كيفية تثبيت شهادة SSL على IIS
لتثبيت شهادة SSL على IIS، افتح IIS Manager وانتقل إلى Server Certificates وقم بتحميل ملف .crt الخاص بك عبر خيار Complete Certificate Request. ثم انقر بزر الماوس الأيمن على موقعك الإلكتروني، واختر Edit Bindings > Add وأنشئ ربطاً HTTPS على المنفذ 443. من إنشاء CSR حتى التحقق من التثبيت، تستغرق العملية بأكملها حوالي 15 دقيقة في معظم بيئات Windows Server. يشرح هذا الدليل كل خطوة بلقطات شاشة ويغطي بشكل كامل أكثر الأخطاء شيوعاً وإعادة توجيه HTTP إلى HTTPS.
هل تريد بيع شهادات SSL لعملائك؟
مع برنامج موزعي SSL من Domain Name API يمكنك تقديم شهادات DV وOV وEV وWildcard عبر API واحدة.
ما تحتاج إلى تجهيزه قبل تثبيت SSL على IIS
قبل فتح IIS Manager، تأكد من أن كل ما يلي جاهز. إذا كان أي من هذه العناصر مفقوداً فإنك تخاطر بالتوقف في منتصف عملية التثبيت.
| المتطلب | الوصف |
|---|---|
| الوصول إلى IIS Manager | يجب أن يكون Internet Information Services Manager مثبتاً ويعمل على Windows Server. |
| صلاحيات المسؤول | تحتاج إلى صلاحيات مسؤول محلي أو مسؤول نطاق على الخادم لتثبيت الشهادات. لا تستطيع حسابات المستخدمين العاديين تثبيت الشهادات. |
| CSR (طلب توقيع الشهادة) | يُنشأ في الخطوة 2 عبر IIS Manager. يُولّد CSR أيضاً المفتاح الخاص — يجب أن يبقى كلاهما على نفس الخادم. |
| ملف شهادة SSL (.crt) | تُصدره CA (جهة إصدار الشهادات) بعد اكتمال التحقق من النطاق. |
| CA Bundle / الشهادة الوسيطة | تُوفّرها CA مع الشهادة. ضرورية لسلسلة ثقة كاملة — لا تتجاهلها. |
| المفتاح الخاص | يُولَّد تلقائياً عند إنشاء CSR في IIS. يبقى على الخادم ولا يمكن تنزيله كملف منفصل. |
⚠️ إذا أنشأت CSR على خادم آخر، فلا يمكنك استخدام طريقة Complete Certificate Request. بدلاً من ذلك، قم بتصدير ملف .pfx (الشهادة + المفتاح الخاص معاً) من الخادم الأصلي واستخدم خيار 'Import' في IIS.
الخطوة 1 — اختيار شهادة SSL المناسبة
شهادات SSL ليست حلاً واحداً يناسب الجميع. النوع الذي تحتاجه يعتمد على عدد النطاقات التي تريد تأمينها ومستوى التحقق من الهوية الذي يتوقعه مستخدموك.
| النوع | ما الذي يُتحقق منه | لمن هو مناسب | مثال |
|---|---|---|---|
| DV SSL | ملكية النطاق فقط | المدونات، المواقع الشخصية، الشركات الصغيرة | www.example.com |
| OV SSL | النطاق + هوية المؤسسة | المواقع المؤسسية، منصات SaaS | الموقع الرسمي للشركة |
| EV SSL | التحقق الموسّع من الشركة | التجارة الإلكترونية، المال — أعلى مستوى من الثقة | checkout.example.com |
| Wildcard SSL | النطاق + جميع النطاقات الفرعية من المستوى الأول | مزودو الاستضافة، الهياكل ذات النطاقات الفرعية المتعددة | *.example.com |
لمزودي الاستضافة وموزعي النطاقات، يُعدّ Wildcard SSL عادةً الخيار الأكثر عملية — شهادة واحدة تغطي جميع النطاقات الفرعية ولا حاجة لتجديد كل واحدة منها على حدة.
هل تبيع SSL لعملائك؟
يمنحك برنامج موزعي SSL من Domain Name API وصولاً إلى شهادات DV وOV وEV وWildcard بأسعار تنافسية للموزعين.
الخطوة 2 — فتح IIS Manager
على Windows Server اضغط Win + R، اكتب inetmgr واضغط Enter. أو ابحث عن "IIS" في قائمة ابدأ واختر Internet Information Services (IIS) Manager.

ℹ️ لا تجد IIS Manager؟ اتبع هذا المسار: Server Manager ← إضافة الأدوار والميزات ← Web Server (IIS). على إصدارات سطح مكتب Windows: لوحة التحكم ← البرامج ← تشغيل ميزات Windows أو إيقاف تشغيلها ← Internet Information Services.
الخطوة 3 — فتح Server Certificates
في اللوحة اليسرى لـ IIS Manager انقر على اسم الخادم. في اللوحة الوسطى ابحث عن أيقونة "Server Certificates" وانقر عليها نقراً مزدوجاً.

الخطوة 4 — إنشاء CSR وتحميل ملف الشهادة
إذا لم تكن قد أنشأت CSR بعد، أكمل هذه الخطوة قبل تحميل ملف الشهادة.
كيفية إنشاء CSR
- انقر على "Create Certificate Request…" في لوحة Actions.
- املأ حقول Distinguished Name — يجب أن يتطابق Common Name تماماً مع اسم النطاق الذي تؤمّنه.
- اضبط طول المفتاح على 2048 (الحد الأدنى) أو 4096 لتشفير أقوى.
- احفظ ملف .txt — ستحتاج إلى لصق محتواه في نموذج الطلب لدى CA.
ارجع إلى هذه الخطوة بعد أن تُصدر CA الشهادة.
تثبيت الشهادة — Complete Certificate Request
انقر على "Complete Certificate Request…" في لوحة Actions لفتح معالج التثبيت.

⚠️ هل أنشأت CSR على خادم آخر؟ لن يعمل Complete Certificate Request في هذه الحالة. قم بتصدير ملف .pfx (PKCS#12) — مع المفتاح الخاص — من الخادم الأصلي واستخدم خيار 'Import' في لوحة Actions ضمن Server Certificates.
إذا كنت تنتقل من cPanel أو Plesk أو خادم Linux إلى IIS: لا يمكنك استيراد شهادتك الحالية مباشرةً إلى IIS. قم أولاً بتحويل الشهادة إلى صيغة .pfx (PKCS#12) باستخدام أمر OpenSSL أو أداة تحويل PEM→PFX عبر الإنترنت، ثم استخدم Server Certificates → Import في IIS. أمر OpenSSL هو:
openssl pkcs12 -export -out shahaada.pfx -inkey miftah-khaas.key -in shahaada.crt -certfile cabundle.crt
الخطوة 5 — اختيار ملف الشهادة وإدخال Friendly Name
سيفتح نافذة "Specify Certificate Authority Response". أكمل الحقول الثلاثة على النحو التالي:
| الحقل | ما الذي يُدخَل |
|---|---|
| File name (.cer) | اختر ملف .crt عبر زر "…". يقبل IIS امتداد .crt وكذلك .cer. |
| Friendly name | تسمية قصيرة ستتعرف عليها — مثلاً example.com-2025. ستختار هذا الاسم في الخطوة 6. |
| Certificate store | اختر "Personal". إذا لم تظهر الشهادة بعد ذلك، جرّب "Web Hosting". |

انقر على "OK" بعد ملء جميع الحقول. الشهادة الآن محمّلة على الخادم. إنها لا تخدم حركة مرور HTTPS بعد — يحدث ذلك في الخطوة التالية.
الخطوة 6 — إنشاء ربط HTTPS على المنفذ 443
الشهادة مثبتة، لكن IIS لا يعرف بعد أي موقع ويب يجب أن يستخدمها. تحتاج إلى إنشاء ربط يربط المنفذ 443 بموقعك وشهادتك.
انقر بزر الماوس الأيمن على موقعك في اللوحة اليسرى ثم انقر على "Edit Bindings…". في نافذة Site Bindings انقر على "Add".

| الحقل | القيمة / الوصف |
|---|---|
| Type | https |
| IP Address | All Unassigned — أو عنوان IP المحدد المخصص لخادمك إذا كان ذلك مناسباً |
| Port | 443 |
| Hostname | أدخل اسم النطاق تماماً كما يظهر في الشهادة (مثلاً www.example.com) |
| SNI | ضع علامة على "Require Server Name Indication" إذا كانت مواقع متعددة تشترك في عنوان IP هذا |
| SSL Certificate | اختر Friendly Name الذي أدخلته في الخطوة 5 |

انقر على "OK" للحفظ. موقعك الآن متاح عبر HTTPS.
ما هو SNI ومتى يجب تفعيله؟
SNI (Server Name Indication) هو امتداد TLS يتيح لعنوان IP واحد تقديم شهادات SSL متعددة — شهادة واحدة لكل hostname. بدون SNI، لا يستطيع IIS تقديم سوى شهادة واحدة لكل عنوان IP بغض النظر عن hostname.
قم بتفعيل SNI في الحالات التالية: (أ) إذا كنت تستضيف مواقع HTTPS متعددة على عنوان IP خادم واحد، أو (ب) إذا كان خادمك خلف موازن حمل مشترك. IIS 7.5 والإصدارات الأقدم لا تدعم SNI — يلزم عنوان IP منفصل لكل نطاق. IIS 8 والإصدارات الأحدث تدعم SNI بشكل أصلي.
الخطوة 7 — إعادة توجيه HTTP إلى HTTPS
إضافة ربط HTTPS لا تعيد توجيه حركة مرور http:// تلقائياً. بدون إعادة التوجيه، سيواصل بعض الزوار — وروبوتات محركات البحث — الوصول إلى النسخة غير المشفرة من موقعك.
إعادة التوجيه باستخدام وحدة URL Rewrite لـ IIS (موصى به)
- قم بتنزيل وتثبيت وحدة URL Rewrite من Microsoft (مجانية، عبر Web Platform Installer أو التنزيل المباشر).
- حدد موقعك في IIS Manager وانقر نقراً مزدوجاً على "URL Rewrite".
- اختر "Add Rule(s)" ← "Blank Rule". سمّ القاعدة "HTTP to HTTPS".
- Match URL: Pattern = .*
- أضف شرطاً: {HTTPS} يطابق النمط "^OFF$".
- الإجراء: إعادة التوجيه إلى https://{HTTP_HOST}/{R:0}، نوع إعادة التوجيه: دائم (301).
لماذا هذا مهم لتحسين محركات البحث وثقة المستخدمين: تستخدم Google HTTPS كإشارة تصنيف منذ عام 2014. وعلى وجه التحديد، يُعلّم كل من Chrome وEdge كل صفحة HTTP بعلامة 'غير آمن' — مما يُضعف ثقة المستخدمين ويرفع معدل الارتداد؛ وكلاهما عامل سلبي غير مباشر لتحسين محركات البحث. كما تنقل إعادة التوجيه 301 قيمة الروابط من عناوين URL الخاصة بـ HTTP إلى نسخة HTTPS.
الخطوة 8 — التحقق من تثبيت SSL
لا تفترض أن كل شيء يعمل — تحقق من ذلك. قم بإجراء هذه الفحوصات الثلاثة قبل اعتبار التثبيت مكتملاً:
- أيقونة القفل في المتصفح: افتح https://www.example.com في Chrome أو Edge. أيقونة القفل في شريط العنوان تؤكد أن HTTPS نشط.
- SSL Checker: استخدم أداة فحص SSL عبر الإنترنت للتحقق من سلسلة الشهادات وتاريخ انتهاء الصلاحية والجهة المصدِرة.
- اختبار SSL Labs: انتقل إلى ssllabs.com/ssltest وأدخل اسم نطاقك. استهدف تقييم A أو A+ — التقييم الأدنى عادةً يشير إلى مشكلة في التكوين تحتاج إلى إصلاح.
✅ لا توجد أيقونة قفل؟ السبب الأكثر شيوعاً هو سلسلة شهادات غير مكتملة — الشهادة الوسيطة (CA Bundle) غير مثبتة. قم بتثبيتها في مخزن شهادات IIS عبر certlm.msc باستخدام MMC، ثم أعد تشغيل IIS.
