כיצד להתקין אישור SSL ב-IIS
כדי להתקין אישור SSL ב-IIS, פתחו את IIS Manager, עברו אל Server Certificates והעלו את קובץ ה-.crt שלכם באמצעות האפשרות Complete Certificate Request. לאחר מכן לחצו לחיצה ימנית על האתר שלכם, בחרו Edit Bindings > Add וצרו HTTPS Binding על פורט 443. מיצירת ה-CSR ועד לאימות ההתקנה, בסביבות Windows Server רוב התהליך אורך כ-15 דקות. מדריך זה מסביר כל שלב עם צילומי מסך ומכסה באופן מלא את השגיאות הנפוצות ביותר וכן את הגדרת ההפניה מ-HTTP ל-HTTPS.
רוצים למכור אישורי SSL ללקוחות שלכם?
עם תוכנית המשווקים של Domain Name API תוכלו להציע אישורי DV, OV, EV ו-Wildcard דרך API יחיד.
מה צריך להכין לפני התקנת SSL ב-IIS
לפני פתיחת IIS Manager, וודאו שכל הדברים הבאים מוכנים. אם אחד מהפריטים חסר, אתם עלולים להיתקע באמצע תהליך ההתקנה.
| דרישה | תיאור |
|---|---|
| גישה ל-IIS Manager | Internet Information Services Manager חייב להיות מותקן ופועל על Windows Server. |
| הרשאות מנהל | נדרשות הרשאות מנהל מקומי או מנהל דומיין בשרת כדי להתקין אישורים. חשבונות משתמשים רגילים אינם יכולים להתקין אישורים. |
| CSR (בקשת חתימת אישור) | נוצר בשלב 2 דרך IIS Manager. ה-CSR יוצר גם מפתח פרטי — שניהם חייבים להישאר על אותו שרת. |
| קובץ אישור SSL (.crt) | מונפק על ידי ה-CA (רשות האישורים) לאחר השלמת אימות הדומיין. |
| CA Bundle / אישור ביניים | מסופק על ידי ה-CA יחד עם האישור. חיוני לשרשרת אמון מלאה — אל תדלגו על כך. |
| מפתח פרטי | נוצר אוטומטית בעת יצירת ה-CSR ב-IIS. נשאר בשרת ולא ניתן להוריד אותו כקובץ נפרד. |
⚠️ אם יצרתם את ה-CSR בשרת אחר, לא תוכלו להשתמש בשיטת Complete Certificate Request. במקום זאת, ייצאו קובץ .pfx (אישור + מפתח פרטי יחד) מהשרת המקורי והשתמשו באפשרות 'Import' ב-IIS.
שלב 1 — בחירת אישור ה-SSL המתאים
אישורי SSL אינם פתרון אחד המתאים לכולם. הסוג שתצטרכו תלוי במספר הדומיינים שברצונכם לאבטח וברמת אימות הזהות שמשתמשים שלכם מצפים לה.
| סוג | מה מאומת | מתאים ל | דוגמה |
|---|---|---|---|
| DV SSL | בעלות על הדומיין בלבד | בלוג, אתר אישי, עסק קטן | www.dugma.co.il |
| OV SSL | דומיין + זהות ארגון | אתרים ארגוניים, פלטפורמות SaaS | אתר חברה רשמי |
| EV SSL | אימות מורחב של החברה | מסחר אלקטרוני, פיננסים — רמת האמינות הגבוהה ביותר | checkout.dugma.co.il |
| Wildcard SSL | דומיין + כל תתי-הדומיין ברמה הראשונה | ספקי אחסון, מבנים עם תתי-דומיין רבים | *.dugma.co.il |
עבור ספקי אחסון ומשווקי דומיינים, Wildcard SSL הוא בדרך כלל הבחירה המעשית ביותר — אישור אחד מכסה את כל תתי-הדומיין ואין צורך לחדש כל אחד בנפרד.
מוכרים SSL ללקוחות שלכם?
תוכנית המשווקים של Domain Name API מעניקה לכם גישה לאישורי DV, OV, EV ו-Wildcard במחירי משווקים תחרותיים.
שלב 2 — פתיחת IIS Manager
ב-Windows Server לחצו Win + R, הקלידו inetmgr ולחצו Enter. לחלופין, חפשו "IIS" בתפריט התחל ובחרו ב-Internet Information Services (IIS) Manager.

ℹ️ לא מצאתם את IIS Manager? עקבו אחר הנתיב: Server Manager ← הוסף תפקידים ותכונות ← Web Server (IIS). בגרסאות שולחן עבודה של Windows: לוח הבקרה ← תוכניות ← הפעל או כבה תכונות Windows ← Internet Information Services.
שלב 3 — פתיחת Server Certificates
בחלונית השמאלית של IIS Manager לחצו על שם השרת שלכם. בחלונית המרכזית הראשית מצאו את הסמל "Server Certificates" ולחצו עליו פעמיים.

שלב 4 — יצירת CSR והעלאת קובץ האישור
אם טרם יצרתם CSR, השלימו שלב זה לפני העלאת קובץ האישור.
כיצד ליצור CSR
- לחצו על "Create Certificate Request…" בחלונית Actions.
- מלאו את שדות Distinguished Name — ה-Common Name חייב להתאים בדיוק לשם הדומיין שאתם מאבטחים.
- הגדירו את אורך המפתח ל-2048 (מינימום) או 4096 להצפנה חזקה יותר.
- שמרו את קובץ ה-.txt — תצטרכו להדביק את תוכנו בטופס ההזמנה של ה-CA.
חזרו לשלב זה לאחר שה-CA הנפיק את האישור.
התקנת האישור — Complete Certificate Request
לחצו על "Complete Certificate Request…" בחלונית Actions כדי לפתוח את אשף ההתקנה.

⚠️ יצרתם את ה-CSR בשרת אחר? Complete Certificate Request לא יעבוד במקרה זה. ייצאו קובץ .pfx (PKCS#12) — כולל המפתח הפרטי — מהשרת המקורי והשתמשו באפשרות 'Import' בחלונית Actions תחת Server Certificates.
אם אתם עוברים מ-cPanel, Plesk או שרת Linux ל-IIS: לא ניתן לייבא ישירות את האישור הקיים שלכם ל-IIS. תחילה המירו את האישור לפורמט .pfx (PKCS#12) באמצעות פקודת OpenSSL או ממיר PEM→PFX מקוון, ולאחר מכן השתמשו ב-Server Certificates → Import ב-IIS. פקודת OpenSSL היא:
openssl pkcs12 -export -out teudat.pfx -inkey mafteach-prati.key -in teudat.crt -certfile cabundle.crt
שלב 5 — בחירת קובץ האישור והזנת Friendly Name
חלון "Specify Certificate Authority Response" ייפתח. מלאו את שלושת השדות כדלקמן:
| שדה | מה להזין |
|---|---|
| File name (.cer) | בחרו את קובץ ה-.crt שלכם דרך הכפתור "…". IIS מקבל גם סיומת .crt וגם .cer. |
| Friendly name | תווית קצרה שתזהו — למשל dugma.co.il-2025. תבחרו שם זה שוב בשלב 6. |
| Certificate store | בחרו "Personal". אם האישור לא מופיע לאחר מכן, נסו "Web Hosting". |

לחצו על "OK" לאחר מילוי כל השדות. האישור הועלה כעת לשרת. הוא עדיין אינו משרת תעבורת HTTPS — זה יקרה בשלב הבא.
שלב 6 — יצירת HTTPS Binding על פורט 443
האישור מותקן, אך IIS עדיין אינו יודע איזה אתר צריך להשתמש בו. עליכם ליצור Binding שמחבר את פורט 443 לאתר ולאישור שלכם.
לחצו לחיצה ימנית על האתר שלכם בחלונית השמאלית ולחצו על "Edit Bindings…". בחלון Site Bindings לחצו על "Add".

| שדה | ערך / תיאור |
|---|---|
| Type | https |
| IP Address | All Unassigned — או כתובת ה-IP הספציפית שהוקצתה לשרתכם, אם רלוונטי |
| Port | 443 |
| Hostname | הזינו את שם הדומיין בדיוק כפי שהוא מופיע באישור (למשל www.dugma.co.il) |
| SNI | סמנו "Require Server Name Indication" אם מספר אתרים חולקים כתובת IP זו |
| SSL Certificate | בחרו את ה-Friendly Name שהזנתם בשלב 5 |

לחצו על "OK" לשמירה. האתר שלכם נגיש כעת דרך HTTPS.
מהו SNI ומתי יש להפעיל אותו?
SNI (Server Name Indication) הוא הרחבת TLS המאפשרת לכתובת IP אחת לשרת מספר אישורי SSL — אישור אחד לכל hostname. ללא SNI, IIS יכול לשרת רק אישור אחד לכל כתובת IP ללא קשר ל-hostname.
הפעילו SNI במקרים הבאים: (א) אתם מארחים מספר אתרי HTTPS על כתובת IP שרת אחת, או (ב) השרת שלכם נמצא מאחורי מאזן עומסים משותף. IIS 7.5 וגרסאות קודמות אינן תומכות ב-SNI — נדרשת כתובת IP נפרדת לכל דומיין. IIS 8 וגרסאות מאוחרות יותר תומכות ב-SNI באופן טבעי.
שלב 7 — הפניה מ-HTTP ל-HTTPS
הוספת HTTPS Binding אינה מפנה אוטומטית תעבורת http://. ללא הפניה, חלק מהמבקרים — ובוטים של מנועי חיפוש — ימשיכו להגיע לגרסה הלא מוצפנת של האתר שלכם.
הפניה עם מודול URL Rewrite של IIS (מומלץ)
- הורידו והתקינו את מודול URL Rewrite מ-Microsoft (חינם, דרך Web Platform Installer או הורדה ישירה).
- בחרו את האתר שלכם ב-IIS Manager ולחצו פעמיים על "URL Rewrite".
- בחרו "Add Rule(s)" ← "Blank Rule". תנו לכלל את השם "HTTP to HTTPS".
- Match URL: Pattern = .*
- הוסיפו תנאי: {HTTPS} תואם לתבנית "^OFF$".
- פעולה: הפנו ל-https://{HTTP_HOST}/{R:0}, סוג הפניה: קבועה (301).
מדוע זה חשוב ל-SEO ולאמון המשתמשים: Google משתמש ב-HTTPS כאות דירוג מאז 2014. ספציפית יותר, Chrome ו-Edge מסמנים כל עמוד HTTP כ'לא מאובטח' — דבר שפוגע באמון המשתמשים ומעלה את שיעור הנטישה; שניהם גורמי SEO שליליים עקיפים. הפניה 301 גם מעבירה link equity מכתובות URL של HTTP לגרסת HTTPS.
שלב 8 — אימות התקנת SSL
אל תניחו שהכל עובד — אמתו. בצעו שלוש בדיקות אלה לפני שתחשיבו את ההתקנה כהושלמה:
- סמל המנעול בדפדפן: פתחו את https://www.dugma.co.il ב-Chrome או ב-Edge. סמל המנעול בשורת הכתובת מאשר ש-HTTPS פעיל.
- SSL Checker: השתמשו בכלי בדיקת SSL מקוון כדי לאמת את שרשרת האישורים, תאריך התפוגה והמנפיק.
- בדיקת SSL Labs: עברו ל-ssllabs.com/ssltest והזינו את שם הדומיין שלכם. שאפו לדירוג A או A+ — דירוג נמוך יותר מצביע בדרך כלל על בעיית תצורה שיש לתקן.
✅ אין סמל מנעול? הסיבה הנפוצה ביותר היא שרשרת אישורים חלקית — אישור הביניים (CA Bundle) אינו מותקן. התקינו אותו במאגר האישורים של IIS דרך certlm.msc עם MMC, ולאחר מכן הפעילו מחדש את IIS.