Contact
Line : comsiam
SSL Certificate เป็นองค์ประกอบสำคัญของเว็บไซต์และ Web Application บน IIS (Internet Information Services) เพราะช่วยเข้ารหัสข้อมูลระหว่างผู้ใช้งานและเซิร์ฟเวอร์ผ่าน HTTPS
เมื่อเกิด SSL Certificate Error ผู้ใช้งานอาจเข้าเว็บไซต์ไม่ได้, Browser แจ้งเตือนความปลอดภัย หรือระบบ API ต่าง ๆ ไม่สามารถเชื่อมต่อได้ ส่งผลกระทบต่อความน่าเชื่อถือและการใช้งานของระบบทันที
บทความนี้จะช่วยให้คุณวิเคราะห์และแก้ไข SSL Certificate Error บน IIS ของ Windows Server 2025 อย่างเป็นขั้นตอนแบบช่าง IT
① อาการที่พบบ่อย
อาการที่พบได้ เช่น
- เว็บเปิดผ่าน HTTP ได้ แต่ HTTPS ไม่ได้
- Browser แจ้ง Not Secure
- Browser แจ้ง Certificate Error
- API เชื่อมต่อไม่ได้
- SSL Handshake Failed
- HTTPS Redirect แล้ว Error
ข้อความ Error ที่พบบ่อย เช่น
NET::ERR_CERT_COMMON_NAME_INVALID
NET::ERR_CERT_DATE_INVALID
Your connection is not private
② ตรวจสอบวันหมดอายุของ Certificate
เปิด
certlm.msc
ไปที่
Personal
Certificates
ตรวจสอบ
- Valid From
- Valid To
Certificate ที่หมดอายุจะทำให้ HTTPS ใช้งานไม่ได้ทันที
③ ตรวจสอบว่ามี Private Key หรือไม่
Certificate ที่ใช้งานกับ IIS
ต้องมี
Private Key
สังเกตจากสัญลักษณ์กุญแจใน Certificate
หากไม่มี Private Key
IIS จะไม่สามารถใช้ Certificate ได้
④ ตรวจสอบ IIS Binding
เปิด
IIS Manager
เลือกเว็บไซต์
Bindings
ตรวจสอบ
https
ว่าเชื่อมกับ Certificate ที่ถูกต้องหรือไม่
หลายครั้ง Certificate ถูกต่ออายุแล้ว
แต่ Binding ยังชี้ไปยัง Certificate เก่า
⑤ ตรวจสอบ Hostname
ตัวอย่าง
Certificate ออกให้
www.company.com
แต่ผู้ใช้เข้า
portal.company.com
จะเกิด
Common Name Invalid
ทันที
ชื่อใน Certificate ต้องตรงกับ URL ที่ใช้งาน
⑥ ตรวจสอบ Certificate Chain
เปิด Certificate
แท็บ
Certification Path
ตรวจสอบว่า
- Root CA
- Intermediate CA
- Server Certificate
ครบถ้วนหรือไม่
Chain ที่ไม่สมบูรณ์เป็นสาเหตุยอดนิยมของ SSL Error
⑦ ตรวจสอบ Trusted Root CA
โดยเฉพาะกรณีใช้
Internal CA
หรือ
Private CA
ต้องตรวจสอบว่า
Client Trust Root CA แล้ว
หากไม่ Trust
Browser จะขึ้น Security Warning
⑧ ตรวจสอบ Port 443
ตรวจสอบว่า IIS กำลัง Listen
Port
443
ด้วยคำสั่ง
netstat -ano
หาก Port 443 ถูกใช้งานโดยโปรแกรมอื่น
HTTPS จะไม่ทำงาน
⑨ ตรวจสอบ Firewall
ตรวจสอบว่า Firewall อนุญาต
TCP 443
ทั้ง
- Windows Firewall
- Network Firewall
⑩ ตรวจสอบ TLS Version
Windows Server 2025 รองรับ
- TLS 1.2
- TLS 1.3
หาก Client เก่าใช้ TLS รุ่นเก่า
อาจเชื่อมต่อไม่ได้
ควรตรวจสอบ Compatibility
⑪ ตรวจสอบด้วย Browser Developer Tools
เปิด Browser
F12
Network
Security
ดูรายละเอียด
- Certificate
- Chain
- Protocol
- TLS Error
ช่วยระบุสาเหตุได้แม่นยำมาก
⑫ ตรวจสอบ Event Viewer
เปิด
Event Viewer
System
ค้นหา
Schannel
Event
- 36870
- 36871
- 36874
- 36888
มักเกี่ยวข้องกับ SSL/TLS โดยตรง
⑬ ทดสอบจากภายนอก
ทดสอบจาก
- เครื่องอื่น
- Network อื่น
- Internet ภายนอก
เพื่อแยกปัญหา
- DNS
- Firewall
- Certificate
ออกจากกัน
⑭ วิธีป้องกัน SSL Certificate Error
แนวทางที่แนะนำ
- ต่ออายุ Certificate ล่วงหน้า 30–60 วัน
- ตรวจสอบ Binding หลังต่ออายุทุกครั้ง
- ตรวจสอบ Certificate Chain
- ใช้ Monitoring System
- ตรวจสอบ Event Viewer เป็นประจำ
- บันทึกวันหมดอายุของ Certificate ทุกใบ
ทีมงาน comsiam มักแนะนำให้มีระบบแจ้งเตือนวันหมดอายุของ Certificate อัตโนมัติ เพราะปัญหาส่วนใหญ่เกิดจากการลืมต่ออายุ ไม่ใช่ปัญหาทางเทคนิคที่ซับซ้อน
⑮ สรุป
SSL Certificate Error บน IIS ของ Windows Server 2025 มักเกิดจาก Certificate หมดอายุ, Binding ผิด, Hostname ไม่ตรง, Chain ไม่สมบูรณ์ หรือปัญหา TLS การตรวจสอบ Certificate Store, IIS Binding และ Event Viewer จะช่วยให้หาสาเหตุได้อย่างรวดเร็ว
สำหรับองค์กรที่ให้บริการเว็บไซต์หรือ API comsiam แนะนำให้จัดทำระบบบริหารจัดการ Certificate อย่างเป็นทางการ เพื่อป้องกัน Downtime และปัญหาด้านความปลอดภัยในระยะยาว
คำถามชวนคิด
หาก Certificate หลักของเว็บไซต์องค์กรหมดอายุในคืนนี้ คุณมีระบบแจ้งเตือนล่วงหน้าหรือยัง หรือจะทราบอีกครั้งเมื่อผู้ใช้งานเริ่มโทรมาแจ้งว่าเข้าเว็บไซต์ไม่ได้?
