วิธีติดตั้ง SSL Certificate บน IIS
ในการติดตั้ง SSL Certificate บน IIS ให้เปิด IIS Manager ไปที่ Server Certificates และอัปโหลดไฟล์ .crt ผ่านตัวเลือก Complete Certificate Request จากนั้นคลิกขวาที่เว็บไซต์ของคุณ เลือก Edit Bindings > Add และสร้าง HTTPS Binding บนพอร์ต 443 ตั้งแต่การสร้าง CSR จนถึงการยืนยันการติดตั้ง กระบวนการทั้งหมดใช้เวลาประมาณ 15 นาทีในสภาพแวดล้อม Windows Server ส่วนใหญ่ คู่มือนี้อธิบายทุกขั้นตอนพร้อมภาพหน้าจอ และครอบคลุมข้อผิดพลาดที่พบบ่อยรวมถึงการตั้งค่าเปลี่ยนเส้นทางจาก HTTP เป็น HTTPS อย่างครบถ้วน
ต้องการขาย SSL Certificate ให้ลูกค้าของคุณหรือไม่?
ด้วยโปรแกรมตัวแทนจำหน่าย SSL ของ Domain Name API คุณสามารถเสนอ Certificate แบบ DV, OV, EV และ Wildcard ผ่าน API เดียว
สิ่งที่ต้องเตรียมก่อนติดตั้ง SSL บน IIS
ก่อนเปิด IIS Manager ตรวจสอบให้แน่ใจว่ามีทุกสิ่งต่อไปนี้พร้อมแล้ว หากขาดสิ่งใดสิ่งหนึ่ง คุณอาจติดขัดกลางคันในกระบวนการติดตั้ง
| ข้อกำหนด | คำอธิบาย |
|---|---|
| การเข้าถึง IIS Manager | Internet Information Services Manager ต้องติดตั้งและทำงานอยู่บน Windows Server |
| สิทธิ์ผู้ดูแลระบบ | คุณต้องมีสิทธิ์ Local Administrator หรือ Domain Administrator บนเซิร์ฟเวอร์เพื่อติดตั้ง Certificate บัญชีผู้ใช้ทั่วไปไม่สามารถติดตั้ง Certificate ได้ |
| CSR (Certificate Signing Request) | สร้างในขั้นตอนที่ 2 ผ่าน IIS Manager CSR ยังสร้าง Private Key ด้วย — ทั้งสองอย่างต้องอยู่บนเซิร์ฟเวอร์เดียวกัน |
| ไฟล์ SSL Certificate (.crt) | ออกโดย CA (Certificate Authority) หลังจากการยืนยันโดเมนเสร็จสิ้น |
| CA Bundle / Intermediate Certificate | ให้มาพร้อมกับ Certificate โดย CA จำเป็นสำหรับ Trust Chain ที่สมบูรณ์ — อย่าข้ามขั้นตอนนี้ |
| Private Key | สร้างขึ้นโดยอัตโนมัติเมื่อสร้าง CSR ใน IIS เก็บไว้บนเซิร์ฟเวอร์และไม่สามารถดาวน์โหลดเป็นไฟล์แยกต่างหากได้ |
⚠️ หากคุณสร้าง CSR บนเซิร์ฟเวอร์อื่น คุณจะไม่สามารถใช้วิธี Complete Certificate Request ได้ ให้ส่งออกไฟล์ .pfx (Certificate + Private Key รวมกัน) จากเซิร์ฟเวอร์ต้นทางและใช้ตัวเลือก 'Import' ใน IIS แทน
ขั้นตอนที่ 1 — เลือก SSL Certificate ที่เหมาะสม
SSL Certificate ไม่ใช่โซลูชันเดียวที่เหมาะกับทุกสถานการณ์ ประเภทที่คุณต้องการขึ้นอยู่กับจำนวนโดเมนที่ต้องการรักษาความปลอดภัยและระดับการยืนยันตัวตนที่ผู้ใช้ของคุณคาดหวัง
| ประเภท | สิ่งที่ตรวจสอบ | เหมาะสำหรับ | ตัวอย่าง |
|---|---|---|---|
| DV SSL | ตรวจสอบความเป็นเจ้าของโดเมนเท่านั้น | บล็อก เว็บไซต์ส่วนตัว ธุรกิจขนาดเล็ก | www.example.co.th |
| OV SSL | โดเมน + ตัวตนขององค์กร | เว็บไซต์องค์กร แพลตฟอร์ม SaaS | เว็บไซต์บริษัทอย่างเป็นทางการ |
| EV SSL | การตรวจสอบบริษัทแบบขยาย | อีคอมเมิร์ซ การเงิน — ระดับความน่าเชื่อถือสูงสุด | checkout.example.co.th |
| Wildcard SSL | โดเมน + ซับโดเมนระดับแรกทั้งหมด | ผู้ให้บริการโฮสติ้ง โครงสร้างที่มีซับโดเมนจำนวนมาก | *.example.co.th |
สำหรับผู้ให้บริการโฮสติ้งและตัวแทนจำหน่ายโดเมน Wildcard SSL มักเป็นตัวเลือกที่ใช้งานได้จริงมากที่สุด — Certificate ใบเดียวครอบคลุมซับโดเมนทั้งหมดโดยไม่ต้องต่ออายุแยกต่างหาก
คุณกำลังขาย SSL ให้ลูกค้าอยู่หรือเปล่า?
โปรแกรมตัวแทนจำหน่าย SSL ของ Domain Name API ให้คุณเข้าถึง Certificate แบบ DV, OV, EV และ Wildcard ในราคาที่แข่งขันได้สำหรับตัวแทนจำหน่าย
ขั้นตอนที่ 2 — เปิด IIS Manager
บน Windows Server กด Win + R พิมพ์ inetmgr แล้วกด Enter หรือจะค้นหา "IIS" ในเมนู Start และเลือก Internet Information Services (IIS) Manager ก็ได้

ℹ️ หาไม่เจอ IIS Manager? ให้ทำตามเส้นทางนี้: Server Manager → เพิ่ม Roles และ Features → Web Server (IIS) สำหรับ Windows เวอร์ชันเดสก์ท็อป: Control Panel → Programs → เปิดหรือปิด Windows Features → Internet Information Services
ขั้นตอนที่ 3 — เปิด Server Certificates
ในแผงด้านซ้ายของ IIS Manager คลิกที่ชื่อเซิร์ฟเวอร์ของคุณ ในแผงกลางหลักให้ค้นหาไอคอน "Server Certificates" และดับเบิลคลิกที่ไอคอนนั้น

ขั้นตอนที่ 4 — สร้าง CSR และอัปโหลดไฟล์ Certificate
หากยังไม่ได้สร้าง CSR ให้ดำเนินการขั้นตอนนี้ก่อนอัปโหลดไฟล์ Certificate
วิธีสร้าง CSR
- คลิก "Create Certificate Request…" ในแผง Actions
- กรอกข้อมูลในช่อง Distinguished Name — Common Name ต้องตรงกับชื่อโดเมนที่ต้องการรักษาความปลอดภัยทุกประการ
- ตั้งค่าความยาวคีย์เป็น 2048 (ขั้นต่ำ) หรือ 4096 สำหรับการเข้ารหัสที่แข็งแกร่งยิ่งขึ้น
- บันทึกไฟล์ .txt — คุณจะต้องวางเนื้อหาลงในแบบฟอร์มคำขอของ CA
กลับมาที่ขั้นตอนนี้หลังจาก CA ออก Certificate แล้ว
ติดตั้ง Certificate — Complete Certificate Request
คลิก "Complete Certificate Request…" ในแผง Actions เพื่อเปิด Installation Wizard

⚠️ คุณสร้าง CSR บนเซิร์ฟเวอร์อื่นหรือเปล่า? ในกรณีนั้น Complete Certificate Request จะไม่ทำงาน ให้ส่งออกไฟล์ .pfx (PKCS#12) — รวม Private Key — จากเซิร์ฟเวอร์ต้นทาง และใช้ตัวเลือก 'Import' ในแผง Actions ภายใต้ Server Certificates
หากคุณกำลังย้ายจาก cPanel, Plesk หรือ Linux Server มาที่ IIS: คุณไม่สามารถนำเข้า Certificate ที่มีอยู่โดยตรงไปยัง IIS ได้ ให้แปลง Certificate เป็นรูปแบบ .pfx (PKCS#12) ก่อนโดยใช้คำสั่ง OpenSSL หรือตัวแปลง PEM→PFX ออนไลน์ จากนั้นใช้ Server Certificates → Import ใน IIS คำสั่ง OpenSSL คือ:
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile cabundle.crt
ขั้นตอนที่ 5 — เลือกไฟล์ Certificate และกรอก Friendly Name
หน้าต่าง "Specify Certificate Authority Response" จะเปิดขึ้น กรอกข้อมูลในสามช่องดังนี้:
| ช่อง | สิ่งที่ต้องกรอก |
|---|---|
| File name (.cer) | เลือกไฟล์ .crt ของคุณผ่านปุ่ม "…" IIS ยอมรับทั้งนามสกุล .crt และ .cer |
| Friendly name | ชื่อสั้นๆ ที่จำได้ง่าย — เช่น example.co.th-2025 คุณจะเลือกชื่อนี้อีกครั้งในขั้นตอนที่ 6 |
| Certificate store | เลือก "Personal" หาก Certificate ไม่แสดงขึ้นมาในภายหลัง ให้ลอง "Web Hosting" |

คลิก "OK" หลังกรอกข้อมูลครบทุกช่อง ขณะนี้ Certificate ถูกอัปโหลดไปยังเซิร์ฟเวอร์แล้ว แต่ยังไม่ได้ให้บริการ HTTPS Traffic — จะดำเนินการในขั้นตอนถัดไป
ขั้นตอนที่ 6 — สร้าง HTTPS Binding บนพอร์ต 443
Certificate ติดตั้งแล้ว แต่ IIS ยังไม่รู้ว่าเว็บไซต์ใดควรใช้งาน คุณต้องสร้าง Binding ที่เชื่อมต่อพอร์ต 443 กับเว็บไซต์และ Certificate ของคุณ
คลิกขวาที่เว็บไซต์ของคุณในแผงด้านซ้าย แล้วคลิก "Edit Bindings…" ในหน้าต่าง Site Bindings คลิก "Add"

| ช่อง | ค่า / คำอธิบาย |
|---|---|
| Type | https |
| IP Address | All Unassigned — หรือ IP เฉพาะที่กำหนดให้เซิร์ฟเวอร์ของคุณหากมี |
| Port | 443 |
| Hostname | ใส่ชื่อโดเมนตามที่ปรากฏใน Certificate (เช่น www.example.co.th) |
| SNI | ติ๊ก "Require Server Name Indication" หากหลายเว็บไซต์ใช้ IP Address นี้ร่วมกัน |
| SSL Certificate | เลือก Friendly Name ที่กรอกไว้ในขั้นตอนที่ 5 |

คลิก "OK" เพื่อบันทึก ขณะนี้เว็บไซต์ของคุณสามารถเข้าถึงได้ผ่าน HTTPS แล้ว
SNI คืออะไรและควรเปิดใช้งานเมื่อไหร่?
SNI (Server Name Indication) คือส่วนขยาย TLS ที่ช่วยให้ IP Address เดียวสามารถให้บริการ SSL Certificate หลายใบได้ — Certificate หนึ่งใบต่อหนึ่ง Hostname หากไม่มี SNI IIS จะให้บริการได้เพียง Certificate เดียวต่อ IP Address โดยไม่คำนึงถึง Hostname
เปิดใช้งาน SNI ในกรณีต่อไปนี้: (ก) คุณโฮสต์หลายเว็บไซต์ HTTPS บน IP เซิร์ฟเวอร์เดียว หรือ (ข) เซิร์ฟเวอร์ของคุณอยู่หลัง Load Balancer แบบใช้ร่วมกัน IIS 7.5 และรุ่นเก่ากว่าไม่รองรับ SNI — ต้องการ IP แยกต่างหากสำหรับแต่ละโดเมน IIS 8 และรุ่นใหม่กว่ารองรับ SNI แบบ Native
ขั้นตอนที่ 7 — การเปลี่ยนเส้นทางจาก HTTP เป็น HTTPS
การเพิ่ม HTTPS Binding ไม่ได้เปลี่ยนเส้นทาง http:// Traffic โดยอัตโนมัติ หากไม่มีการเปลี่ยนเส้นทาง ผู้เข้าชมบางส่วน — และ Bot ของ Search Engine — จะยังคงเข้าถึงเวอร์ชันที่ไม่ได้เข้ารหัสของไซต์คุณ
การเปลี่ยนเส้นทางด้วยโมดูล URL Rewrite ของ IIS (แนะนำ)
- ดาวน์โหลดและติดตั้งโมดูล URL Rewrite จาก Microsoft (ฟรี ผ่าน Web Platform Installer หรือดาวน์โหลดโดยตรง)
- เลือกไซต์ของคุณใน IIS Manager และดับเบิลคลิก "URL Rewrite"
- เลือก "Add Rule(s)" → "Blank Rule" ตั้งชื่อ Rule ว่า "HTTP to HTTPS"
- Match URL: Pattern = .*
- เพิ่มเงื่อนไข: {HTTPS} ตรงกับ Pattern "^OFF$"
- Action: เปลี่ยนเส้นทางไปยัง https://{HTTP_HOST}/{R:0} ประเภทการเปลี่ยนเส้นทาง: Permanent (301)
เหตุใดจึงสำคัญสำหรับ SEO และความน่าเชื่อถือของผู้ใช้: Google ใช้ HTTPS เป็นสัญญาณการจัดอันดับมาตั้งแต่ปี 2557 โดยเฉพาะอย่างยิ่ง Chrome และ Edge จะทำเครื่องหมายทุกหน้า HTTP ว่า 'ไม่ปลอดภัย' — ซึ่งทำให้ความน่าเชื่อถือของผู้ใช้ลดลงและเพิ่มอัตราการออกจากหน้า ทั้งสองอย่างเป็นปัจจัยลบทางอ้อมต่อ SEO การเปลี่ยนเส้นทาง 301 ยังส่งต่อ Link Equity จาก URL แบบ HTTP ไปยังเวอร์ชัน HTTPS ด้วย
ขั้นตอนที่ 8 — ยืนยันการติดตั้ง SSL
อย่าเพิ่งสันนิษฐานว่าทุกอย่างทำงานได้ถูกต้อง — ให้ตรวจสอบยืนยัน ทำการตรวจสอบทั้งสามนี้ก่อนที่จะถือว่าการติดตั้งเสร็จสมบูรณ์:
- ไอคอนแม่กุญแจในเบราว์เซอร์: เปิด https://www.example.co.th ใน Chrome หรือ Edge ไอคอนแม่กุญแจในแถบที่อยู่ยืนยันว่า HTTPS ทำงานอยู่
- SSL Checker: ใช้เครื่องมือตรวจสอบ SSL ออนไลน์เพื่อยืนยัน Certificate Chain วันหมดอายุ และผู้ออก Certificate
- การทดสอบด้วย SSL Labs: ไปที่ ssllabs.com/ssltest และกรอกชื่อโดเมนของคุณ มุ่งเป้าที่เกรด A หรือ A+ — เกรดที่ต่ำกว่านี้มักบ่งชี้ว่ามีปัญหาการกำหนดค่าที่ต้องแก้ไข
✅ ไม่มีไอคอนแม่กุญแจ? สาเหตุที่พบบ่อยที่สุดคือ Certificate Chain ที่ไม่สมบูรณ์ — Intermediate Certificate (CA Bundle) ไม่ได้ถูกติดตั้ง ให้ติดตั้งลงใน IIS Certificate Store ผ่าน certlm.msc โดยใช้ MMC จากนั้นรีสตาร์ท IIS
