วิธีแก้ SSL Certificate Error IIS บน Windows Server 2025

SSL Certificate เป็นองค์ประกอบสำคัญของเว็บไซต์และ Web Application บน IIS (Internet Information Services) เพราะช่วยเข้ารหัสข้อมูลระหว่างผู้ใช้งานและเซิร์ฟเวอร์ผ่าน HTTPS

เมื่อเกิด SSL Certificate Error ผู้ใช้งานอาจเข้าเว็บไซต์ไม่ได้, Browser แจ้งเตือนความปลอดภัย หรือระบบ API ต่าง ๆ ไม่สามารถเชื่อมต่อได้ ส่งผลกระทบต่อความน่าเชื่อถือและการใช้งานของระบบทันที

บทความนี้จะช่วยให้คุณวิเคราะห์และแก้ไข SSL Certificate Error บน IIS ของ Windows Server 2025 อย่างเป็นขั้นตอนแบบช่าง IT

① อาการที่พบบ่อย

อาการที่พบได้ เช่น

• เว็บเปิดผ่าน HTTP ได้ แต่ HTTPS ไม่ได้
• Browser แจ้ง Not Secure
• Browser แจ้ง Certificate Error
• API เชื่อมต่อไม่ได้
• SSL Handshake Failed
• HTTPS Redirect แล้ว Error

ข้อความ Error ที่พบบ่อย เช่น

NET::ERR_CERT_COMMON_NAME_INVALID

NET::ERR_CERT_DATE_INVALID

Your connection is not private

② ตรวจสอบวันหมดอายุของ Certificate

เปิด

certlm.msc

ไปที่

Personal

Certificates

ตรวจสอบ

• Valid From
• Valid To

Certificate ที่หมดอายุจะทำให้ HTTPS ใช้งานไม่ได้ทันที

③ ตรวจสอบว่ามี Private Key หรือไม่

Certificate ที่ใช้งานกับ IIS

ต้องมี

Private Key

สังเกตจากสัญลักษณ์กุญแจใน Certificate

หากไม่มี Private Key

IIS จะไม่สามารถใช้ Certificate ได้

④ ตรวจสอบ IIS Binding

เปิด

IIS Manager

เลือกเว็บไซต์

Bindings

ตรวจสอบ

https

ว่าเชื่อมกับ Certificate ที่ถูกต้องหรือไม่

หลายครั้ง Certificate ถูกต่ออายุแล้ว

แต่ Binding ยังชี้ไปยัง Certificate เก่า

⑤ ตรวจสอบ Hostname

ตัวอย่าง

Certificate ออกให้

www.company.com

แต่ผู้ใช้เข้า

portal.company.com

จะเกิด

Common Name Invalid

ทันที

ชื่อใน Certificate ต้องตรงกับ URL ที่ใช้งาน

⑥ ตรวจสอบ Certificate Chain

เปิด Certificate

แท็บ

Certification Path

ตรวจสอบว่า

• Root CA
• Intermediate CA
• Server Certificate

ครบถ้วนหรือไม่

Chain ที่ไม่สมบูรณ์เป็นสาเหตุยอดนิยมของ SSL Error

⑦ ตรวจสอบ Trusted Root CA

โดยเฉพาะกรณีใช้

Internal CA

หรือ

Private CA

ต้องตรวจสอบว่า

Client Trust Root CA แล้ว

หากไม่ Trust

Browser จะขึ้น Security Warning

⑧ ตรวจสอบ Port 443

ตรวจสอบว่า IIS กำลัง Listen

Port

443

ด้วยคำสั่ง

netstat -ano

หาก Port 443 ถูกใช้งานโดยโปรแกรมอื่น

HTTPS จะไม่ทำงาน

⑨ ตรวจสอบ Firewall

ตรวจสอบว่า Firewall อนุญาต

TCP 443

ทั้ง

• Windows Firewall
• Network Firewall

⑩ ตรวจสอบ TLS Version

Windows Server 2025 รองรับ

• TLS 1.2
• TLS 1.3

หาก Client เก่าใช้ TLS รุ่นเก่า

อาจเชื่อมต่อไม่ได้

ควรตรวจสอบ Compatibility

⑪ ตรวจสอบด้วย Browser Developer Tools

เปิด Browser

F12

Network

Security

ดูรายละเอียด

• Certificate
• Chain
• Protocol
• TLS Error

ช่วยระบุสาเหตุได้แม่นยำมาก

⑫ ตรวจสอบ Event Viewer

เปิด

Event Viewer

System

ค้นหา

Schannel

Event

• 36870
• 36871
• 36874
• 36888

มักเกี่ยวข้องกับ SSL/TLS โดยตรง

⑬ ทดสอบจากภายนอก

ทดสอบจาก

• เครื่องอื่น
• Network อื่น
• Internet ภายนอก

เพื่อแยกปัญหา

• DNS
• Firewall
• Certificate

ออกจากกัน

⑭ วิธีป้องกัน SSL Certificate Error

แนวทางที่แนะนำ

• ต่ออายุ Certificate ล่วงหน้า 30–60 วัน
• ตรวจสอบ Binding หลังต่ออายุทุกครั้ง
• ตรวจสอบ Certificate Chain
• ใช้ Monitoring System
• ตรวจสอบ Event Viewer เป็นประจำ
• บันทึกวันหมดอายุของ Certificate ทุกใบ

ทีมงาน comsiam มักแนะนำให้มีระบบแจ้งเตือนวันหมดอายุของ Certificate อัตโนมัติ เพราะปัญหาส่วนใหญ่เกิดจากการลืมต่ออายุ ไม่ใช่ปัญหาทางเทคนิคที่ซับซ้อน

⑮ สรุป

SSL Certificate Error บน IIS ของ Windows Server 2025 มักเกิดจาก Certificate หมดอายุ, Binding ผิด, Hostname ไม่ตรง, Chain ไม่สมบูรณ์ หรือปัญหา TLS การตรวจสอบ Certificate Store, IIS Binding และ Event Viewer จะช่วยให้หาสาเหตุได้อย่างรวดเร็ว

สำหรับองค์กรที่ให้บริการเว็บไซต์หรือ API comsiam แนะนำให้จัดทำระบบบริหารจัดการ Certificate อย่างเป็นทางการ เพื่อป้องกัน Downtime และปัญหาด้านความปลอดภัยในระยะยาว

คำถามชวนคิด

หาก Certificate หลักของเว็บไซต์องค์กรหมดอายุในคืนนี้ คุณมีระบบแจ้งเตือนล่วงหน้าหรือยัง หรือจะทราบอีกครั้งเมื่อผู้ใช้งานเริ่มโทรมาแจ้งว่าเข้าเว็บไซต์ไม่ได้?