كيفية تثبيت شهادة SSL على IIS

لتثبيت شهادة SSL على IIS، افتح IIS Manager وانتقل إلى Server Certificates وقم بتحميل ملف .crt الخاص بك عبر خيار Complete Certificate Request. ثم انقر بزر الماوس الأيمن على موقعك الإلكتروني، واختر Edit Bindings > Add وأنشئ ربطاً HTTPS على المنفذ 443. من إنشاء CSR حتى التحقق من التثبيت، تستغرق العملية بأكملها حوالي 15 دقيقة في معظم بيئات Windows Server. يشرح هذا الدليل كل خطوة بلقطات شاشة ويغطي بشكل كامل أكثر الأخطاء شيوعاً وإعادة توجيه HTTP إلى HTTPS.

هل تريد بيع شهادات SSL لعملائك؟

مع برنامج موزعي SSL من Domain Name API يمكنك تقديم شهادات DV وOV وEV وWildcard عبر API واحدة.

اطّلع على حلول موزعي SSL ←

ما تحتاج إلى تجهيزه قبل تثبيت SSL على IIS

قبل فتح IIS Manager، تأكد من أن كل ما يلي جاهز. إذا كان أي من هذه العناصر مفقوداً فإنك تخاطر بالتوقف في منتصف عملية التثبيت.

المتطلب الوصف
الوصول إلى IIS Manager يجب أن يكون Internet Information Services Manager مثبتاً ويعمل على Windows Server.
صلاحيات المسؤول تحتاج إلى صلاحيات مسؤول محلي أو مسؤول نطاق على الخادم لتثبيت الشهادات. لا تستطيع حسابات المستخدمين العاديين تثبيت الشهادات.
CSR (طلب توقيع الشهادة) يُنشأ في الخطوة 2 عبر IIS Manager. يُولّد CSR أيضاً المفتاح الخاص — يجب أن يبقى كلاهما على نفس الخادم.
ملف شهادة SSL ‏(.crt) تُصدره CA (جهة إصدار الشهادات) بعد اكتمال التحقق من النطاق.
CA Bundle / الشهادة الوسيطة تُوفّرها CA مع الشهادة. ضرورية لسلسلة ثقة كاملة — لا تتجاهلها.
المفتاح الخاص يُولَّد تلقائياً عند إنشاء CSR في IIS. يبقى على الخادم ولا يمكن تنزيله كملف منفصل.

⚠️ إذا أنشأت CSR على خادم آخر، فلا يمكنك استخدام طريقة Complete Certificate Request. بدلاً من ذلك، قم بتصدير ملف .pfx (الشهادة + المفتاح الخاص معاً) من الخادم الأصلي واستخدم خيار 'Import' في IIS.

الخطوة 1 — اختيار شهادة SSL المناسبة

شهادات SSL ليست حلاً واحداً يناسب الجميع. النوع الذي تحتاجه يعتمد على عدد النطاقات التي تريد تأمينها ومستوى التحقق من الهوية الذي يتوقعه مستخدموك.

النوع ما الذي يُتحقق منه لمن هو مناسب مثال
DV SSL ملكية النطاق فقط المدونات، المواقع الشخصية، الشركات الصغيرة www.example.com
OV SSL النطاق + هوية المؤسسة المواقع المؤسسية، منصات SaaS الموقع الرسمي للشركة
EV SSL التحقق الموسّع من الشركة التجارة الإلكترونية، المال — أعلى مستوى من الثقة checkout.example.com
Wildcard SSL النطاق + جميع النطاقات الفرعية من المستوى الأول مزودو الاستضافة، الهياكل ذات النطاقات الفرعية المتعددة *.example.com

لمزودي الاستضافة وموزعي النطاقات، يُعدّ Wildcard SSL عادةً الخيار الأكثر عملية — شهادة واحدة تغطي جميع النطاقات الفرعية ولا حاجة لتجديد كل واحدة منها على حدة.

هل تبيع SSL لعملائك؟

يمنحك برنامج موزعي SSL من Domain Name API وصولاً إلى شهادات DV وOV وEV وWildcard بأسعار تنافسية للموزعين.

اطّلع على أسعار موزعي SSL ←

الخطوة 2 — فتح IIS Manager

على Windows Server اضغط Win + R، اكتب inetmgr واضغط Enter. أو ابحث عن "IIS" في قائمة ابدأ واختر Internet Information Services (IIS) Manager.

كيفية تثبيت شهادة SSL على IIS

ℹ️ لا تجد IIS Manager؟ اتبع هذا المسار: Server Manager ← إضافة الأدوار والميزات ← Web Server (IIS). على إصدارات سطح مكتب Windows: لوحة التحكم ← البرامج ← تشغيل ميزات Windows أو إيقاف تشغيلها ← Internet Information Services.

الخطوة 3 — فتح Server Certificates

في اللوحة اليسرى لـ IIS Manager انقر على اسم الخادم. في اللوحة الوسطى ابحث عن أيقونة "Server Certificates" وانقر عليها نقراً مزدوجاً.

كيفية تثبيت شهادة SSL على IIS

الخطوة 4 — إنشاء CSR وتحميل ملف الشهادة

إذا لم تكن قد أنشأت CSR بعد، أكمل هذه الخطوة قبل تحميل ملف الشهادة.

كيفية إنشاء CSR

  1. انقر على "Create Certificate Request…" في لوحة Actions.
  2. املأ حقول Distinguished Name — يجب أن يتطابق Common Name تماماً مع اسم النطاق الذي تؤمّنه.
  3. اضبط طول المفتاح على 2048 (الحد الأدنى) أو 4096 لتشفير أقوى.
  4. احفظ ملف .txt — ستحتاج إلى لصق محتواه في نموذج الطلب لدى CA.

ارجع إلى هذه الخطوة بعد أن تُصدر CA الشهادة.

تثبيت الشهادة — Complete Certificate Request

انقر على "Complete Certificate Request…" في لوحة Actions لفتح معالج التثبيت.

كيفية تثبيت شهادة SSL على IIS

⚠️ هل أنشأت CSR على خادم آخر؟ لن يعمل Complete Certificate Request في هذه الحالة. قم بتصدير ملف .pfx (PKCS#12) — مع المفتاح الخاص — من الخادم الأصلي واستخدم خيار 'Import' في لوحة Actions ضمن Server Certificates.

إذا كنت تنتقل من cPanel أو Plesk أو خادم Linux إلى IIS: لا يمكنك استيراد شهادتك الحالية مباشرةً إلى IIS. قم أولاً بتحويل الشهادة إلى صيغة .pfx (PKCS#12) باستخدام أمر OpenSSL أو أداة تحويل PEM→PFX عبر الإنترنت، ثم استخدم Server Certificates → Import في IIS. أمر OpenSSL هو:

openssl pkcs12 -export -out shahaada.pfx -inkey miftah-khaas.key -in shahaada.crt -certfile cabundle.crt

الخطوة 5 — اختيار ملف الشهادة وإدخال Friendly Name

سيفتح نافذة "Specify Certificate Authority Response". أكمل الحقول الثلاثة على النحو التالي:

الحقل ما الذي يُدخَل
File name (.cer) اختر ملف .crt عبر زر "…". يقبل IIS امتداد .crt وكذلك .cer.
Friendly name تسمية قصيرة ستتعرف عليها — مثلاً example.com-2025. ستختار هذا الاسم في الخطوة 6.
Certificate store اختر "Personal". إذا لم تظهر الشهادة بعد ذلك، جرّب "Web Hosting".

كيفية تثبيت شهادة SSL على IIS

انقر على "OK" بعد ملء جميع الحقول. الشهادة الآن محمّلة على الخادم. إنها لا تخدم حركة مرور HTTPS بعد — يحدث ذلك في الخطوة التالية.

الخطوة 6 — إنشاء ربط HTTPS على المنفذ 443

الشهادة مثبتة، لكن IIS لا يعرف بعد أي موقع ويب يجب أن يستخدمها. تحتاج إلى إنشاء ربط يربط المنفذ 443 بموقعك وشهادتك.

انقر بزر الماوس الأيمن على موقعك في اللوحة اليسرى ثم انقر على "Edit Bindings…". في نافذة Site Bindings انقر على "Add".

كيفية تثبيت شهادة SSL على IIS

الحقل القيمة / الوصف
Type https
IP Address All Unassigned — أو عنوان IP المحدد المخصص لخادمك إذا كان ذلك مناسباً
Port 443
Hostname أدخل اسم النطاق تماماً كما يظهر في الشهادة (مثلاً www.example.com)
SNI ضع علامة على "Require Server Name Indication" إذا كانت مواقع متعددة تشترك في عنوان IP هذا
SSL Certificate اختر Friendly Name الذي أدخلته في الخطوة 5

كيفية تثبيت شهادة SSL على IIS

انقر على "OK" للحفظ. موقعك الآن متاح عبر HTTPS.

ما هو SNI ومتى يجب تفعيله؟

SNI (Server Name Indication) هو امتداد TLS يتيح لعنوان IP واحد تقديم شهادات SSL متعددة — شهادة واحدة لكل hostname. بدون SNI، لا يستطيع IIS تقديم سوى شهادة واحدة لكل عنوان IP بغض النظر عن hostname.

قم بتفعيل SNI في الحالات التالية: (أ) إذا كنت تستضيف مواقع HTTPS متعددة على عنوان IP خادم واحد، أو (ب) إذا كان خادمك خلف موازن حمل مشترك. IIS 7.5 والإصدارات الأقدم لا تدعم SNI — يلزم عنوان IP منفصل لكل نطاق. IIS 8 والإصدارات الأحدث تدعم SNI بشكل أصلي.

الخطوة 7 — إعادة توجيه HTTP إلى HTTPS

إضافة ربط HTTPS لا تعيد توجيه حركة مرور http:// تلقائياً. بدون إعادة التوجيه، سيواصل بعض الزوار — وروبوتات محركات البحث — الوصول إلى النسخة غير المشفرة من موقعك.

إعادة التوجيه باستخدام وحدة URL Rewrite لـ IIS (موصى به)

  1. قم بتنزيل وتثبيت وحدة URL Rewrite من Microsoft (مجانية، عبر Web Platform Installer أو التنزيل المباشر).
  2. حدد موقعك في IIS Manager وانقر نقراً مزدوجاً على "URL Rewrite".
  3. اختر "Add Rule(s)" ← "Blank Rule". سمّ القاعدة "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. أضف شرطاً: {HTTPS} يطابق النمط "^OFF$".
  6. الإجراء: إعادة التوجيه إلى https://{HTTP_HOST}/{R:0}، نوع إعادة التوجيه: دائم (301).

لماذا هذا مهم لتحسين محركات البحث وثقة المستخدمين: تستخدم Google HTTPS كإشارة تصنيف منذ عام 2014. وعلى وجه التحديد، يُعلّم كل من Chrome وEdge كل صفحة HTTP بعلامة 'غير آمن' — مما يُضعف ثقة المستخدمين ويرفع معدل الارتداد؛ وكلاهما عامل سلبي غير مباشر لتحسين محركات البحث. كما تنقل إعادة التوجيه 301 قيمة الروابط من عناوين URL الخاصة بـ HTTP إلى نسخة HTTPS.

الخطوة 8 — التحقق من تثبيت SSL

لا تفترض أن كل شيء يعمل — تحقق من ذلك. قم بإجراء هذه الفحوصات الثلاثة قبل اعتبار التثبيت مكتملاً:

  • أيقونة القفل في المتصفح: افتح https://www.example.com في Chrome أو Edge. أيقونة القفل في شريط العنوان تؤكد أن HTTPS نشط.
  • SSL Checker: استخدم أداة فحص SSL عبر الإنترنت للتحقق من سلسلة الشهادات وتاريخ انتهاء الصلاحية والجهة المصدِرة.
  • اختبار SSL Labs: انتقل إلى ssllabs.com/ssltest وأدخل اسم نطاقك. استهدف تقييم A أو A+ — التقييم الأدنى عادةً يشير إلى مشكلة في التكوين تحتاج إلى إصلاح.

✅ لا توجد أيقونة قفل؟ السبب الأكثر شيوعاً هو سلسلة شهادات غير مكتملة — الشهادة الوسيطة (CA Bundle) غير مثبتة. قم بتثبيتها في مخزن شهادات IIS عبر certlm.msc باستخدام MMC، ثم أعد تشغيل IIS.