Hướng dẫn Cài đặt Chứng chỉ SSL

23/02/2025

Nội dung bài viết

Chứng chỉ SSL (Secure Socket Layer) là công nghệ giúp xác thực và mã hóa dữ liệu trao đổi giữa website và người dùng, đảm bảo tính bảo mật và an toàn thông tin. SSL cũng giúp xác minh rằng bạn đang kết nối với đúng dịch vụ mong muốn, tránh các trang web giả mạo. Nếu bạn đang vận hành một website hoặc dịch vụ yêu cầu kết nối an toàn, việc cài đặt chứng chỉ SSL là điều cần thiết để xây dựng lòng tin với người dùng. Hãy cùng khám phá cách thực hiện qua bài viết dưới đây.

Các bước thực hiện

Sử dụng Microsoft Internet Information Services (IIS)

Tạo yêu cầu ký chứng chỉ CSR (Certificate Signing Request). Trước khi mua và cài đặt chứng chỉ SSL, bạn cần tạo mã CSR trên máy chủ. Tệp này chứa thông tin khóa công khai và máy chủ, đồng thời là yếu tố cần thiết để tạo khóa riêng tư. Bạn có thể tạo mã CSR trong IIS 8 chỉ với vài bước đơn giản:

Mở Server Manager.
Nhấp vào Tools (Công cụ) và chọn Internet Information Services (IIS) Manager (Trình quản lý dịch vụ thông tin Internet).
Chọn máy trạm mà bạn đang cài đặt chứng chỉ trong danh sách Connections (Kết nối).
Mở công cụ Server Certificates (Chứng chỉ máy chủ).
Nhấp vào liên kết Create Certificate Request (Tạo yêu cầu chứng chỉ) ở góc trên bên phải, phía dưới danh sách Actions (Hành động).
Điền thông tin vào trình dẫn dắt Request Certificate. Bạn cần nhập mã quốc gia gồm hai chữ số, tiểu bang hoặc tỉnh, tên thành phố hoặc thị trấn, tên đầy đủ của công ty, tên ngành (ví dụ: IT hoặc Marketing), và địa chỉ website (thường gọi là tên miền).
Giữ nguyên trường “Cryptographic service provider” (Nhà cung cấp dịch vụ mã hóa) như mặc định.
Đặt “Bit length” (Độ dài bit) thành “2048”.
Đặt tên tập tin yêu cầu chứng chỉ. Tên tập tin không quan trọng, miễn là bạn có thể dễ dàng tìm lại được trong kho lưu trữ của mình.

Mua chứng chỉ SSL. Có nhiều nhà cung cấp dịch vụ trực tuyến cung cấp chứng chỉ SSL. Hãy lựa chọn một dịch vụ uy tín để đảm bảo an toàn cho website và khách hàng của bạn. Một số nhà cung cấp phổ biến bao gồm DigiCert, Symantec, GlobalSign, và nhiều dịch vụ khác. Tùy thuộc vào nhu cầu của bạn (chứng chỉ đơn lẻ, giải pháp doanh nghiệp, v.v.), hãy chọn dịch vụ phù hợp.

Bạn cần tải lên tập tin CSR lên dịch vụ chứng chỉ. Tập tin này sẽ được sử dụng để tạo chứng chỉ cho máy chủ của bạn. Một số nhà cung cấp yêu cầu tải lên tập tin, trong khi một số khác chỉ cần sao chép nội dung của tập tin CSR.

Tải xuống chứng chỉ. Chứng chỉ trung gian (Intermediate Certificate) cần được tải về từ nhà cung cấp dịch vụ mà bạn đã mua chứng chỉ. Chứng chỉ chính (Primary Certificate) sẽ được gửi đến bạn qua email hoặc qua khu vực khách hàng trên website.

Đổi tên chứng chỉ chính thành “têntrangweb.cer” để dễ quản lý.

Mở lại công cụ Server Certificates trong IIS. Tại đây, nhấp vào liên kết “Complete Certificate Request” (Hoàn tất yêu cầu chứng chỉ) nằm bên dưới liên kết “Create Certificate Request” mà bạn đã sử dụng để tạo CSR trước đó.

Tìm và chọn tập tin chứng chỉ. Sau khi xác định vị trí tập tin trên máy tính, hãy đặt một tên dễ nhận biết cho chứng chỉ để quản lý dễ dàng hơn trên máy chủ. Lưu chứng chỉ trong kho lưu trữ cá nhân “Personal”, sau đó nhấp OK để hoàn tất cài đặt.

Chứng chỉ sẽ xuất hiện trong danh sách. Nếu không thấy, hãy đảm bảo rằng bạn đang sử dụng cùng máy chủ đã tạo mã CSR trước đó.

Liên kết chứng chỉ với website. Sau khi chứng chỉ đã được cài đặt, hãy liên kết nó với website mà bạn muốn bảo vệ. Mở rộng thư mục “Sites” trong danh sách Connections và chọn website cần bảo mật.

Nhấp vào liên kết Bindings trong danh sách Actions.
Nhấp vào nút Add (Thêm) trong cửa sổ Site Bindings.
Chọn “https” từ trình đơn thả xuống “Type” (Loại), sau đó chọn chứng chỉ đã cài đặt từ trình đơn thả xuống “SSL certificate” (Chứng chỉ SSL).
Nhấp OK và chọn Close để hoàn tất.

Cài đặt chứng chỉ trung gian (Intermediate Certificate). Tìm chứng chỉ trung gian mà bạn đã tải về từ nhà cung cấp dịch vụ. Một số dịch vụ chỉ cung cấp một chứng chỉ, trong khi số khác cung cấp nhiều hơn. Hãy sao chép các chứng chỉ này vào một thư mục chuyên dụng trên máy chủ.

Sau khi sao chép, nhấp đúp vào chứng chỉ để mở cửa sổ Certificate Details (Chi tiết chứng chỉ).
Chuyển đến thẻ General (Chung) và nhấp vào nút “Install Certificate” (Cài đặt chứng chỉ) ở cuối cửa sổ.
Chọn “Place all certificates in the following store” (Đặt tất cả chứng chỉ vào kho lưu trữ sau) và duyệt đến kho lưu trữ cục bộ (Local store). Bạn có thể tìm kho lưu trữ cục bộ bằng cách tích vào ô “Show physical stores” (Hiển thị kho lưu trữ vật lý), sau đó chọn Intermediate Certificates và nhấp vào Local Computer (Máy tính cục bộ).

Khởi động lại IIS. Trước khi phân phối chứng chỉ, hãy khởi động lại máy chủ IIS. Để thực hiện, nhấp vào Start và chọn Run. Nhập lệnh “IISRESET” và nhấn Enter. Command Prompt sẽ hiển thị trạng thái khởi động lại của IIS.

Kiểm tra chứng chỉ. Sử dụng các trình duyệt web khác nhau để xác minh xem chứng chỉ đã hoạt động chính xác chưa. Kết nối với website của bạn bằng giao thức “https://” để kích hoạt kết nối SSL. Biểu tượng ổ khóa sẽ xuất hiện trong thanh địa chỉ, thường trên nền màu xanh lá, báo hiệu kết nối an toàn.

Sử dụng Apache

Tạo mã CSR. Trước khi mua và cài đặt chứng chỉ SSL, bạn cần tạo mã CSR trên máy chủ. Tệp này chứa thông tin khóa công khai và máy chủ, đồng thời là yếu tố cần thiết để tạo khóa riêng tư. Bạn có thể tạo mã CSR trực tiếp từ dòng lệnh Apache:

Khởi động tiện ích OpenSSL, thường nằm tại /usr/local/ssl/bin/.

Tạo cặp khóa bằng cách nhập lệnh sau:

openssl genrsa –des3 –out www.mydomain.com.key 2048

Tạo cụm mật khẩu. Bạn sẽ cần nhập cụm mật khẩu này mỗi khi tương tác với cặp khóa.
Bắt đầu quá trình tạo CSR. Nhập lệnh sau khi được yêu cầu tạo tệp CSR:
```
openssl req –new –key www.mydomain.com.key –out www.mydomain.com.csr
```
Điền thông tin được yêu cầu, bao gồm mã quốc gia hai chữ số, tiểu bang hoặc tỉnh, tên thành phố, tên công ty, tên ngành (ví dụ: IT hoặc Marketing), và địa chỉ website (tên miền).
Tạo tệp CSR. Sau khi nhập thông tin, khởi chạy lệnh sau để tạo tệp CSR trên máy chủ:
```
openssl req -noout -text -in www.mydomain.com.csr
```

Mua chứng chỉ SSL. Có nhiều nhà cung cấp dịch vụ trực tuyến cung cấp chứng chỉ SSL. Hãy lựa chọn một dịch vụ uy tín để đảm bảo an toàn cho website và khách hàng của bạn. Các nhà cung cấp phổ biến bao gồm DigiCert, Symantec, GlobalSign, và nhiều dịch vụ khác. Tùy thuộc vào nhu cầu của bạn (chứng chỉ đơn lẻ, giải pháp doanh nghiệp, v.v.), hãy chọn dịch vụ phù hợp.

Bạn cần tải lên tập tin CSR lên dịch vụ chứng chỉ. Tập tin này sẽ được sử dụng để tạo chứng chỉ cho máy chủ của bạn.

Tải xuống chứng chỉ. Chứng chỉ trung gian cần được tải về từ nhà cung cấp dịch vụ mà bạn đã mua chứng chỉ. Chứng chỉ chính sẽ được gửi đến bạn qua email hoặc qua khu vực khách hàng trên website. Khóa của bạn sẽ có định dạng tương tự như sau:

-----BEGIN CERTIFICATE----- [Encoded Certificate] -----END CERTIFICATE-----

Nếu chứng chỉ nằm trong tập tin văn bản, hãy đổi phần mở rộng tập tin thành .CRT trước khi tải lên.
Kiểm tra khóa đã tải. Đảm bảo có 5 dấu gạch nối “-” ở hai bên dòng BEGIN CERTIFICATE và END CERTIFICATE. Đồng thời, kiểm tra để chắc chắn rằng không có khoảng cách thừa hay ngắt dòng không cần thiết trong khóa.

Tải chứng chỉ lên máy chủ. Chứng chỉ cần được lưu trong thư mục chuyên dụng dành cho các tập tin khóa và chứng chỉ. Ví dụ: /usr/local/ssl/crt/. Tất cả chứng chỉ nên được lưu trữ trong cùng một thư mục để dễ quản lý.

Mở tập tin “httpd.conf” trong trình chỉnh sửa văn bản. Một số phiên bản Apache có tập tin “ssl.conf” dành riêng cho cấu hình SSL. Nếu có cả hai tập tin, bạn chỉ cần chỉnh sửa một trong số chúng. Hãy thêm các dòng sau vào phần máy chủ ảo Virtual Host:

SSLCertificateFile /usr/local/ssl/crt/primary.crt SSLCertificateKeyFile /usr/local/ssl/private/private.key SSLCertificateChainFile /usr/local/ssl/crt/intermediate.crt

Lưu lại các thay đổi sau khi hoàn thành. Nếu cần, hãy tải lại tập tin lên máy chủ.

Khởi động lại máy chủ. Sau khi thực hiện các thay đổi, bạn có thể bắt đầu sử dụng chứng chỉ SSL bằng cách khởi động lại máy chủ. Hầu hết các phiên bản Apache đều hỗ trợ khởi động lại bằng cách nhập lệnh sau:

apachectlp stop apachectl startssl

Kiểm tra chứng chỉ. Sử dụng nhiều trình duyệt web khác nhau để xác minh xem chứng chỉ đã hoạt động chính xác chưa. Kết nối với website của bạn bằng giao thức “https://” để kích hoạt kết nối SSL. Biểu tượng ổ khóa sẽ xuất hiện trong thanh địa chỉ, thường trên nền màu xanh lá, báo hiệu kết nối an toàn.

Sử dụng Exchange

Tạo mã CSR. Trước khi mua và cài đặt chứng chỉ SSL, bạn cần tạo mã CSR trên máy chủ. Tệp này chứa thông tin khóa công khai và máy chủ, đồng thời là yếu tố cần thiết để tạo khóa riêng tư.

Mở Exchange Management Console. Nhấp vào Start > Programs > Microsoft Exchange 2010 > Exchange Management Console.
Sau khi chương trình khởi chạy, nhấp vào liên kết Manage Databases (Quản lý cơ sở dữ liệu) ở giữa cửa sổ.
Chọn “Server Configuration” (Thiết lập cấu hình máy chủ) trong khung bên trái. Nhấp vào liên kết “New Exchange Certificate” (Chứng chỉ trao đổi mới) trong danh sách Actions ở bên phải màn hình.
Nhập tên dễ nhớ cho chứng chỉ. Đây là tùy chọn và không ảnh hưởng đến chứng chỉ.
Nhập thông tin cấu hình. Exchange sẽ tự động chọn dịch vụ phù hợp, nhưng nếu không, bạn cần tự thiết lập. Đảm bảo tất cả dịch vụ cần bảo vệ đều được chọn.
Nhập thông tin tổ chức, bao gồm mã quốc gia hai chữ số, tiểu bang hoặc tỉnh, tên thành phố, tên công ty, tên ngành (ví dụ: IT hoặc Marketing), và địa chỉ website (tên miền).
Chọn vị trí và tên cho tập tin CSR. Ghi chú lại nơi lưu trữ tập tin này để sử dụng trong quá trình mua chứng chỉ.

Bạn cần tải lên tập tin CSR lên dịch vụ chứng chỉ. Tập tin này sẽ được sử dụng để tạo chứng chỉ cho máy chủ của bạn. Một số nhà cung cấp yêu cầu tải lên tập tin, trong khi một số khác chỉ cần sao chép nội dung của tập tin CSR.

Sao chép tập tin chứng chỉ mà bạn nhận được lên máy chủ Exchange.

Cài đặt chứng chỉ trung gian. Trong hầu hết trường hợp, bạn có thể sao chép dữ liệu chứng chỉ được cung cấp vào tài liệu văn bản và lưu với tên “intermediate.cer”. Mở Microsoft Manage Console (MMC) bằng cách nhấp vào Start, chọn Run rồi nhập “mmc”.

Nhấp vào File và chọn Add/Remove Snap In.
Nhấp vào Add, chọn Certificates rồi nhấp vào Add lần nữa.
Chọn Computer Account (Tài khoản máy tính) và nhấp vào Next (Tiếp theo). Chọn Local Computer làm vị trí lưu trữ. Nhấp vào Finish (Xong) rồi nhấp OK. Bạn sẽ trở lại với MMC.
Chọn Certificates trong MMC. Chọn “Intermediate Certification Authorities” (Cơ quan cấp chứng chỉ trung gian) và chọn Certificates.
Nhấp phải vào Certificates, chọn All Tasks (Tất cả tác vụ) rồi chọn Import (Nhập). Sử dụng trình hướng dẫn để nạp chứng chỉ trung gian mà bạn đã tải về từ nhà cung cấp dịch vụ.

Mở phần “Server configuration” trong Exchange Management Console. Xem lại bước 1 để biết cách mở “Server configuration”. Sau đó, nhấp vào chứng chỉ nằm giữa cửa sổ rồi nhấp vào liên kết “Complete Pending Request” (Hoàn tất yêu cầu đang chờ) trong danh sách Actions.

Duyệt tìm tập tin chứng chỉ chính và nhấp vào Complete (Hoàn thành). Sau khi chứng chỉ được tải lên, bạn nhấp vào Finish.
Bỏ qua bất kỳ lỗi báo rằng quá trình thất bại; đây là lỗi thường gặp.

Sử dụng cPanel

Đăng nhập cPanel. Mở bảng điều khiển và tìm SSL/TLS Manager.
Nhấp vào liên kết “Generate, view, upload, or delete your private keys” (Khởi tạo, xem, tải lên hoặc xóa khóa riêng tư).
Cuộn xuống phần “Generate a New Key” (Khởi tạo khóa mới). Nhập tên miền hoặc chọn từ trong trình đơn thả xuống. Chọn 2048 cho “Key Size” (Kích cỡ khóa). Nhấp vào nút Generate (Khởi tạo).
Nhấp vào “Return to SSL Manager” (Trở về trình quản lý SSL). Từ trình đơn chính, hãy chọn liên kết “Generate, view, or delete SSL certificate signing requests” (Khởi tạo, xem hoặc xóa yêu cầu đăng ký chứng chỉ SSL).
Nhập thông tin tổ chức, bao gồm mã quốc gia hai chữ số, tiểu bang hoặc tỉnh, tên thành phố, tên công ty, tên ngành (ví dụ: IT hoặc Marketing), và địa chỉ website (tên miền).
Nhấp vào nút Generate. Mã CSR sẽ hiện ra. Bạn có thể sao chép và nhập mã này vào biểu mẫu đặt mua chứng chỉ. Nếu dịch vụ yêu cầu tập tin CSR, hãy sao chép mã vào trình soạn thảo văn bản rồi lưu dưới dạng tập tin .CSR.

Bạn cần tải lên tập tin CSR lên dịch vụ chứng chỉ. Tập tin này sẽ được sử dụng để tạo chứng chỉ cho máy chủ của bạn. Một số nhà cung cấp yêu cầu tải lên tập tin, trong khi một số khác chỉ cần sao chép nội dung của tập tin CSR.

Mở lại trình đơn SSL Manager trong cPanel. Nhấp vào liên kết “Generate, view, upload, or delete SSL certificates” (Khởi tạo, xem, tải lên hoặc xóa chứng chỉ SSL). Nhấp vào nút Upload (Tải lên) để duyệt tìm chứng chỉ mà bạn đã nhận từ nhà cung cấp dịch vụ. Nếu chứng chỉ được tải về dưới dạng văn bản, hãy dán nội dung chứng chỉ vào khung của trình duyệt.

Nhấp vào liên kết “Install SSL Certificate” (Cài đặt chứng chỉ SSL). Quá trình cài đặt chứng chỉ SSL sẽ hoàn tất. Máy chủ sẽ tự động khởi động lại và chứng chỉ sẽ được phân phối.