איך יוצרים קוד CSR באמצעות IIS?

כדי להפעיל את תעודת ה-SSL שלכם, תחילה יש ליצור קוד CSR ‏(Certificate Signing Request — בקשה לחתימת תעודה) בשרת שבו האתר שלכם מאוחסן. CSR הוא בלוק טקסט מוצפן הכולל את שם הדומיין, פרטי הארגון והמפתח הציבורי של השרת. ספק התעודה משתמש במידע זה כדי להנפיק תעודת SSL ייעודית לדומיין שלכם. מדריך זה מסביר שלב אחר שלב כיצד ליצור CSR באמצעות IIS ‏(Internet Information Services) ב-Windows Server. השלבים דומים כמעט בכל גרסאות IIS.

איך יוצרים קוד CSR באמצעות IIS?

⚠️ חשוב: יש ליצור את קוד ה-CSR תמיד באותו שרת שבו האתר מאוחסן. CSR שנוצר בשרת אחר עלול לגרום לשגיאת אי-התאמה של המפתח הפרטי בעת התקנת התעודה.

יצירת CSR ב-IIS: שלבים מהירים

  1. פתחו את IIS Manager
    הקלידו “IIS” או “inetmgr” בתפריט Start או בשורת החיפוש ופתחו את Internet Information Services (IIS) Manager.
  2. עברו אל Server Certificates
    לחצו על שם השרת בצד שמאל ולאחר מכן לחצו פעמיים על “Server Certificates”.
  3. לחצו על Create Certificate Request
    בחלונית Actions בצד ימין לחצו על “Create Certificate Request...”.
  4. הזינו את פרטי Distinguished Name
    הכניסו דומיין, שם חברה, עיר, מחוז/אזור ומדינה. אין להשתמש בתווים מיוחדים.
  5. הגדירו את ספק ההצפנה
    השאירו את ה-Provider כברירת מחדל, הגדירו Bit length ל-2048 ומעלה ולחצו על Next.
  6. בחרו מיקום שמירה
    לחצו על “...”, בחרו למשל Desktop ולחצו על Finish.
  7. פתחו את קוד ה-CSR
    פתחו את קובץ ה-.txt שנשמר באמצעות Notepad.
  8. בדקו את קוד ה-CSR
    הדביקו את הקוד בכלי CSR decoder ובדקו שהפרטים נכונים.

שלב 1 — פתחו את IIS Manager

לחצו על כפתור Windows Start או פתחו את שורת החיפוש. הקלידו “IIS” או “inetmgr”. מתוך התוצאות בחרו Internet Information Services (IIS) Manager.

שלב 2 — פתחו את Server Certificates

בחלונית השמאלית של IIS Manager לחצו על שם השרת שלכם. בחלונית המרכזית לחצו פעמיים על האייקון “Server Certificates”.

שלב 3 — בחרו Create Certificate Request

בצד ימין של המסך, בחלונית Actions, לחצו על “Create Certificate Request...”. אשף יצירת ה-CSR ייפתח.

שלב 4 — הזינו את פרטי Distinguished Name

ייפתח החלון “Distinguished Name Properties”. מלאו כל שדה בזהירות:

שדה דוגמה הסבר
Common Name (CN) example.com שם הדומיין המלא — עבור Wildcard השתמשו ב-*.example.com
Organization (O) Example Ltd. השם המשפטי הרשמי של החברה
Org. Unit (OU) IT שם המחלקה: IT, Web, Marketing וכדומה
City / Locality (L) Tel Aviv שם העיר המלא, ללא קיצורים
State / Province (S) Tel Aviv שם המחוז או האזור המלא
Country (C) IL קוד מדינה דו-אותי לפי ISO

⚠️ אין להזין תווים מיוחדים, פסיקים, גרשיים או סימני ניקוד/הטעמה בשדות. תווים כאלה עלולים לגרום לדחיית ה-CSR על ידי ספק התעודה.

לאחר מילוי כל השדות לחצו על “Next”.

שלב 5 — הגדרת Cryptographic Provider ו-Bit Length

השאירו את השדה Cryptographic service provider בערך ברירת המחדל: Microsoft RSA SChannel Cryptographic Provider. אל תשנו שדה זה.

השדה Bit length עשוי להופיע כברירת מחדל כ-1024. שנו אותו ל-2048 או יותר — זהו אורך המפתח המינימלי המקובל כיום אצל רשויות תעודה מודרניות. לאחר מכן לחצו על “Next”.

שלב 6 — בחרו מיקום שמירה

כדי לבחור היכן לשמור את קובץ ה-CSR, לחצו על כפתור “...”. לגישה נוחה מומלץ לבחור Desktop. לאחר בחירת המיקום לחצו על “Finish”.

שלב 7 — פתחו את קוד ה-CSR

עברו למיקום השמירה שבחרתם ופתחו את קובץ ה-.txt באמצעות Notepad. קוד ה-CSR שלכם ייראה כך:

-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----

ℹ️ בעת העתקת הקוד, כללו גם את השורות -----BEGIN CERTIFICATE REQUEST----- ו------END CERTIFICATE REQUEST-----. CSR שהועתק באופן חלקי יגרום לשגיאה בעת ההפעלה.

שלב 8 — בדקו את קוד ה-CSR

לפני שליחת קוד ה-CSR להפעלת SSL, בדקו שהוא תקין. הדביקו את הקוד המלא בכלי CSR decoder וודאו שהפרטים שהזנתם מוצגים בצורה נכונה. אם אחד השדות שגוי, ניתן ליצור CSR חדש באותו שרת; התהליך זהה.

✅ קוד ה-CSR שלכם מוכן. העתיקו את הקוד המלא, כולל שורות המקפים, ושלחו אותו בעת הפעלת תעודת ה-SSL.

טעויות נפוצות

איך יוצרים קוד CSR באמצעות IIS?

טעות תוצאה פתרון
שימוש בתווים מיוחדים בשדות ה-CSR עלול להידחות על ידי ספק התעודה השתמשו רק בתווי ASCII סטנדרטיים בכל שדות DN
השארת Bit length על 1024 רשויות תעודה מודרניות אינן מקבלות מפתחות מתחת ל-2048 ביט לפני לחיצה על Next, הגדירו 2048 או 4096
יצירת CSR בשרת הלא נכון אי-התאמה של המפתח הפרטי בזמן ההתקנה צרו CSR תמיד בשרת שבו האתר מאוחסן
העתקת CSR באופן חלקי ההפעלה תיכשל מיד העתיקו את הקוד המלא כולל שורות BEGIN ו-END

רשימת בדיקה לאימות

  • קובץ ה-CSR נשמר במיקום נגיש
  • קוד ה-CSR המלא הועתק, כולל שורות BEGIN ו-END
  • ה-CSR נבדק באמצעות decoder — הדומיין, הארגון והמדינה נכונים
  • Bit length הוגדר ל-2048 ומעלה
  • לא נעשה שימוש בתווים מיוחדים בשדות DN

שיטות עבודה מומלצות

איך יוצרים קוד CSR באמצעות IIS?

  • השתמשו תמיד באורך מפתח של 2048 ביט או 4096 ביט — 1024 ביט כבר אינו מתקבל
  • שמרו את קובץ ה-CSR ואת המפתח הפרטי במקום מאובטח
  • בשדה Common Name הזינו את שם הדומיין המלא — אל תוסיפו פרוטוקול או slash
  • עבור תעודת Wildcard השתמשו בפורמט *.example.com בשדה Common Name
  • בדקו את ה-CSR באמצעות decoder לפני שליחה להפעלה; זה מונע טעויות וחוסך זמן

השלבים הבאים

לאחר שקוד ה-CSR מוכן:

  1. שלחו את קוד ה-CSR במהלך הפעלת SSL דרך Domain Name API.
  2. לאחר הנפקת התעודה, השלימו את ההתקנה ב-IIS באמצעות “Complete Certificate Request”.
  3. בדקו את ההתקנה באמצעות סמל המנעול בדפדפן וכלי SSL checker.

שאלות נפוצות

מהו קוד CSR?

CSR ‏(Certificate Signing Request — בקשה לחתימת תעודה) הוא בלוק טקסט מוצפן שנוצר בשרת שלכם. הוא כולל את שם הדומיין, פרטי הארגון והמפתח הציבורי של השרת. ספק התעודה משתמש במידע זה כדי להנפיק תעודת SSL לדומיין שלכם.

למה צריך ליצור CSR באותו שרת?

בעת יצירת CSR נוצרים שני מפתחות: מפתח ציבורי שנכלל בתוך ה-CSR, ומפתח פרטי שנשמר בשרת. שני המפתחות חייבים להתאים זה לזה. אם ה-CSR נוצר בשרת אחר, המפתח הפרטי לא יהיה זמין בעת התקנת התעודה וההתקנה עלולה להיכשל.

איך מזינים Common Name עבור Wildcard SSL?

עבור תעודת Wildcard SSL, הזינו בשדה Common Name את הערך *.example.com. פורמט זה מכסה את הדומיין הראשי ותתי-דומיינים ברמה הראשונה כמו www, mail, shop ועוד.

מה עושים אחרי יצירת CSR?

העתיקו את קוד ה-CSR המלא, כולל שורות המקפים, בדקו אותו באמצעות CSR decoder ושלחו אותו במהלך הפעלת SSL. לאחר הנפקת התעודה, השלימו את ההתקנה לפי מדריך התקנת SSL ב-IIS.

מהו CSR Decoder?

CSR Decoder הוא כלי חינמי שקורא קוד CSR מוצפן ומציג את המידע שבו בצורה ברורה. הוא מאפשר לבדוק לפני ההפעלה פרטים כמו דומיין, ארגון, מדינה ואורך מפתח.

מה לעשות אם קוד ה-CSR שגוי?

צרו CSR חדש באותו שרת באמצעות אותם שלבים. אין מגבלה על מספר הפעמים שניתן ליצור CSR. לאחר מכן השתמשו בקוד החדש להפעלת SSL.

אילו גרסאות IIS נתמכות במדריך זה?

השלבים במדריך זה עובדים ב-IIS 5.x, 6.x, 7.x, 8.x, 10 ובגרסאות Windows Server מאוחרות יותר. ממשק IIS Manager עקבי למדי בין הגרסאות בכל הנוגע ליצירת CSR.

האם אפשר להשתמש באותו CSR לכמה תעודות SSL?

לא. מומלץ ליצור CSR חדש לכל הפעלת תעודת SSL. שימוש חוזר ב-CSR ישן עלול לגרום לבעיות הקשורות למפתח הפרטי.

סיכום

יצירת CSR ב-IIS נמשכת כמה דקות בלבד. פתחו את IIS Manager, עברו אל Server Certificates, צרו בקשת תעודה חדשה, הזינו את פרטי הדומיין, הגדירו bit length ל-2048 ומעלה ושמרו את הקובץ. לפני השליחה, בדקו את ה-CSR באמצעות decoder.

הכלל החשוב ביותר: צרו את ה-CSR תמיד בשרת שבו האתר שלכם מאוחסן. CSR שנוצר במכונה אחרת עלול לגרום לאי-התאמה של המפתח הפרטי בעת התקנת התעודה.

✅ לאחר שה-CSR מוכן, בדקו אותו באמצעות כלי decoder ושלחו אותו להפעלת SSL.

גלו אפשרויות לתעודות SSL

Domain Name API מציעה תעודות SSL מסוג DV, OV, EV ו-Wildcard. בין אם מדובר בדומיין יחיד, במספר תתי-דומיינים או בתשתית ארגונית, תמיד קיימת אפשרות SSL מתאימה.

צפו בפתרונות SSL Reseller