازی گواهینامه به شما نشان داده خواهد شد. کلید Ok را انتخاب کنید. الان شما بایستی بتوانید گواهینامه خودتان را در قسمت Personal Certificates در MMC مشاهده نمایید.

مرحله 5: اختصاص گواهینامه SSL به وب سایت:

  1. ابتدا IIS Manager را اجرا کنید. سپس از سمت چپ صفحه سایت مورد نظر خود را انتخاب نمایید.

  2. از قسمت Actions در سمت راست صفحه گزینه Bindings را کلیک نمایید.
  3. در صفحه Site Bindings اگر هیچ رکوردی از نوع https وجود ندارد گزینه Add را کلیک نمایید و در صفحه بعدی Type را به https تغییر دهید.

    توجه: اگر از قبل رکوردی با نوع https وجود دارد٬ آن را انتخاب و گزینه Edit را کلیک کنید.

  4. از لیست SSL certificate گواهینامه ای که مرتبط با این سایت است را انتخاب نمایید.

  5. بر روی دکمه Ok کلیک کنید.

گواهی SSL شما الان نصب شده٬ و وب سایت شما در حال استفاده از آن است.

نکات اضافه:

در صورتی که در هنگام نصب گواهی٬ آی پی آدرس را مشخص نکنید٬ از آدرس پیش فرض مربوط به همه سایتهایی که در این سرور ساخته شده استفاده خواهد شد.

در صورتی که چند سایت بر روی یک سرور دارید٬ شما میتوانید مشخص کنید که سایت مورد نظر شما از یک آی پی مشخص و منحصر به فرد خودش استفاده نماید.

در صورتی که نمیتوانید با توجه به این راهنما گواهینامه خود را نصب کنید٬ بهتر است با مسئول شبکه و یا شرکتی که خدمات هاستینگ شما را ارایه میدهد تماس بگیرید.

نصب گواهینامه SSL در IIS 10

وقتی که گواهینامه صادر شده خودتان را از طریق ایمیل و یا پنل کاربری خودتان دریافت نمودید٬ فایلی که در اختیار دارید yourdomain_com.cer یا yourdomain_com.p7b خواهد بود و از طریق مراحل زیر میتوانید آن را بر روی سرور خود نصب نمایید:

  1. با وارد نمودن دستور inetmgr در قسمت search نزدیک دکمه استارت Internet Information Services (IIS) Manager را اجرا کنید٬ همچنین اینکار را میتوانید از طریق فشردن Win+R نیز انجام دهید.
  2. بر روی آیکن Server Certificates در صفحه اصلی IIS Manager دوبار کلیک کنید.

  3. ماوس را به قسمت Actions در سمت راست صفحه ببرید و گزینه Complete Certificate Request را کلیک کنید.

  4. در صفحه بعدی – Specifiy Certificate Authority Response – سه فیلد وجود دارد:
    • File name containing the certification authority’s response – با استفاده از دکمه کنار این فیلد فایل گواهینامه خودتان را انتخاب نمایید.
    • Friendly name – این فیلد به مدیر سرور کمک میکند که یک گواهینامه مشخص را راحت تر پیدا کند. برای مثال٬ میتوانید در این فیلد نام دامینی که گواهینامه برای آن صادر شده است را بنویسید.
    • Select a certificate store fr the new certificate – مقدار پیش فرض Personal را برای این گزینه انتخاب کنید و نیاز به تغییر آن نیست.

  5. وقتی که همه فیلدها کامل شد٬ بر روی دکمه OK کلیک کنید تا گواهینامه در سرور ذخیره شود.
  6. در صورتی که نصب موفقیت آمیز باشد٬ یک ردیف جدید در صفحه Server Certificates نشان داده خواهد شد.

  7. گواهینامه نصب شده بایستی به یک وبسایت از طریق الحاق به یک پورت ایمن٬ اضافه گردد. برای انجام اینکار٬ قسمت Sites را در پنل Connections که در سمت چپ صفحه قرار دارد باز کنید و سایت مورد نظر خود را انتخاب کنید. سپس ماوس را به قسمت Actions در سمت راست صفحه ببرید و گزینه Bindings… را انتخاب کنید.

  8. بر روی دکمه Add… در سمت راست صفحه Site Bindings کلیک کنید.

  9. چندین فیلد در صفحه ای که نشان داده میشود٬ قرار دارد که بایستی تنظیم شود:
    • Type – گزینه https را از لیست برای این فیلد انتخاب کنید.
    • IP address – می توانید یک آی پی مشخص را انتخاب کنید و یا اینکه گزینه All Unassigend را انتخاب نمایید.
    • Port – یک شماره پورت برای ارتباط ایمن سایت خود انتخاب کنید. پورت پیش فرض 443 است.
    • SSL certificate – گواهینامه مربوط به این سایت را از طریق لیست مربوطه انتخاب نمایید.

  10. بر روی OK کلیک کنید تا گواهینامه به سایت اضافه شود. با اینکار بایستی یک ردیف جدید در صفحه Site Bindings نشان داده شود.

  11. الان شما میتوانید از طریق HTTPS به سایت خود دسترسی پیدا کنید.

برای اینکه ببینید آیا گواهینامه شما به درستی نصب شده است میتوانید از این لینک کمک بگیرید.

نصب یک گواهینامه SSL در IIS 8

نصب گواهینامه SSL بر روی سرور ویندوزی با استفاده از IIS Manager معمولا در ادامه فرآیند تولید CSR که از طریق گزینه Create Certificate Request… انجام شده٬ قرار میگیرد. بنابراین برای نصب گواهینامه SSL صادر شده از طریق شرکتهای صادرکننده٬ بایستی مراحل زیر را انجام دهید:

  • با فشردن کلید Win+R و سپس تایپ inetmgr و فشردن کلید Enter٬ برنامه Internet Information Services (IIS) را اجرا نمایید
  • بر روی گزینه Server Certificates در صفحه Home کلیک کنید

  • نشانگر ماوس را بر روی بخش Actions در سمت راست صفحه ببرید و گزینه Complete Certificate Request… را کلیک کنید.

  • در صفحه ای که با عنوان Specify Certificate Authority Response نشان داده میشود سه فیلد برای تغییرات وجود دارد:
    • File Name شامل نام فایل گواهینامه SSL صادر شده است – در سیستم خود جستجو کنید و فایلی که از شرکت صادرکننده دریافت کرده اید را انتخاب کنید٬ نام فایل بایستی چیزی شبیه به yourdomainname_com.cer باشد.
    • Friendly Name – این فیلد به مدیر سرور کمک میکند که به راحتی گواهینامه ای که به دنبالش هست را پیدا کند. به عنوان مثال شما میتوانید در این قسمت نام دامنه مربوط به گواهینامه را وارد کنید.
    • Select a certificate store for the new certificate – در این بخش گزینه Personal را از لیست انتخاب کنید

  • وقتی که همه فیلدها تنظیم شد٬ دکمه OK را کلیک نمایید.
  • گواهینامه بر روی سرور آپلود خواهد شد و بایستی در صفحه اصلی نشان داده شود.

  • مرحله بعدی ایجاد یک binding است که دسترسی HTTPS به وب سایت را ممکن میسازد.
  • ماوس را بر روی پنل Connections در سمت چپ صفحه ببرید و وب سایت مورد نظر خود را از فولدر Sites انتخاب کنید.

  • به بخش Actions در سمت راست صفحه بروید و گزینه Bindings را کلیک کنید.

  • بر روی دکمه Add… در صفحه Site Bindings کلیک کنید.

  • موارد زیر را در پنجره Add Site Binding تنظیم نمایید:
    • Type – گزینه https را از لیست انتخاب کنید
    • IP Address – آدرس آی پی سایت را انتخاب کنید و یا گزینه All Unassigned را انتخاب نمایید.
    • Port – در این قسمت پورتی که برای برقراری ارتباط https مورد نیاز است را وارد نمایید. مقدار پیش فرض 443 میباشد.
    • SSL certificate – از این لیست بایستی گواهینامه ای که در مراحل قبلی در سرور آپلود نموده اید را انتخاب کنید.

    توجه: به شدت توصیه میشود که تیک گزینه Require Sever Name Indication را بزنید تا به درست نشان دادن گواهینامه کمک کند٬ مخصوصا اگر چندین سایت بر روی سرور خود دارید.

  • وقتی که همه فیلدها تنظیم شد دکمه OK را کلیک کنید
  • در نتیجه انجام این مراحل بایستی رکورد جدیدی در صفحه Site Bindings نشان داده شود.

الان شما میتوانید از طریق HTTPS به سایت خود دسترسی داشته باشید.

تولید کد CSR در IIS 8

برای ایجاد یک کد CSR در IIS Manager شما بایستی چند مرحله ساده را انجام دهید:

  1. با استفاده از فشردن کلید Win+R و سپس تایپ inetmgr و زدن کلید Enter برنامه Internet Information Services (IIS) را اجرا کنید.
  2. بر روی گزینه Server Certificates در صفحه Home دوبار کلیک کنید.
  3. نشانگر ماوس را به قسمت Actions در سمت راست صفحه ببرید و سپس بر روی گزینه Create Certificate Request کلیک نمایید.
  4. در صفحه ای که با عنوان Distinguished Name Properties نشان داده میشود فیلدهایی وجود دارد که بایستی با اطلاعات معتبر برای تولید CSR پر شود.
  5. بگذارید در مورد هریک از این فیلدها توضیحاتی بدهیم:
    • Common name – یک فیلد برای نام کامل دامنه مورد نظر شما (مثلا domain.com یا sub.domain.com)٫ که این نام دامنه برای صدور گواهینامه SSL استفاده میگردد.
    • Organization – نام شرکت بایستی در این فیلد مشخص شود. در صورتی که دامنه متعلق به شرکت نباشد٬ در این فیلد عبارت NA را وارد کنید.
    • Organization Unit – در صورتی که نام شرکت را وارد نموده اید در این قسمت نام بخشی از شرکت که مرتبط با صدور گواهینامه است مثلا IT را وارد نمایید. در صورتی که نام شرکت وارد ننموده اید در این قسمت هم میتوان NA را وارد نمود.
    • City/Locality – نام کامل شهر در این قسمت باید وارد شود
    • State/Province – در این فیلد بایستی نام استان وارد شود. اگر نام استان قابل وارد کردن نیست میتوانید نام شهر را مجددا در این فیلد وارد نمایید.
    • Country/Region – کد دو حرفی کشور را در این قسمت از لیست انتخاب نمایید

    توجه! برای گواهینامه های OV و EV بایستی اطلاعاتی که در این بخش وارد مینمایید با مدارک هویتی ترجمه شده به انگلیسی شرکت شما مطابقت داشته باشد و همین اطلاعات در هنگام صدور در گواهینامه SSL شما گنجانده خواهد شد.

    توجه! همه فیلدها بایستی با حروف و اعداد انگلیسی پر شود و استفاده از کاراکترهای ویژه نیز مقدور نمی باشد.

  6. پس از پر نمودن همه فیلدها روی دکمه Next کلیک کنید.
  7. در صفحه بعدی که با عنوان Cryptographic Service Provider Properties نشان داده میشود دو پارامتر برای تنظیم وجود دارد:
    • Cryptographic Service Provider – این فیلد بایستی Microsoft RSA SChannel Cryptographic Provider انتخاب شده باشد
    • Bit Length – این قسمت به شما اجازه میدهد تا طول کلید خود را برای CSR تولیدی انتخاب نمایید. به دلیل محدودیتهای امنیتی تنها میتوانید از 2048 و یا مقادیر بالاتر استفاده نمایید.

  8. پس از تنظیم همه پارامترها کلید Next را کلیک نمایید.
  9. در پنجره File Name نیاز است که نام یک فایل که کد CSR تولید شده بایستی در آن ذخیره شود را انتخاب نمایید.شما میتوانید مسیر ذخیره سازی را تایپ کنید و یا از دکمه …. استفاده نمایید.

    توجه! در صورتی که مسیر را به صورت دستی تایپ نمودید مطمئن شوید که دایرکتوری تایپ شده وجود داشته باشد. در صورتی که مسیر وارد شده وجود نداشته باشد پیغام خطایی به شما نشان داده میشود.

  10. وقتی که مسیر ذخیره سازی و نام فایل مشخص گردید٬ دکمه Finish را کلیک کنید.
  11. الان کد CSR شما تولید شده است و میتوانید آن را در مسیری که وارد نموده اید بیابید و از این کد برای فعالسازی گواهینامه SSL خود استفاده نمایید.

گواهینامه صادر شده خود را میتوانید از طریق این راهنما نصب نمایید.