IIS-те SSL Сертификатын Қалай Орнату Керек
IIS-те SSL сертификатын орнату үшін IIS Manager-ді ашыңыз, Server Certificates бөліміне өтіңіз және Complete Certificate Request опциясы арқылы .crt файлыңызды жүктеңіз. Содан кейін веб-сайтыңызды тінтуірдің оң жақ түймесімен басып, Edit Bindings > Add тармағын таңдаңыз және 443 портында HTTPS Binding жасаңыз. CSR жасаудан бастап орнатуды тексеруге дейін, көптеген Windows Server ортасында бүкіл процесс шамамен 15 минут алады. Бұл нұсқаулық скриншоттармен бірге әр қадамды түсіндіреді және ең жиі кездесетін қателер мен HTTP-тен HTTPS-ке қайта бағыттауды толық қамтиды.
Клиенттеріңізге SSL сертификаттарын сатқыңыз келе ме?
Domain Name API-дің SSL қайта сатушылар бағдарламасы арқылы DV, OV, EV және Wildcard сертификаттарын бір API арқылы ұсына аласыз.
IIS-те SSL Орнатудан Бұрын Нені Дайындау Керек
IIS Manager-ді ашпас бұрын, төмендегілердің барлығы дайын екенін тексеріңіз. Осы элементтердің кез келгені жетіспесе, орнату процесінің ортасында тығырыққа тірелуіңіз мүмкін.
| Талап | Сипаттама |
|---|---|
| IIS Manager-ге кіру мүмкіндігі | Internet Information Services Manager Windows Server-де орнатылған және жұмыс істейтін күйде болуы тиіс. |
| Әкімші құқықтары | Сертификаттарды орнату үшін серверде жергілікті немесе домен әкімшісінің құқықтары қажет. Қарапайым пайдаланушы тіркелгілері сертификат орнату мүмкіндігіне ие емес. |
| CSR (Сертификатқа қол қою сұрауы) | IIS Manager арқылы 2-қадамда жасалады. CSR сонымен қатар жеке кілтті де жасайды — екеуі де бір серверде болуы тиіс. |
| SSL сертификат файлы (.crt) | Домен тексерісі аяқталғаннан кейін CA (Сертификаттау органы) тарапынан беріледі. |
| CA Bundle / Аралық сертификат | CA тарапынан сертификатпен бірге беріледі. Толық сенім тізбегі үшін міндетті — бұл қадамды өткізіп жібермеңіз. |
| Жеке кілт | IIS-те CSR жасалған кезде автоматты түрде жасалады. Серверде қалады және жеке файл ретінде жүктелмейді. |
⚠️ CSR-ді басқа серверде жасаған болсаңыз, Complete Certificate Request әдісін пайдалана алмайсыз. Оның орнына бастапқы серверден .pfx файлын (сертификат + жеке кілт бірге) экспорттаңыз және IIS-тегі 'Import' опциясын пайдаланыңыз.
1-қадам — Дұрыс SSL Сертификатын Таңдау
SSL сертификаттары барлығына бірдей шешім емес. Сізге қажет түр қанша доменді қорғағыңызға және пайдаланушыларыңыздың күткен сәйкестендіру деңгейіне байланысты.
| Түрі | Не тексеріледі | Кімге қолайлы | Мысал |
|---|---|---|---|
| DV SSL | Тек домен иелігі | Блог, жеке сайт, шағын бизнес | www.missal.kz |
| OV SSL | Домен + ұйым сәйкестігі | Корпоративтік сайттар, SaaS платформалар | Компанияның ресми сайты |
| EV SSL | Компанияның кеңейтілген тексерісі | Электрондық коммерция, қаржы — ең жоғары сенім деңгейі | checkout.missal.kz |
| Wildcard SSL | Домен + барлық бірінші деңгейлі субдомендер | Хостинг провайдерлер, көптеген субдомені бар құрылымдар | *.missal.kz |
Хостинг провайдерлер мен домен қайта сатушылары үшін Wildcard SSL әдетте ең практикалық таңдау болып табылады — бір сертификат барлық субдомендерді қамтиды және әрқайсысын жеке жаңартудың қажеті жоқ.
Клиенттеріңізге SSL сатасыз ба?
Domain Name API-дің SSL қайта сатушылар бағдарламасы сізге бәсекеге қабілетті қайта сатушы бағаларымен DV, OV, EV және Wildcard сертификаттарына қол жеткізуді береді.
2-қадам — IIS Manager-ді Ашу
Windows Server-де Win + R пернелерін басыңыз, inetmgr теріңіз және Enter-ді басыңыз. Немесе Бастау мәзірінде "IIS" іздеп, Internet Information Services (IIS) Manager-ді таңдаңыз.

ℹ️ IIS Manager табылмай ма? Мына жолды орындаңыз: Server Manager → Рөлдер мен мүмкіндіктерді қосу → Web Server (IIS). Windows жұмыс үстелі нұсқаларында: Басқару тақтасы → Бағдарламалар → Windows мүмкіндіктерін қосу немесе өшіру → Internet Information Services.
3-қадам — Server Certificates-ті Ашу
IIS Manager-дің сол жақ панелінен серверіңіздің атын басыңыз. Орталық негізгі панелден "Server Certificates" белгішесін тауып, оған екі рет басыңыз.

4-қадам — CSR Жасау және Сертификат Файлын Жүктеу
CSR әлі жасамаған болсаңыз, сертификат файлын жүктемес бұрын осы қадамды орындаңыз.
CSR Қалай Жасалады
- Actions панелінен "Create Certificate Request…" тармағын басыңыз.
- Distinguished Name өрістерін толтырыңыз — Common Name қорғайтын домен атауымен дәл сәйкес болуы тиіс.
- Кілт ұзындығын 2048 (ең аз) немесе күшті шифрлау үшін 4096 деп орнатыңыз.
- .txt файлын сақтаңыз — оның мазмұнын CA-ның тапсырыс формасына қою керек болады.
CA сертификатты бергеннен кейін осы қадамға оралыңыз.
Сертификатты Орнату — Complete Certificate Request
Орнату шебері ашу үшін Actions панелінен "Complete Certificate Request…" тармағын басыңыз.

⚠️ CSR-ді басқа серверде жасадыңыз ба? Бұл жағдайда Complete Certificate Request жұмыс істемейді. Бастапқы сервердегі .pfx файлын (PKCS#12) — жеке кілтімен бірге — экспорттаңыз және Server Certificates астындағы Actions панеліндегі 'Import' опциясын пайдаланыңыз.
cPanel, Plesk немесе Linux серверінен IIS-ке ауысып жатқан болсаңыз: бар сертификатыңызды тікелей IIS-ке импорттай алмайсыз. Алдымен OpenSSL пәрмені немесе онлайн PEM→PFX түрлендіргіш арқылы сертификатты .pfx (PKCS#12) форматына түрлендіріңіз, содан кейін IIS-тегі Server Certificates → Import пайдаланыңыз. OpenSSL пәрмені:
openssl pkcs12 -export -out sertifikat.pfx -inkey zheke-kilt.key -in sertifikat.crt -certfile cabundle.crt
5-қадам — Сертификат Файлын Таңдау және Friendly Name Енгізу
"Specify Certificate Authority Response" терезесі ашылады. Үш өрісті келесідей толтырыңыз:
| Өріс | Не енгізу керек |
|---|---|
| File name (.cer) | "…" түймесі арқылы .crt файлыңызды таңдаңыз. IIS .crt және .cer кеңейтімдерін де қабылдайды. |
| Friendly name | Таныс қысқа белгі — мысалы missal.kz-2025. Бұл атауды 6-қадамда қайта таңдайсыз. |
| Certificate store | "Personal" таңдаңыз. Сертификат кейін көрінбесе "Web Hosting" опциясын сынап көріңіз. |

Барлық өрістерді толтырғаннан кейін "OK" түймесін басыңыз. Сертификат енді серверге жүктелді. Ол HTTPS трафигіне әлі қызмет көрсетпейді — бұл келесі қадамда болады.
6-қадам — 443 Портында HTTPS Binding Жасау
Сертификат орнатылды, бірақ IIS қай веб-сайттың оны пайдалануы керектігін әлі білмейді. 443 портын сайтыңыз бен сертификатыңызға байланыстыратын Binding жасау керек.
Сол жақ панелден веб-сайтыңызды тінтуірдің оң жақ түймесімен басыңыз да "Edit Bindings…" тармағын таңдаңыз. Site Bindings терезесінен "Add" түймесін басыңыз.

| Өріс | Мән / Сипаттама |
|---|---|
| Type | https |
| IP Address | All Unassigned — немесе қолданылатын болса серверіңізге тағайындалған нақты IP |
| Port | 443 |
| Hostname | Домен атауын сертификатта көрінгендей енгізіңіз (мысалы www.missal.kz) |
| SNI | Бірнеше сайт бұл IP мекенжайды бөліссе "Require Server Name Indication" белгісін қойыңыз |
| SSL Certificate | 5-қадамда енгізген Friendly Name таңдаңыз |

Сақтау үшін "OK" түймесін басыңыз. Веб-сайтыңыз енді HTTPS арқылы қолжетімді.
SNI дегеніміз не және оны қашан қосу керек?
SNI (Server Name Indication) — бір IP мекенжайына бірнеше SSL сертификатына қызмет көрсетуге мүмкіндік беретін TLS кеңейтімі — әр hostname үшін бір сертификат. SNI болмаса, IIS hostname-ге қарамастан IP мекенжайына бір ғана сертификатқа қызмет көрсете алады.
Мынадай жағдайларда SNI қосыңыз: (а) бір сервер IP мекенжайында бірнеше HTTPS сайтын орналастырып жатқан болсаңыз, немесе (б) серверіңіз ортақ жүктеме теңестіргішінің артында тұрса. IIS 7.5 және ескі нұсқалар SNI қолдамайды — әр домен үшін бөлек IP қажет. IIS 8 және жаңа нұсқалар SNI-ді жергілікті түрде қолдайды.
7-қадам — HTTP-тен HTTPS-ке Қайта Бағыттау
HTTPS Binding қосу http:// трафигін автоматты түрде қайта бағыттамайды. Қайта бағыттаусыз, кейбір келушілер — және іздеу жүйесі боттары — сайтыңыздың шифрланбаған нұсқасына кіруді жалғастырады.
IIS URL Rewrite модулімен қайта бағыттау (Ұсынылады)
- Microsoft сайтынан URL Rewrite модулін жүктеп орнатыңыз (тегін, Web Platform Installer немесе тікелей жүктеу арқылы).
- IIS Manager-де сайтыңызды таңдап, "URL Rewrite" үстіне екі рет басыңыз.
- "Add Rule(s)" → "Blank Rule" таңдаңыз. Ережені "HTTP to HTTPS" деп атаңыз.
- Match URL: Pattern = .*
- Шарт қосыңыз: {HTTPS} "^OFF$" үлгісіне сәйкес келеді.
- Әрекет: https://{HTTP_HOST}/{R:0} мекенжайына қайта бағыттаңыз, Қайта бағыттау түрі: Тұрақты (301).
Бұл SEO және пайдаланушы сенімі үшін неліктен маңызды: Google 2014 жылдан бері HTTPS-ті рейтинг сигналы ретінде пайдаланып келеді. Нақтырақ айтсақ, Chrome және Edge әрбір HTTP бетін 'Қауіпсіз емес' деп белгілейді — бұл пайдаланушы сенімін төмендетіп, кету жылдамдығын арттырады; екеуі де жанама SEO теріс факторлары болып табылады. 301 қайта бағыттау сонымен қатар HTTP URL-лерінен HTTPS нұсқасына сілтеме үлесін де тасымалдайды.
8-қадам — SSL Орнатуын Тексеру
Бәрі жұмыс істейді деп болжамаңыз — тексеріңіз. Орнатуды аяқталды деп санамас бұрын мына үш тексеруді орындаңыз:
- Браузердегі құлып белгішесі: Chrome немесе Edge браузерінде https://www.missal.kz мекенжайын ашыңыз. Мекенжай жолындағы құлып белгішесі HTTPS белсенді екенін растайды.
- SSL Checker: Сертификат тізбегін, мерзімі аяқталу күнін және берушіні тексеру үшін онлайн SSL тексеру құралын пайдаланыңыз.
- SSL Labs тесті: ssllabs.com/ssltest сайтына өтіп, домен атауыңызды енгізіңіз. A немесе A+ рейтингіне ұмтылыңыз — төменгі рейтинг әдетте түзетілуі тиіс конфигурация мәселесіне нұсқайды.
✅ Құлып белгішесі жоқ па? Ең жиі кездесетін себеп — толық емес сертификат тізбегі: аралық сертификат (CA Bundle) орнатылмаған. certlm.msc арқылы MMC пайдаланып IIS сертификат қоймасына орнатыңыз, содан кейін IIS-ті қайта іске қосыңыз.
