Paano Mag-install ng SSL Certificate sa IIS

Para mag-install ng SSL certificate sa IIS, buksan ang IIS Manager, pumunta sa Server Certificates at i-upload ang inyong .crt file sa pamamagitan ng opsyong Complete Certificate Request. Pagkatapos, i-right click ang inyong website, piliin ang Edit Bindings > Add at lumikha ng HTTPS Binding sa port 443. Mula sa paglikha ng CSR hanggang sa pag-verify ng pag-install, ang buong proseso ay tumatagal ng humigit-kumulang 15 minuto sa karamihan ng Windows Server environment. Ang gabay na ito ay nagpapaliwanag ng bawat hakbang na may mga screenshot at ganap na sumasaklaw sa mga pinakakaraniwang error at sa configuration ng pag-redirect mula sa HTTP patungong HTTPS.

Gusto ba ninyong magbenta ng SSL certificate sa inyong mga customer?

Sa pamamagitan ng SSL reseller program ng Domain Name API, maaari kayong mag-alok ng DV, OV, EV at Wildcard certificate sa iisang API.

Tingnan ang Mga Solusyon para sa SSL Reseller →

Ano ang Kailangang Ihanda Bago Mag-install ng SSL sa IIS

Bago buksan ang IIS Manager, tiyaking handa na ang lahat ng sumusunod. Kung kulang ang kahit isa sa mga ito, maaari kayong matigil sa kalagitnaan ng proseso ng pag-install.

Kinakailangan Paglalarawan
Access sa IIS Manager Ang Internet Information Services Manager ay dapat na naka-install at tumatakbo sa Windows Server.
Karapatan ng Administrator Kailangan ng lokal o domain administrator na karapatan sa server upang mag-install ng mga certificate. Ang mga karaniwang user account ay hindi makapag-install ng certificate.
CSR (Certificate Signing Request) Nililikha sa Hakbang 2 sa pamamagitan ng IIS Manager. Ang CSR ay lumilikha rin ng private key — pareho ay dapat manatili sa iisang server.
SSL Certificate File (.crt) Ibinibigay ng CA (Certificate Authority) pagkatapos makumpleto ang domain validation.
CA Bundle / Intermediate Certificate Ibinibigay ng CA kasama ang certificate. Kinakailangan para sa kumpletong trust chain — huwag itong laktawan.
Private Key Awtomatikong nalilikha kapag ginawa ang CSR sa IIS. Nananatili sa server at hindi maaaring i-download bilang hiwalay na file.

⚠️ Kung ginawa ninyo ang CSR sa ibang server, hindi ninyo magagamit ang paraan ng Complete Certificate Request. Sa halip, i-export ang .pfx file (certificate + private key nang magkasama) mula sa orihinal na server at gamitin ang opsyong 'Import' sa IIS.

Hakbang 1 — Pagpili ng Tamang SSL Certificate

Ang mga SSL certificate ay hindi isang solusyon na angkop sa lahat. Ang uri na kailangan ninyo ay nakasalalay sa bilang ng mga domain na nais ninyong i-secure at sa antas ng identity verification na inaasahan ng inyong mga user.

Uri Ano ang Bine-verify Para Kanino Angkop Halimbawa
DV SSL Pagmamay-ari ng domain lamang Blog, personal na website, maliit na negosyo www.halimbawa.com.ph
OV SSL Domain + pagkakakilanlan ng organisasyon Mga corporate website, SaaS platform Opisyal na website ng kumpanya
EV SSL Pinalaawak na pag-verify ng kumpanya E-commerce, pananalapi — pinakamataas na antas ng tiwala checkout.halimbawa.com.ph
Wildcard SSL Domain + lahat ng unang antas na subdomain Mga hosting provider, mga istruktura na may maraming subdomain *.halimbawa.com.ph

Para sa mga hosting provider at domain reseller, ang Wildcard SSL ay karaniwang pinaka-praktikal na pagpipilian — isang certificate ang sumasaklaw sa lahat ng subdomain at hindi na kailangang i-renew ang bawat isa nang hiwalay.

Nagbebenta ba kayo ng SSL sa inyong mga customer?

Ang SSL reseller program ng Domain Name API ay nagbibigay sa inyo ng access sa mga DV, OV, EV at Wildcard certificate sa kompetitibong presyo para sa mga reseller.

Tingnan ang Presyo ng SSL Reseller →

Hakbang 2 — Pagbubukas ng IIS Manager

Sa Windows Server pindutin ang Win + R, i-type ang inetmgr at pindutin ang Enter. Bilang alternatibo, hanapin ang "IIS" sa Start menu at piliin ang Internet Information Services (IIS) Manager.

Paano Mag-install ng SSL Certificate sa IIS

ℹ️ Hindi mahanap ang IIS Manager? Sundin ang landas na ito: Server Manager → Magdagdag ng Mga Papel at Feature → Web Server (IIS). Sa mga desktop na bersyon ng Windows: Control Panel → Mga Program → I-on o I-off ang Mga Feature ng Windows → Internet Information Services.

Hakbang 3 — Pagbubukas ng Server Certificates

Sa kaliwang panel ng IIS Manager, i-click ang pangalan ng inyong server. Sa gitnang pangunahing panel, hanapin ang icon na "Server Certificates" at i-double click ito.

Paano Mag-install ng SSL Certificate sa IIS

Hakbang 4 — Paggawa ng CSR at Pag-upload ng Certificate File

Kung hindi pa kayo nakagawa ng CSR, kumpletuhin muna ang hakbang na ito bago mag-upload ng certificate file.

Paano Gumawa ng CSR

  1. I-click ang "Create Certificate Request…" sa Actions panel.
  2. Punan ang mga field ng Distinguished Name — ang Common Name ay dapat na eksaktong tumugma sa domain name na inyong sine-secure.
  3. Itakda ang haba ng key sa 2048 (minimum) o 4096 para sa mas malakas na encryption.
  4. I-save ang .txt file — kakailanganin ninyong i-paste ang nilalaman nito sa order form ng CA.

Bumalik sa hakbang na ito pagkatapos mailabas ng CA ang certificate.

Pag-install ng Certificate — Complete Certificate Request

I-click ang "Complete Certificate Request…" sa Actions panel upang buksan ang installation wizard.

Paano Mag-install ng SSL Certificate sa IIS

⚠️ Ginawa ba ninyo ang CSR sa ibang server? Hindi gagana ang Complete Certificate Request sa kasong ito. Mag-export ng .pfx file (PKCS#12) — kasama ang private key — mula sa orihinal na server at gamitin ang opsyong 'Import' sa Actions panel sa ilalim ng Server Certificates.

Kung lilipat kayo mula sa cPanel, Plesk o Linux server patungong IIS: hindi ninyo maaaring direktang i-import ang inyong kasalukuyang certificate sa IIS. Una, i-convert ang certificate sa .pfx (PKCS#12) na format gamit ang OpenSSL command o online na PEM→PFX converter, pagkatapos ay gamitin ang Server Certificates → Import sa IIS. Ang OpenSSL command ay:

openssl pkcs12 -export -out sertipiko.pfx -inkey pribadong-key.key -in sertipiko.crt -certfile cabundle.crt

Hakbang 5 — Pagpili ng Certificate File at Paglalagay ng Friendly Name

Magbubukas ang window na "Specify Certificate Authority Response". Punan ang tatlong field tulad ng sumusunod:

Field Ano ang Ilalagay
File name (.cer) Piliin ang inyong .crt file sa pamamagitan ng button na "…". Tinatanggap ng IIS ang parehong .crt at .cer na extension.
Friendly name Isang maikling label na malalaman ninyo — hal. halimbawa.com.ph-2025. Pipiliin ninyo muli ang pangalang ito sa Hakbang 6.
Certificate store Piliin ang "Personal". Kung hindi lumabas ang certificate pagkatapos, subukan ang "Web Hosting".

Paano Mag-install ng SSL Certificate sa IIS

I-click ang "OK" pagkatapos mapunan ang lahat ng field. Ang certificate ay na-upload na sa server. Hindi pa ito naglilingkod ng HTTPS traffic — mangyayari iyon sa susunod na hakbang.

Hakbang 6 — Paglikha ng HTTPS Binding sa Port 443

Naka-install na ang certificate, ngunit hindi pa alam ng IIS kung aling website ang gagamit nito. Kailangan ninyong lumikha ng Binding na nagkokonekta sa port 443 sa inyong website at certificate.

I-right click ang inyong website sa kaliwang panel at i-click ang "Edit Bindings…". Sa window ng Site Bindings i-click ang "Add".

Paano Mag-install ng SSL Certificate sa IIS

Field Halaga / Paglalarawan
Type https
IP Address All Unassigned — o ang partikular na IP na itinalaga sa inyong server kung naaangkop
Port 443
Hostname Ilagay ang domain name nang eksakto tulad ng pagpapakita nito sa certificate (hal. www.halimbawa.com.ph)
SNI Lagyan ng tsek ang "Require Server Name Indication" kung maraming site ang nagbabahagi ng IP address na ito
SSL Certificate Piliin ang Friendly Name na inilagay ninyo sa Hakbang 5

Paano Mag-install ng SSL Certificate sa IIS

I-click ang "OK" upang i-save. Ang inyong website ay naa-access na ngayon sa pamamagitan ng HTTPS.

Ano ang SNI at Kailan Ito Dapat I-enable?

Ang SNI (Server Name Indication) ay isang TLS extension na nagpapahintulot sa isang IP address na maglingkod ng maraming SSL certificate — isang certificate para sa bawat hostname. Nang walang SNI, ang IIS ay makapaglilingkod lamang ng isang certificate bawat IP address anuman ang hostname.

I-enable ang SNI sa mga sumusunod na sitwasyon: (a) nag-ho-host kayo ng maraming HTTPS site sa iisang server IP, o (b) ang inyong server ay nasa likod ng shared load balancer. Ang IIS 7.5 at mas lumang mga bersyon ay hindi sumusuporta sa SNI — kailangan ng hiwalay na IP para sa bawat domain. Ang IIS 8 at mas bagong mga bersyon ay sumusuporta sa SNI nang natural.

Hakbang 7 — Pag-redirect mula sa HTTP patungong HTTPS

Ang pagdaragdag ng HTTPS Binding ay hindi awtomatikong nire-redirect ang http:// traffic. Nang walang redirect, ang ilang mga bisita — at mga bot ng search engine — ay patuloy na maa-access ang hindi naka-encrypt na bersyon ng inyong site.

Pag-redirect gamit ang IIS URL Rewrite Module (Inirerekomenda)

  1. I-download at i-install ang URL Rewrite module mula sa Microsoft (libre, sa pamamagitan ng Web Platform Installer o direktang pag-download).
  2. Piliin ang inyong site sa IIS Manager at i-double click ang "URL Rewrite".
  3. Piliin ang "Add Rule(s)" → "Blank Rule". Pangalanan ang rule na "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Magdagdag ng kondisyon: {HTTPS} ay tumutugma sa pattern na "^OFF$".
  6. Aksyon: Mag-redirect patungong https://{HTTP_HOST}/{R:0}, Uri ng redirect: Permanente (301).

Bakit ito mahalaga para sa SEO at tiwala ng user: Ginagamit ng Google ang HTTPS bilang ranking signal mula pa noong 2014. Higit pa rito, tinutukoy ng Chrome at Edge ang bawat HTTP page bilang 'Hindi Ligtas' — nagpapababa ito ng tiwala ng user at nagpapataas ng bounce rate; parehong mga indirect na negatibong salik sa SEO. Ang 301 redirect ay naglilipat din ng link equity mula sa mga HTTP URL patungong HTTPS na bersyon.

Hakbang 8 — Pag-verify ng SSL Installation

Huwag ipagpalagay na gumagana ang lahat — i-verify. Isagawa ang tatlong pagsusuring ito bago ituring na kumpleto ang pag-install:

  • Icon ng lock sa browser: Buksan ang https://www.halimbawa.com.ph sa Chrome o Edge. Ang icon ng lock sa address bar ay nagpapatunay na aktibo ang HTTPS.
  • SSL Checker: Gumamit ng online na SSL checker tool upang i-verify ang certificate chain, petsa ng pag-expire at nagbigay.
  • SSL Labs test: Pumunta sa ssllabs.com/ssltest at ilagay ang inyong domain name. Layunin ang rating na A o A+ — ang mas mababang rating ay karaniwang nagpapahiwatig ng isang configuration problem na kailangang ayusin.

✅ Walang icon ng lock? Ang pinaka-karaniwang dahilan ay hindi kumpletong certificate chain — ang intermediate certificate (CA Bundle) ay hindi naka-install. I-install ito sa IIS certificate store sa pamamagitan ng certlm.msc gamit ang MMC, pagkatapos ay i-restart ang IIS.