วิธีสร้างโค้ด CSR ด้วย IIS
ในการเปิดใช้งานใบรับรอง SSL คุณต้องสร้าง CSR (Certificate Signing Request — คำขอลงนามใบรับรอง) บนเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของคุณก่อน CSR คือบล็อกข้อความเข้ารหัสที่ประกอบด้วยชื่อโดเมน ข้อมูลองค์กร และกุญแจสาธารณะของเซิร์ฟเวอร์ ผู้ให้บริการใบรับรองจะใช้ข้อมูลนี้ในการออกใบรับรอง SSL เฉพาะสำหรับโดเมนของคุณ คู่มือนี้จะอธิบายกระบวนการสร้าง CSR โดยใช้ IIS (Internet Information Services) บน Windows Server ทีละขั้นตอน ขั้นตอนเหล่านี้เหมือนกันในทุกเวอร์ชันของ IIS

⚠️ สำคัญ: โค้ด CSR จะต้องสร้างบนเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของคุณเท่านั้น CSR ที่สร้างบนเซิร์ฟเวอร์อื่นจะทำให้เกิดข้อผิดพลาดความไม่ตรงกันของกุญแจในระหว่างการติดตั้งใบรับรอง
การสร้าง CSR ด้วย IIS: ขั้นตอนด่วน
- เปิด IIS Manager
คลิกปุ่มเริ่มหรือแถบค้นหา พิมพ์ "IIS" หรือ "inetmgr" แล้วคลิก Internet Information Services (IIS) Manager - ไปที่ Server Certificates
คลิกชื่อเซิร์ฟเวอร์ในแผงด้านซ้าย จากนั้นดับเบิลคลิกไอคอน "Server Certificates" - คลิก Create Certificate Request
คลิก "Create Certificate Request..." ในแผง Actions ด้านขวา - กรอกข้อมูล Distinguished Name
กรอกชื่อโดเมน บริษัท เมือง จังหวัด และประเทศ ห้ามใช้อักขระพิเศษ - ตั้งค่าผู้ให้บริการเข้ารหัส
ปล่อยให้ผู้ให้บริการเป็นค่าเริ่มต้น ตั้งค่าความยาวบิต (Bit length) เป็น 2048 หรือสูงกว่า แล้วคลิก Next - เลือกตำแหน่งบันทึก
คลิกปุ่ม "..." เลือกเดสก์ท็อป แล้วคลิก Finish - ดูโค้ด CSR
เปิดไฟล์ .txt ที่บันทึกไว้ด้วย Notepad - ตรวจสอบโค้ด CSR
วางโค้ดในเครื่องมือ CSR decoder และตรวจสอบความถูกต้องของข้อมูล
ขั้นตอนที่ 1 — เปิด IIS Manager
คลิกปุ่มเริ่มของ Windows หรือแถบค้นหา พิมพ์ "IIS" หรือ "inetmgr" คลิก Internet Information Services (IIS) Manager ในผลลัพธ์
ขั้นตอนที่ 2 — เปิดส่วน Server Certificates
คลิกชื่อเซิร์ฟเวอร์ของคุณในแผงด้านซ้ายของ IIS Manager ดับเบิลคลิกไอคอน "Server Certificates" ในแผงหลักตรงกลาง
ขั้นตอนที่ 3 — คลิก Create Certificate Request
คลิก "Create Certificate Request..." ในแผง Actions ด้านขวาของหน้าจอ วิซาร์ด CSR จะเปิดขึ้น
ขั้นตอนที่ 4 — กรอกข้อมูล Distinguished Name
หน้าต่าง "Distinguished Name Properties" จะเปิดขึ้น กรอกแต่ละช่องด้วยความระมัดระวัง:
| ช่อง | ตัวอย่าง | คำอธิบาย |
|---|---|---|
| Common Name (CN) | example.com | ชื่อโดเมนแบบเต็ม — สำหรับ Wildcard ใช้ *.example.com |
| Organization (O) | บริษัท ตัวอย่าง จำกัด | ชื่อทางการที่จดทะเบียนของบริษัท |
| Org. Unit (OU) | IT | ชื่อแผนก (IT, เว็บ, การตลาด เป็นต้น) |
| City / Locality (L) | Bangkok | ชื่อเมืองแบบเต็ม — ห้ามใช้คำย่อ |
| State / Province (S) | Bangkok | ชื่อจังหวัดหรือภูมิภาคแบบเต็ม |
| Country (C) | TH | รหัสประเทศ ISO 2 ตัวอักษร |
⚠️ ห้ามกรอกอักขระพิเศษ (เครื่องหมายเน้นเสียง จุลภาค อัญประกาศ) ในช่องใดๆ อักขระเหล่านี้อาจทำให้ผู้ให้บริการใบรับรองปฏิเสธ CSR ของคุณ
หลังจากกรอกข้อมูลครบทุกช่องแล้ว คลิก "Next"
ขั้นตอนที่ 5 — ตั้งค่าผู้ให้บริการเข้ารหัสและความยาวบิต
ปล่อยให้ช่อง "Cryptographic service provider" เป็นค่าเริ่มต้น: Microsoft RSA SChannel Cryptographic Provider ห้ามเปลี่ยนช่องนี้
ช่อง "Bit length" อาจแสดงค่าเริ่มต้นเป็น 1024 โปรดเพิ่มเป็น 2048 หรือสูงกว่า ซึ่งเป็นความยาวกุญแจขั้นต่ำที่ผู้ให้บริการใบรับรองสมัยใหม่ยอมรับ จากนั้นคลิก "Next"
ขั้นตอนที่ 6 — เลือกตำแหน่งบันทึก
คลิกปุ่ม "..." (เรียกดู) เพื่อเลือกตำแหน่งบันทึกไฟล์ CSR แนะนำให้ใช้เดสก์ท็อป (Desktop) เพื่อให้เข้าถึงได้ง่าย หลังจากกำหนดเส้นทางแล้ว คลิก "Finish"
ขั้นตอนที่ 7 — ดูโค้ด CSR
ไปที่ตำแหน่งบันทึกที่เลือกและเปิดไฟล์ .txt ด้วย Notepad โค้ด CSR ของคุณจะมีลักษณะดังนี้:
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----
ℹ️ เมื่อคัดลอกโค้ด ต้องรวมบรรทัด -----BEGIN CERTIFICATE REQUEST----- และ -----END CERTIFICATE REQUEST----- ด้วยเสมอ CSR ที่คัดลอกไม่ครบจะทำให้เกิดข้อผิดพลาดในระหว่างการเปิดใช้งาน
ขั้นตอนที่ 8 — ตรวจสอบโค้ด CSR
ตรวจสอบความถูกต้องของโค้ด CSR ก่อนส่งเพื่อเปิดใช้งาน SSL วางโค้ดทั้งหมดลงในเครื่องมือ CSR decoder และยืนยันว่าข้อมูลที่กรอกแสดงอย่างถูกต้อง หากช่องใดดูไม่ถูกต้อง คุณสามารถสร้าง CSR ใหม่บนเซิร์ฟเวอร์เดิมได้ กระบวนการเหมือนกันทุกประการ
✅ โค้ด CSR ของคุณพร้อมแล้ว คัดลอกโค้ดทั้งหมด (รวมถึงเครื่องหมายยัติภังค์) และส่งเมื่อเปิดใช้งานใบรับรอง SSL ของคุณ
ข้อผิดพลาดที่พบบ่อย

| ข้อผิดพลาด | ผลที่ตามมา | วิธีแก้ไข |
|---|---|---|
| กรอกอักขระพิเศษในช่อง | CSR ถูกปฏิเสธโดยผู้ให้บริการใบรับรอง | ใช้เฉพาะอักขระ ASCII มาตรฐานในทุกช่อง DN |
| ปล่อยความยาวบิตเป็น 1024 | CA สมัยใหม่ปฏิเสธกุญแจที่ต่ำกว่า 2048 บิต | เพิ่มเป็น 2048 หรือ 4096 ก่อนคลิก Next |
| สร้าง CSR บนเซิร์ฟเวอร์ผิด | กุญแจส่วนตัวไม่ตรงกันในระหว่างการติดตั้ง | สร้าง CSR บนเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์เสมอ |
| คัดลอก CSR ไม่ครบถ้วน | การเปิดใช้งานล้มเหลวทันที | คัดลอกโค้ดทั้งหมดรวมถึงบรรทัด BEGIN และ END |
รายการตรวจสอบการตรวจสอบความถูกต้อง
- ไฟล์ CSR ถูกบันทึกไว้ในตำแหน่งที่เข้าถึงได้
- คัดลอกโค้ด CSR ทั้งหมดแล้ว (รวมบรรทัด BEGIN และ END)
- ตรวจสอบด้วย CSR decoder แล้ว — โดเมน องค์กร และประเทศแสดงอย่างถูกต้อง
- ความยาวบิตถูกตั้งค่าเป็น 2048 หรือสูงกว่า
- ไม่มีการใช้อักขระพิเศษในช่อง DN ใดๆ
แนวทางปฏิบัติที่ดีที่สุด

- ใช้ความยาวกุญแจ 2048 บิตหรือ 4096 บิตเสมอ — 1024 บิตไม่ได้รับการยอมรับอีกต่อไป
- เก็บไฟล์ CSR และกุญแจส่วนตัวไว้ในตำแหน่งที่ปลอดภัย
- กรอกชื่อโดเมนแบบเต็มในช่อง Common Name — ห้ามเพิ่มโปรโตคอลหรือเครื่องหมายทับ
- สำหรับใบรับรอง Wildcard ให้กรอก Common Name ในรูปแบบ *.example.com
- ตรวจสอบ CSR ด้วยเครื่องมือ decoder ก่อนส่งเพื่อเปิดใช้งาน — ขั้นตอนนี้ช่วยป้องกันการสูญเสียเวลา
ขั้นตอนถัดไป
เมื่อโค้ด CSR พร้อมแล้ว:
- ส่งโค้ด CSR ในระหว่างการเปิดใช้งาน SSL ผ่าน Domain Name API
- หลังจากออกใบรับรองแล้ว ให้ทำการติดตั้งให้เสร็จสมบูรณ์ด้วยตัวเลือก "Complete Certificate Request" ใน IIS
- ตรวจสอบการติดตั้งด้วยไอคอนแม่กุญแจในเบราว์เซอร์และเครื่องมือ SSL checker
คำถามที่พบบ่อย (FAQ)
โค้ด CSR คืออะไร?
CSR (Certificate Signing Request — คำขอลงนามใบรับรอง) คือบล็อกข้อความเข้ารหัสที่สร้างบนเซิร์ฟเวอร์ของคุณ ประกอบด้วยชื่อโดเมน ข้อมูลองค์กร และกุญแจสาธารณะของเซิร์ฟเวอร์ ผู้ให้บริการใบรับรองจะใช้ข้อมูลนี้ในการออกใบรับรอง SSL เฉพาะสำหรับโดเมนของคุณ
ทำไม CSR ต้องสร้างบนเซิร์ฟเวอร์เดิม?
เมื่อสร้าง CSR จะมีการสร้างกุญแจสองดอก: กุญแจสาธารณะ (รวมอยู่ใน CSR) และกุญแจส่วนตัว (เก็บบนเซิร์ฟเวอร์) กุญแจทั้งสองดอกนี้ต้องสอดคล้องกัน หากสร้าง CSR บนเซิร์ฟเวอร์อื่น จะไม่พบกุญแจส่วนตัวในระหว่างการติดตั้งใบรับรองและการติดตั้งจะล้มเหลว
กรอก Common Name สำหรับใบรับรอง SSL แบบ Wildcard อย่างไร?
สำหรับใบรับรอง SSL แบบ Wildcard ให้พิมพ์ *.example.com ในช่อง Common Name ซึ่งครอบคลุมโดเมนหลักและโดเมนย่อยระดับแรกทั้งหมด (www, mail, shop เป็นต้น)
ควรทำอะไรหลังจากสร้าง CSR แล้ว?
คัดลอกโค้ด CSR ทั้งหมด (รวมถึงเครื่องหมายยัติภังค์) ตรวจสอบด้วยเครื่องมือ CSR decoder และส่งในระหว่างการเปิดใช้งาน SSL หลังจากออกใบรับรองแล้ว ให้ทำตามคู่มือการติดตั้ง SSL ของ IIS เพื่อทำการติดตั้งให้เสร็จสมบูรณ์
CSR decoder คืออะไร?
CSR decoder คือเครื่องมือฟรีที่อ่านโค้ด CSR ที่เข้ารหัสและแสดงเนื้อหาในรูปแบบที่เข้าใจได้ ช่วยให้คุณตรวจสอบข้อมูลต่างๆ เช่น ชื่อโดเมน องค์กร ประเทศ และความยาวกุญแจ ก่อนเปิดใช้งานใบรับรอง
จะทำอย่างไรหากโค้ด CSR มีข้อผิดพลาด?
สร้าง CSR ใหม่บนเซิร์ฟเวอร์เดิมโดยทำตามขั้นตอนเดิม ไม่มีข้อจำกัดเรื่องจำนวนครั้งที่สร้าง CSR ได้ ดำเนินการเปิดใช้งานต่อโดยใช้โค้ด CSR ที่สร้างใหม่
คู่มือนี้ครอบคลุม IIS เวอร์ชันใดบ้าง?
ขั้นตอนในคู่มือนี้ทำงานได้เหมือนกันใน IIS 5.x, 6.x, 7.x, 8.x, 10 และ Windows Server เวอร์ชันต่อๆ มาทั้งหมด อินเทอร์เฟซของ IIS Manager มีความสม่ำเสมอในทุกเวอร์ชันเกี่ยวกับการสร้าง CSR
ฉันสามารถใช้ CSR เดิมสำหรับใบรับรอง SSL หลายรายการได้ไหม?
ไม่ได้ แนะนำให้สร้าง CSR ใหม่สำหรับการเปิดใช้งานใบรับรอง SSL แต่ละครั้ง การนำ CSR จากใบรับรองเก่ามาใช้ซ้ำอาจทำให้เกิดปัญหากับกุญแจส่วนตัว
สรุป
การสร้าง CSR ใน IIS ใช้เวลาเพียงไม่กี่นาที เปิด IIS Manager ไปที่ Server Certificates สร้างคำขอใบรับรองใหม่ กรอกข้อมูลโดเมน ตั้งค่าความยาวบิตเป็น 2048 หรือสูงกว่า และบันทึกไฟล์ ตรวจสอบด้วยเครื่องมือ CSR decoder ก่อนส่ง
กฎที่สำคัญที่สุด: สร้าง CSR บนเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ของคุณเสมอ CSR ที่สร้างบนเครื่องอื่นจะทำให้เกิดความไม่ตรงกันของกุญแจส่วนตัวในระหว่างการติดตั้งใบรับรอง
✅ เมื่อ CSR พร้อมแล้ว ให้ตรวจสอบด้วยเครื่องมือ decoder และส่งเพื่อเปิดใช้งาน SSL
สำรวจตัวเลือกใบรับรอง SSL
Domain Name API มีใบรับรอง SSL แบบ DV, OV, EV และ Wildcard ตัวเลือกที่เหมาะสมสำหรับโดเมนเดียว โดเมนย่อยหลายรายการ หรือโครงสร้างพื้นฐานองค์กรพร้อมให้บริการเสมอ
