Cara Memasang Sijil SSL pada IIS
Untuk memasang sijil SSL pada IIS, buka IIS Manager, pergi ke Server Certificates dan muat naik fail .crt anda melalui pilihan Complete Certificate Request. Kemudian klik kanan pada laman web anda, pilih Edit Bindings > Add dan cipta HTTPS Binding pada port 443. Dari penciptaan CSR hingga pengesahan pemasangan, keseluruhan proses mengambil masa kira-kira 15 minit dalam kebanyakan persekitaran Windows Server. Panduan ini menerangkan setiap langkah dengan tangkapan skrin dan merangkumi sepenuhnya ralat yang paling biasa serta konfigurasi ubah hala dari HTTP ke HTTPS.
Ingin menjual sijil SSL kepada pelanggan anda?
Dengan program penjual semula SSL Domain Name API, anda boleh menawarkan sijil DV, OV, EV dan Wildcard melalui satu API sahaja.
Perkara yang Perlu Disediakan Sebelum Memasang SSL pada IIS
Sebelum membuka IIS Manager, pastikan semua perkara berikut telah bersedia. Jika mana-mana item tidak ada, anda mungkin akan tersangkut di tengah-tengah proses pemasangan.
| Keperluan | Penerangan |
|---|---|
| Akses ke IIS Manager | Internet Information Services Manager mesti dipasang dan berjalan pada Windows Server. |
| Hak Pentadbir | Anda memerlukan hak Pentadbir Tempatan atau Pentadbir Domain pada pelayan untuk memasang sijil. Akaun pengguna standard tidak boleh memasang sijil. |
| CSR (Permintaan Penandatanganan Sijil) | Dicipta pada Langkah 2 melalui IIS Manager. CSR juga menjana kunci peribadi — kedua-duanya mesti kekal pada pelayan yang sama. |
| Fail Sijil SSL (.crt) | Dikeluarkan oleh CA (Pihak Berkuasa Pensijilan) selepas pengesahan domain selesai. |
| CA Bundle / Sijil Perantara | Disediakan oleh CA bersama sijil. Diperlukan untuk rantaian kepercayaan yang lengkap — jangan abaikan. |
| Kunci Peribadi | Dijana secara automatik apabila CSR dicipta dalam IIS. Kekal pada pelayan dan tidak boleh dimuat turun sebagai fail berasingan. |
⚠️ Jika anda mencipta CSR pada pelayan lain, anda tidak boleh menggunakan kaedah Complete Certificate Request. Sebaliknya, eksport fail .pfx (sijil + kunci peribadi bersama) dari pelayan asal dan gunakan pilihan 'Import' dalam IIS.
Langkah 1 — Memilih Sijil SSL yang Sesuai
Sijil SSL bukan penyelesaian satu saiz untuk semua. Jenis yang anda perlukan bergantung pada bilangan domain yang ingin anda selamatkan dan tahap pengesahan identiti yang dijangkakan oleh pengguna anda.
| Jenis | Apa yang Disahkan | Sesuai untuk | Contoh |
|---|---|---|---|
| DV SSL | Pemilikan domain sahaja | Blog, laman web peribadi, perniagaan kecil | www.contoh.com.my |
| OV SSL | Domain + identiti organisasi | Laman web korporat, platform SaaS | Laman web rasmi syarikat |
| EV SSL | Pengesahan syarikat yang diperluas | E-dagang, kewangan — tahap kepercayaan tertinggi | checkout.contoh.com.my |
| Wildcard SSL | Domain + semua subdomain peringkat pertama | Pembekal hosting, struktur dengan banyak subdomain | *.contoh.com.my |
Bagi pembekal hosting dan penjual semula domain, Wildcard SSL biasanya merupakan pilihan yang paling praktikal — satu sijil merangkumi semua subdomain dan tidak perlu membaharui setiap satu secara berasingan.
Anda menjual SSL kepada pelanggan?
Program penjual semula SSL Domain Name API memberikan anda akses kepada sijil DV, OV, EV dan Wildcard pada harga penjual semula yang kompetitif.
Langkah 2 — Membuka IIS Manager
Pada Windows Server tekan Win + R, taip inetmgr dan tekan Enter. Atau cari "IIS" dalam menu Start dan pilih Internet Information Services (IIS) Manager.

ℹ️ Tidak dapat menemui IIS Manager? Ikuti laluan ini: Server Manager → Tambah Peranan dan Ciri → Web Server (IIS). Pada versi desktop Windows: Panel Kawalan → Program → Hidupkan atau matikan ciri Windows → Internet Information Services.
Langkah 3 — Membuka Server Certificates
Dalam panel kiri IIS Manager, klik nama pelayan anda. Dalam panel utama tengah, cari ikon "Server Certificates" dan klik dua kali padanya.

Langkah 4 — Mencipta CSR dan Memuat Naik Fail Sijil
Jika anda belum mencipta CSR, selesaikan langkah ini sebelum memuat naik fail sijil.
Cara Mencipta CSR
- Klik "Create Certificate Request…" dalam panel Actions.
- Isi medan Distinguished Name — Common Name mesti sepadan tepat dengan nama domain yang anda selamatkan.
- Tetapkan panjang kunci kepada 2048 (minimum) atau 4096 untuk penyulitan yang lebih kuat.
- Simpan fail .txt — anda perlu menampal kandungannya ke dalam borang permohonan CA.
Kembali ke langkah ini selepas CA mengeluarkan sijil.
Memasang Sijil — Complete Certificate Request
Klik "Complete Certificate Request…" dalam panel Actions untuk membuka wizard pemasangan.

⚠️ Adakah anda mencipta CSR pada pelayan lain? Complete Certificate Request tidak akan berfungsi dalam kes ini. Eksport fail .pfx (PKCS#12) — termasuk kunci peribadi — dari pelayan asal dan gunakan pilihan 'Import' dalam panel Actions di bawah Server Certificates.
Jika anda berpindah dari cPanel, Plesk atau pelayan Linux ke IIS: anda tidak boleh mengimport terus sijil sedia ada ke IIS. Tukar sijil ke format .pfx (PKCS#12) terlebih dahulu menggunakan arahan OpenSSL atau penukar PEM→PFX dalam talian, kemudian gunakan Server Certificates → Import dalam IIS. Arahan OpenSSL adalah:
openssl pkcs12 -export -out sijil.pfx -inkey kunci-peribadi.key -in sijil.crt -certfile cabundle.crt
Langkah 5 — Memilih Fail Sijil dan Memasukkan Friendly Name
Tetingkap "Specify Certificate Authority Response" akan dibuka. Isi tiga medan seperti berikut:
| Medan | Apa yang Perlu Dimasukkan |
|---|---|
| File name (.cer) | Pilih fail .crt anda melalui butang "…". IIS menerima sambungan .crt dan .cer. |
| Friendly name | Label pendek yang boleh anda kenali — cth. contoh.com.my-2025. Anda akan memilih nama ini semula pada Langkah 6. |
| Certificate store | Pilih "Personal". Jika sijil tidak muncul selepas itu, cuba "Web Hosting". |

Klik "OK" selepas mengisi semua medan. Sijil kini telah dimuat naik ke pelayan. Ia belum melayan trafik HTTPS — ini berlaku pada langkah seterusnya.
Langkah 6 — Mencipta HTTPS Binding pada Port 443
Sijil telah dipasang tetapi IIS masih belum tahu laman web mana yang perlu menggunakannya. Anda perlu mencipta Binding yang menghubungkan port 443 dengan laman web dan sijil anda.
Klik kanan pada laman web anda dalam panel kiri dan klik "Edit Bindings…". Dalam tetingkap Site Bindings klik "Add".

| Medan | Nilai / Penerangan |
|---|---|
| Type | https |
| IP Address | All Unassigned — atau IP khusus yang ditetapkan kepada pelayan anda jika berkenaan |
| Port | 443 |
| Hostname | Masukkan nama domain tepat seperti yang tertera dalam sijil (cth. www.contoh.com.my) |
| SNI | Tandakan "Require Server Name Indication" jika beberapa laman web berkongsi alamat IP ini |
| SSL Certificate | Pilih Friendly Name yang anda masukkan pada Langkah 5 |

Klik "OK" untuk menyimpan. Laman web anda kini boleh diakses melalui HTTPS.
Apakah SNI dan Bilakah Ia Perlu Diaktifkan?
SNI (Server Name Indication) ialah sambungan TLS yang membenarkan satu alamat IP melayan berbilang sijil SSL — satu sijil bagi setiap hostname. Tanpa SNI, IIS hanya boleh melayan satu sijil bagi setiap alamat IP tanpa mengira hostname.
Aktifkan SNI dalam situasi berikut: (a) anda mengehoskan berbilang laman web HTTPS pada satu IP pelayan, atau (b) pelayan anda berada di belakang pengimbang beban yang dikongsi. IIS 7.5 dan versi terdahulu tidak menyokong SNI — IP berasingan diperlukan bagi setiap domain. IIS 8 dan versi terbaru menyokong SNI secara asli.
Langkah 7 — Ubah Hala dari HTTP ke HTTPS
Menambah HTTPS Binding tidak mengubah hala trafik http:// secara automatik. Tanpa ubah hala, sesetengah pelawat — dan bot enjin carian — akan terus mengakses versi tidak disulitkan laman web anda.
Ubah Hala dengan Modul URL Rewrite IIS (Disyorkan)
- Muat turun dan pasang modul URL Rewrite dari Microsoft (percuma, melalui Web Platform Installer atau muat turun terus).
- Pilih laman web anda dalam IIS Manager dan klik dua kali "URL Rewrite".
- Pilih "Add Rule(s)" → "Blank Rule". Namakan peraturan sebagai "HTTP to HTTPS".
- Match URL: Pattern = .*
- Tambah syarat: {HTTPS} sepadan dengan corak "^OFF$".
- Tindakan: Ubah hala ke https://{HTTP_HOST}/{R:0}, Jenis ubah hala: Kekal (301).
Mengapa ini penting untuk SEO dan kepercayaan pengguna: Google telah menggunakan HTTPS sebagai isyarat kedudukan sejak 2014. Lebih khusus lagi, Chrome dan Edge menandakan setiap halaman HTTP sebagai 'Tidak Selamat' — ini mengurangkan kepercayaan pengguna dan meningkatkan kadar lantunan; kedua-duanya merupakan faktor negatif SEO secara tidak langsung. Ubah hala 301 juga memindahkan ekuiti pautan dari URL HTTP ke versi HTTPS.
Langkah 8 — Mengesahkan Pemasangan SSL
Jangan andaikan semuanya berfungsi — sahkan. Lakukan tiga pemeriksaan ini sebelum menganggap pemasangan selesai:
- Ikon kunci dalam pelayar: Buka https://www.contoh.com.my dalam Chrome atau Edge. Ikon kunci dalam bar alamat mengesahkan bahawa HTTPS aktif.
- SSL Checker: Gunakan alat semakan SSL dalam talian untuk mengesahkan rantaian sijil, tarikh tamat tempoh dan penerbit.
- Ujian SSL Labs: Pergi ke ssllabs.com/ssltest dan masukkan nama domain anda. Sasarkan penarafan A atau A+ — penarafan yang lebih rendah biasanya menunjukkan masalah konfigurasi yang perlu diperbaiki.
✅ Tiada ikon kunci? Sebab paling biasa ialah rantaian sijil yang tidak lengkap — sijil perantara (CA Bundle) tidak dipasang. Pasangkannya ke dalam stor sijil IIS melalui certlm.msc menggunakan MMC, kemudian mulakan semula IIS.
