IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

IIS پر SSL سرٹیفکیٹ انسٹال کرنے کے لیے IIS Manager کھولیں، Server Certificates میں جائیں اور Complete Certificate Request آپشن کے ذریعے اپنی .crt فائل اپ لوڈ کریں۔ پھر اپنی ویب سائٹ پر رائٹ کلک کریں، Edit Bindings > Add منتخب کریں اور پورٹ 443 پر HTTPS Binding بنائیں۔ CSR بنانے سے لے کر انسٹالیشن کی تصدیق تک، زیادہ تر Windows Server ماحول میں پوری عمل تقریباً 15 منٹ لیتی ہے۔ یہ گائیڈ ہر قدم کو اسکرین شاٹس کے ساتھ سمجھاتی ہے اور سب سے عام غلطیوں اور HTTP سے HTTPS ری ڈائریکٹ کنفیگریشن کو بھی مکمل طور پر احاطہ کرتی ہے۔

کیا آپ اپنے گاہکوں کو SSL سرٹیفکیٹ بیچنا چاہتے ہیں؟

Domain Name API کے SSL ری سیلر پروگرام کے ذریعے آپ ایک API سے DV، OV، EV اور Wildcard سرٹیفکیٹ پیش کر سکتے ہیں۔

SSL ری سیلر حل دیکھیں ←

IIS پر SSL انسٹال کرنے سے پہلے کیا تیار کرنا ہے

IIS Manager کھولنے سے پہلے یقینی بنائیں کہ درج ذیل تمام چیزیں تیار ہیں۔ اگر ان میں سے کوئی چیز غائب ہو تو آپ انسٹالیشن کے عمل کے درمیان پھنس سکتے ہیں۔

ضرورت تفصیل
IIS Manager تک رسائی Internet Information Services Manager Windows Server پر انسٹال اور چلتا ہونا چاہیے۔
ایڈمنسٹریٹر کے حقوق سرٹیفکیٹ انسٹال کرنے کے لیے سرور پر لوکل ایڈمنسٹریٹر یا ڈومین ایڈمنسٹریٹر کے حقوق درکار ہیں۔ عام یوزر اکاؤنٹس سرٹیفکیٹ انسٹال نہیں کر سکتے۔
CSR (سرٹیفکیٹ سائننگ ریکویسٹ) مرحلہ 2 میں IIS Manager کے ذریعے بنایا جاتا ہے۔ CSR پرائیویٹ کی بھی بناتا ہے — دونوں ایک ہی سرور پر رہنے چاہئیں۔
SSL سرٹیفکیٹ فائل (.crt) ڈومین کی تصدیق مکمل ہونے کے بعد CA (سرٹیفکیشن اتھارٹی) کی طرف سے جاری کی جاتی ہے۔
CA Bundle / انٹرمیڈیٹ سرٹیفکیٹ CA کی طرف سے سرٹیفکیٹ کے ساتھ فراہم کیا جاتا ہے۔ مکمل ٹرسٹ چین کے لیے لازمی ہے — اسے نظرانداز نہ کریں۔
پرائیویٹ کی IIS میں CSR بناتے وقت خود بخود تیار ہوتی ہے۔ سرور پر رہتی ہے اور الگ فائل کے طور پر ڈاؤن لوڈ نہیں کی جا سکتی۔

⚠️ اگر آپ نے CSR کسی اور سرور پر بنائی ہے تو Complete Certificate Request طریقہ استعمال نہیں کر سکتے۔ اس کے بجائے اصل سرور سے .pfx فائل (سرٹیفکیٹ + پرائیویٹ کی ایک ساتھ) ایکسپورٹ کریں اور IIS میں 'Import' آپشن استعمال کریں۔

مرحلہ 1 — مناسب SSL سرٹیفکیٹ کا انتخاب

SSL سرٹیفکیٹ سب کے لیے ایک جیسا حل نہیں ہے۔ آپ کو جس قسم کی ضرورت ہے وہ اس بات پر منحصر ہے کہ آپ کتنے ڈومین محفوظ کرنا چاہتے ہیں اور آپ کے صارفین کتنی شناخت کی تصدیق کی توقع رکھتے ہیں۔

قسم کیا تصدیق ہوتی ہے کس کے لیے موزوں مثال
DV SSL صرف ڈومین ملکیت بلاگ، ذاتی ویب سائٹ، چھوٹا کاروبار www.misaal.pk
OV SSL ڈومین + تنظیم کی شناخت کارپوریٹ ویب سائٹس، SaaS پلیٹ فارم کمپنی کی سرکاری ویب سائٹ
EV SSL کمپنی کی توسیع شدہ تصدیق ای کامرس، مالیات — سب سے اعلیٰ اعتماد کی سطح checkout.misaal.pk
Wildcard SSL ڈومین + تمام پہلی سطح کے سب ڈومین ہوسٹنگ فراہم کنندہ، بہت سے سب ڈومین والے ڈھانچے *.misaal.pk

ہوسٹنگ فراہم کنندگان اور ڈومین ری سیلرز کے لیے Wildcard SSL عام طور پر سب سے عملی انتخاب ہے — ایک سرٹیفکیٹ تمام سب ڈومین کو کور کرتا ہے اور ہر ایک کو الگ الگ تجدید کرنے کی ضرورت نہیں۔

کیا آپ اپنے گاہکوں کو SSL بیچ رہے ہیں؟

Domain Name API کا SSL ری سیلر پروگرام آپ کو مسابقتی ری سیلر قیمتوں پر DV، OV، EV اور Wildcard سرٹیفکیٹ تک رسائی دیتا ہے۔

SSL ری سیلر قیمتیں دیکھیں ←

مرحلہ 2 — IIS Manager کھولنا

Windows Server پر Win + R دبائیں، inetmgr ٹائپ کریں اور Enter دبائیں۔ یا Start مینو میں "IIS" تلاش کریں اور Internet Information Services (IIS) Manager منتخب کریں۔

IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

ℹ️ IIS Manager نہیں مل رہا؟ یہ راستہ اپنائیں: Server Manager ← کردار اور خصوصیات شامل کریں ← Web Server (IIS)۔ Windows ڈیسک ٹاپ ورژن پر: کنٹرول پینل ← پروگرام ← Windows کی خصوصیات آن یا آف کریں ← Internet Information Services۔

مرحلہ 3 — Server Certificates کھولنا

IIS Manager کے بائیں پینل میں اپنے سرور کے نام پر کلک کریں۔ درمیانی مرکزی پینل میں "Server Certificates" آئیکن تلاش کریں اور اس پر ڈبل کلک کریں۔

IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

مرحلہ 4 — CSR بنانا اور سرٹیفکیٹ فائل اپ لوڈ کرنا

اگر آپ نے ابھی تک CSR نہیں بنائی تو سرٹیفکیٹ فائل اپ لوڈ کرنے سے پہلے یہ مرحلہ مکمل کریں۔

CSR کیسے بنائیں

  1. Actions پینل میں "Create Certificate Request…" پر کلک کریں۔
  2. Distinguished Name فیلڈز بھریں — Common Name اس ڈومین نام سے بالکل ملنی چاہیے جسے آپ محفوظ کر رہے ہیں۔
  3. کی کی لمبائی 2048 (کم از کم) یا مضبوط انکرپشن کے لیے 4096 پر سیٹ کریں۔
  4. .txt فائل محفوظ کریں — آپ کو اس کا مواد CA کے آرڈر فارم میں چسپاں کرنا ہوگا۔

CA کے سرٹیفکیٹ جاری کرنے کے بعد اس مرحلے پر واپس آئیں۔

سرٹیفکیٹ انسٹال کرنا — Complete Certificate Request

انسٹالیشن وزرڈ کھولنے کے لیے Actions پینل میں "Complete Certificate Request…" پر کلک کریں۔

IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

⚠️ کیا آپ نے CSR کسی اور سرور پر بنائی تھی؟ اس صورت میں Complete Certificate Request کام نہیں کرے گی۔ اصل سرور سے .pfx فائل (PKCS#12) — پرائیویٹ کی سمیت — ایکسپورٹ کریں اور Server Certificates کے تحت Actions پینل میں 'Import' آپشن استعمال کریں۔

اگر آپ cPanel، Plesk یا Linux سرور سے IIS پر منتقل ہو رہے ہیں: آپ اپنا موجودہ سرٹیفکیٹ براہ راست IIS میں درآمد نہیں کر سکتے۔ پہلے OpenSSL کمانڈ یا آن لائن PEM→PFX کنورٹر استعمال کر کے سرٹیفکیٹ کو .pfx (PKCS#12) فارمیٹ میں تبدیل کریں، پھر IIS میں Server Certificates → Import استعمال کریں۔ OpenSSL کمانڈ یہ ہے:

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile cabundle.crt

مرحلہ 5 — سرٹیفکیٹ فائل منتخب کرنا اور Friendly Name درج کرنا

"Specify Certificate Authority Response" ونڈو کھلے گی۔ تین فیلڈز اس طرح بھریں:

فیلڈ کیا درج کرنا ہے
File name (.cer) "…" بٹن کے ذریعے اپنی .crt فائل منتخب کریں۔ IIS .crt اور .cer دونوں ایکسٹینشن قبول کرتا ہے۔
Friendly name ایک چھوٹا لیبل جو آپ پہچانیں — مثلاً misaal.pk-2025۔ آپ مرحلہ 6 میں یہ نام دوبارہ منتخب کریں گے۔
Certificate store "Personal" منتخب کریں۔ اگر سرٹیفکیٹ بعد میں نظر نہ آئے تو "Web Hosting" آزمائیں۔

IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

تمام فیلڈز بھرنے کے بعد "OK" پر کلک کریں۔ سرٹیفکیٹ اب سرور پر اپ لوڈ ہو گیا ہے۔ یہ ابھی HTTPS ٹریفک فراہم نہیں کر رہا — یہ اگلے مرحلے میں ہوگا۔

مرحلہ 6 — پورٹ 443 پر HTTPS Binding بنانا

سرٹیفکیٹ انسٹال ہو گیا ہے لیکن IIS کو ابھی معلوم نہیں کہ کون سی ویب سائٹ اسے استعمال کرے گی۔ آپ کو ایک Binding بنانی ہوگی جو پورٹ 443 کو آپ کی ویب سائٹ اور سرٹیفکیٹ سے جوڑے۔

بائیں پینل میں اپنی ویب سائٹ پر رائٹ کلک کریں اور "Edit Bindings…" پر کلک کریں۔ Site Bindings ونڈو میں "Add" پر کلک کریں۔

IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

فیلڈ قدر / تفصیل
Type https
IP Address All Unassigned — یا اگر قابل اطلاق ہو تو آپ کے سرور کو مختص مخصوص IP
Port 443
Hostname ڈومین نام بالکل ویسے درج کریں جیسے سرٹیفکیٹ میں ظاہر ہوتا ہے (مثلاً www.misaal.pk)
SNI اگر متعدد سائٹس یہ IP ایڈریس شیئر کرتی ہیں تو "Require Server Name Indication" چیک کریں
SSL Certificate مرحلہ 5 میں درج کیا گیا Friendly Name منتخب کریں

IIS پر SSL سرٹیفکیٹ کیسے انسٹال کریں

محفوظ کرنے کے لیے "OK" پر کلک کریں۔ آپ کی ویب سائٹ اب HTTPS کے ذریعے قابل رسائی ہے۔

SNI کیا ہے اور اسے کب فعال کرنا چاہیے؟

SNI (Server Name Indication) ایک TLS توسیع ہے جو ایک IP ایڈریس کو متعدد SSL سرٹیفکیٹ فراہم کرنے کی اجازت دیتی ہے — ہر hostname کے لیے ایک سرٹیفکیٹ۔ SNI کے بغیر، IIS hostname سے قطع نظر ہر IP ایڈریس کے لیے صرف ایک سرٹیفکیٹ فراہم کر سکتا ہے۔

درج ذیل حالات میں SNI فعال کریں: (الف) آپ ایک سرور IP پر متعدد HTTPS سائٹس ہوسٹ کر رہے ہیں، یا (ب) آپ کا سرور مشترکہ لوڈ بیلنسر کے پیچھے ہے۔ IIS 7.5 اور پرانے ورژن SNI کو سپورٹ نہیں کرتے — ہر ڈومین کے لیے الگ IP درکار ہے۔ IIS 8 اور نئے ورژن قدرتی طور پر SNI کو سپورٹ کرتے ہیں۔

مرحلہ 7 — HTTP سے HTTPS ری ڈائریکٹ

HTTPS Binding شامل کرنا http:// ٹریفک کو خودبخود ری ڈائریکٹ نہیں کرتا۔ ری ڈائریکٹ کے بغیر، کچھ زائرین — اور سرچ انجن بوٹس — آپ کی سائٹ کے غیر انکرپٹڈ ورژن تک رسائی جاری رکھیں گے۔

IIS URL Rewrite ماڈیول سے ری ڈائریکٹ (تجویز کردہ)

  1. Microsoft سے URL Rewrite ماڈیول ڈاؤن لوڈ اور انسٹال کریں (مفت، Web Platform Installer یا براہ راست ڈاؤن لوڈ کے ذریعے)۔
  2. IIS Manager میں اپنی سائٹ منتخب کریں اور "URL Rewrite" پر ڈبل کلک کریں۔
  3. "Add Rule(s)" ← "Blank Rule" منتخب کریں۔ قاعدے کو "HTTP to HTTPS" نام دیں۔
  4. Match URL: Pattern = .*
  5. شرط شامل کریں: {HTTPS} پیٹرن "^OFF$" سے مماثل ہے۔
  6. ایکشن: https://{HTTP_HOST}/{R:0} کی طرف ری ڈائریکٹ کریں، ری ڈائریکٹ کی قسم: مستقل (301)۔

یہ SEO اور صارف کے اعتماد کے لیے کیوں ضروری ہے: Google 2014 سے HTTPS کو رینکنگ سگنل کے طور پر استعمال کر رہا ہے۔ مزید مخصوص طور پر، Chrome اور Edge ہر HTTP صفحے کو 'غیر محفوظ' کے طور پر نشان زد کرتے ہیں — اس سے صارفین کا اعتماد کم ہوتا ہے اور باؤنس ریٹ بڑھتا ہے؛ دونوں بالواسطہ SEO منفی عوامل ہیں۔ 301 ری ڈائریکٹ HTTP URLs سے HTTPS ورژن میں لنک ایکویٹی بھی منتقل کرتا ہے۔

مرحلہ 8 — SSL انسٹالیشن کی تصدیق

یہ نہ مانیں کہ سب کچھ کام کر رہا ہے — تصدیق کریں۔ انسٹالیشن مکمل سمجھنے سے پہلے یہ تین جانچ کریں:

  • براؤزر میں تالے کا آئیکن: Chrome یا Edge میں https://www.misaal.pk کھولیں۔ ایڈریس بار میں تالے کا آئیکن تصدیق کرتا ہے کہ HTTPS فعال ہے۔
  • SSL Checker: سرٹیفکیٹ چین، میعاد ختم ہونے کی تاریخ اور جاری کنندہ کی تصدیق کے لیے آن لائن SSL چیک ٹول استعمال کریں۔
  • SSL Labs ٹیسٹ: ssllabs.com/ssltest پر جائیں اور اپنا ڈومین نام درج کریں۔ A یا A+ ریٹنگ کا ہدف رکھیں — کم ریٹنگ عام طور پر کنفیگریشن کے ایسے مسئلے کی نشاندہی کرتی ہے جسے درست کرنے کی ضرورت ہے۔

✅ تالے کا آئیکن نہیں؟ سب سے عام وجہ نامکمل سرٹیفکیٹ چین ہے — انٹرمیڈیٹ سرٹیفکیٹ (CA Bundle) انسٹال نہیں ہوا۔ MMC کے ذریعے certlm.msc استعمال کر کے IIS سرٹیفکیٹ اسٹور میں انسٹال کریں، پھر IIS دوبارہ شروع کریں۔