اپنی سائٹ پر SSL/TLS سرٹیفکیٹ انسٹال کرنے اور تمام ٹریفک کو HTTPS پر منتقل کرنے کے لیے ایک عملی، مرحلہ وار رہنمائی۔
SKYLINE Engineering @skyline
شائع شدہ Jun 8, 2026 | پڑھنے کا وقت 6 منٹ
ایک SSL/TLS سرٹیفکیٹ آپ کے زائرین کے براؤزرز اور آپ کے سرور کے درمیان رابطے کو خفیہ (encrypt) کرتا ہے، اور http:// کو https:// میں تبدیل کر دیتا ہے۔ یہ لاگ اِن کی تفصیلات، ادائیگی کے ڈیٹا اور فارم جمع کرانے کے عمل کی حفاظت کرتا ہے، اور کسی بھی جدید سائٹ کے لیے ایک بنیادی توقع ہے — براؤزرز سادہ HTTP صفحات کو "غیر محفوظ" (Not secure) قرار دیتے ہیں، اور سرچ انجن HTTPS کو رینکنگ سگنل کے طور پر شمار کرتے ہیں۔
یہ ٹیوٹوریل سرٹیفکیٹ انسٹال کرنے کے تین عام طریقے بیان کرتا ہے — cPanel AutoSSL، Nginx پر Let's Encrypt، اور Apache پر Let's Encrypt — پھر ہر درخواست کو HTTPS پر منتقل کرنے اور HSTS فعال کرنے کا طریقہ۔ یہ مراحل کسی بھی معیار کے مطابق ہوسٹ پر کام کرتے ہیں، بشمول Skyline Cloud ہوسٹنگ۔
شروع کرنے سے پہلے
درج ذیل باتوں کو یقینی بنائیں:
- DNS آپ کے سرور کی طرف ریزولو ہوتا ہو۔ آپ کے ڈومین کا A (اور اگر آپ IPv6 استعمال کرتے ہیں تو AAAA) ریکارڈ سرور کے عوامی IP کی طرف اشارہ کرنا چاہیے۔ سرٹیفکیٹ اتھارٹیز پورٹ 80/443 پر ڈومین کنٹرول کی تصدیق کرتی ہیں، اس لیے یہ پہلے سے فعال ہونا ضروری ہے۔
- پورٹ 80 اور 443 کھلے ہوں آپ کے فائر وال اور سیکیورٹی گروپ میں۔
- آپ کے پاس شیل یا پینل تک رسائی ہو۔ cPanel استعمال کرنے والوں کو کنٹرول پینل درکار ہے؛ VPS اور ڈیڈیکیٹڈ صارفین کو
sudoکے ساتھ SSH درکار ہے۔
آپ یہ معلوم کر سکتے ہیں کہ آپ کا ڈومین کہاں ریزولو ہوتا ہے، اس کمانڈ سے:
dig +short A example.sa
سرٹیفکیٹ کی قسم کا انتخاب
| قسم | تصدیق | بہترین استعمال کے لیے |
|---|---|---|
| Domain Validated (DV) | صرف ڈومین کنٹرول | بلاگز، چھوٹے کاروبار، زیادہ تر سائٹس |
| Organization Validated (OV) | کاروباری شناخت کی جانچ | کارپوریٹ سائٹس |
| Extended Validation (EV) | مکمل قانونی جانچ پڑتال | بینک، بڑی ای-کامرس |
| Wildcard | *.example.sa کا احاطہ کرتا ہے |
بہت سے سب ڈومینز |
زیادہ تر سائٹس کے لیے Let's Encrypt کا مفت DV سرٹیفکیٹ کافی ہے۔ اگر آپ کو OV/EV یا یقینی سپورٹ کے ساتھ wildcard درکار ہو، تو Skyline آپ کے ہوسٹنگ پلان کے حصے کے طور پر منظم (managed) سرٹیفکیٹ جاری کرتا ہے۔
آپشن 1 — AutoSSL کے ساتھ cPanel (سب سے آسان)
اگر آپ کی سائٹ شیئرڈ یا منظم cPanel ہوسٹنگ پر چلتی ہے، تو AutoSSL سب کچھ خودکار طریقے سے سنبھال لیتا ہے۔
- cPanel میں لاگ اِن کریں۔
- Security کے تحت، SSL/TLS Status کھولیں۔
- ان ڈومینز پر نشان لگائیں جن کا آپ احاطہ کرنا چاہتے ہیں اور Run AutoSSL پر کلک کریں۔
- چند منٹوں کے اندر تالا (padlock) سبز ہو جائے گا اور ایک مفت DV سرٹیفکیٹ انسٹال ہو کر خودکار تجدید (auto-renew) پر سیٹ ہو جائے گا۔
کسی اور جگہ سے خریدا گیا سرٹیفکیٹ انسٹال کرنے کے لیے، SSL/TLS → Manage SSL sites پر جائیں، سرٹیفکیٹ (CRT)، نجی کلید (KEY)، اور CA bundle پیسٹ کریں، پھر Install Certificate پر کلک کریں۔
آپشن 2 — Nginx پر Let's Encrypt (VPS / کلاؤڈ سرور)
کلاؤڈ سرور یا VPS پر، Certbot استعمال کریں۔ Ubuntu/Debian پر:
sudo apt update
sudo apt install certbot python3-certbot-nginx -y
سرٹیفکیٹ کو ایک ہی کمانڈ میں جاری اور خودکار طور پر کنفیگر کریں:
sudo certbot --nginx -d example.sa -d www.example.sa
Certbot ڈومین کی تصدیق کرتا ہے، سرٹیفکیٹ حاصل کرتا ہے، آپ کے سرور بلاک میں ترمیم کرتا ہے، اور HTTPS ری ڈائریکٹ سیٹ اپ کرنے کی پیشکش کرتا ہے۔ جب پوچھا جائے تو HTTPS کو خودکار طور پر لازمی بنانے کے لیے 2: Redirect منتخب کریں۔
اگر آپ اسے دستی طور پر ترتیب دینا پسند کریں، تو آپ کے سرور بلاک کو جاری کردہ فائلوں کا حوالہ دینا چاہیے:
server {
listen 443 ssl;
server_name example.sa www.example.sa;
ssl_certificate /etc/letsencrypt/live/example.sa/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.sa/privkey.pem;
# Modern TLS only
ssl_protocols TLSv1.2 TLSv1.3;
root /var/www/example.sa;
index index.html index.php;
}
ٹیسٹ کریں اور دوبارہ لوڈ کریں:
sudo nginx -t && sudo systemctl reload nginx
آپشن 3 — Apache پر Let's Encrypt
Apache پلگ اِن انسٹال کریں:
sudo apt install certbot python3-certbot-apache -y
sudo certbot --apache -d example.sa -d www.example.sa
Certbot ایک SSL ورچوئل ہوسٹ بناتا ہے اور، جب آپ ری ڈائریکٹ منتخب کرتے ہیں، تو آپ کے لیے HTTPS قاعدہ شامل کر دیتا ہے۔ تیار کردہ <VirtualHost *:443> بلاک /etc/letsencrypt/live/ کے تحت SSLCertificateFile اور SSLCertificateKeyFile کا حوالہ دیتا ہے۔
HTTPS کو لازمی بنانا
سرٹیفکیٹ انسٹال کرنے سے زائرین غیر محفوظ http:// ورژن تک پہنچنے سے نہیں رکتے۔ آپ کو تمام HTTP ٹریفک کو مستقل (301) ری ڈائریکٹ کے ساتھ HTTPS پر منتقل کرنا ہوگا۔
Nginx — ایک مخصوص پورٹ-80 بلاک شامل کریں:
server {
listen 80;
server_name example.sa www.example.sa;
return 301 https://$host$request_uri;
}
Apache — اپنی .htaccess یا ورچوئل ہوسٹ میں:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
cPanel — Domains → Force HTTPS Redirect کے تحت، ہر ڈومین کے لیے سوئچ آن کر دیں۔
HSTS فعال کریں
HTTP Strict Transport Security براؤزرز کو بتاتا ہے کہ صرف HTTPS پر ہی رابطہ کریں، جس سے مختصر غیر محفوظ پہلی درخواست ختم ہو جاتی ہے اور downgrade حملوں سے تحفظ ملتا ہے۔ یہ ہیڈر اس وقت شامل کریں جب آپ کا ری ڈائریکٹ درست کام کرنے کی تصدیق ہو جائے۔
Nginx (443 سرور بلاک کے اندر):
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Apache:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
ٹیسٹنگ کے دوران ایک چھوٹے max-age سے شروع کریں، پھر اسے بڑھائیں۔ includeSubDomains صرف اس وقت شامل کریں جب ہر سب ڈومین HTTPS پر سرو کرے۔
ہر چیز کے کام کرنے کی تصدیق کریں
http://example.saپر جائیں — اسےhttps://پر ری ڈائریکٹ ہونا چاہیے۔- براؤزر میں تالے (padlock) اور درست سرٹیفکیٹ کی تصدیق کریں۔
- ٹرمینل سے ری ڈائریکٹ اور ہیڈرز کی جانچ کریں:
curl -sI http://example.sa | grep -i location
curl -sI https://example.sa | grep -i strict-transport
- ایک بیرونی اسکین چلائیں (جیسے SSL Labs) تاکہ A گریڈ، درست chain، اور mixed content نہ ہونے کی تصدیق ہو سکے۔
اگر صفحات اب بھی "غیر محفوظ" (Not secure) دکھاتے ہیں، تو mixed content تلاش کریں — وہ اثاثے (تصاویر، اسکرپٹس، CSS) جو http:// کے ساتھ ہارڈ کوڈ کیے گئے ہوں۔ انہیں https:// یا protocol-relative URLs پر اپڈیٹ کریں۔
تجدید (Renewal)
Let's Encrypt سرٹیفکیٹ 90 دن تک قائم رہتے ہیں۔ Certbot خود بخود ایک systemd timer یا cron job انسٹال کرتا ہے؛ اس کی تصدیق کریں:
sudo certbot renew --dry-run
cPanel AutoSSL اور Skyline کے منظم سرٹیفکیٹ خود ہی تجدید ہو جاتے ہیں، اس لیے اس کا حساب رکھنے کی کوئی ضرورت نہیں۔
ڈیٹا رہائش (Data residency) سے متعلق نوٹ
اگر آپ کے سامعین سعودی عرب یا GCC میں ہیں، تو مملکت کے اندر (in-Kingdom) ہوسٹنگ اور TLS ختم کرنا ٹریفک اور سرٹیفکیٹ کلیدوں کو ایسے بنیادی ڈھانچے پر رکھتا ہے جو PDPL، NCA، اور SDAIA کی ضروریات سے ہم آہنگ ہو — اور اگر کسی چیز پر توجہ درکار ہو تو مقامی عربی سپورٹ کے ساتھ۔ یہی ماڈل Skyline کے کلاؤڈ اور کاروباری ای میل ہوسٹنگ کے پیچھے ہے۔ سرٹیفکیٹ کی اقسام، chains، اور مسائل حل کرنے کے بارے میں مزید کے لیے، ہمارا SSL سرٹیفکیٹ ریسورس ہب دیکھیں۔
شروع کریں
SSL شامل اور مملکت کے اندر ڈیٹا رہائش کے ساتھ ایک کلاؤڈ سرور، ویب ہوسٹنگ، یا منظم WordPress پلان قائم کریں۔ Skyline Cloud پر اپنا اکاؤنٹ بنائیں اور آج ہی اپنی سائٹ کو محفوظ بنائیں۔
Comments
0 total · 0 threads