Cài đặt SSL cho IIS - Install SSL IIS

Cài đặt SSL cho IIS không chỉ là một bước quan trọng mà còn là biện pháp cần thiết để bảo vệ thông tin truyền tải qua trang web. Quá trình install SSL IIS không chỉ giúp tăng cường bảo mật mà còn xây dựng sự tin cậy từ phía người sử dụng. Trong bài viết này, chúng ta sẽ đi sâu vào hướng dẫn cụ thể về cách cài đặt SSL trên Internet Information Services (IIS) để đảm bảo rằng trang web của bạn được bảo vệ một cách toàn diện.

Chứng chỉ SSL là gì?

SSL là gì? Tổng hợp kiến thức cơ bản về chứng chỉ SSL

Quá trình install SSL IIS

Chuẩn bị tệp chứng chỉ SSL

Khi bạn đã kích hoạt, xác thực và cấp phát chứng chỉ SSL của mình, bạn sẽ nhận được các tệp chứng chỉ trong một tệp .zip qua email.

Đối với việc cài đặt SSL trên Windows, bạn nên sử dụng tệp .p7b từ tệp tải xuống. Tệp này chứa chứng chỉ của thực thể cuối cùng cho tên miền của bạn và tất cả các chứng chỉ trung gian của Certificate Authority (CA bundle) kết hợp. Bạn cũng có thể sử dụng tệp .cer (không phải là .crt hoặc .cert) để cài đặt. Điều này tương tự với tệp .p7b nhưng ở dạng nhị phân.

Nếu bạn chỉ có các tệp chứng chỉ .crt/.cert và .ca-bundle (ví dụ: các tệp cho một chứng chỉ tùy chỉnh), bạn có thể chuyển chúng thành một tệp .p7b bằng cách sử dụng công cụ trực tuyến này. Sử dụng tùy chọn "PEM to PKCS7".

Install SSL IIS

1. Bắt đầu Internet Information Services (IIS) Manager bằng cách nhập "inetmgr" vào ô tìm kiếm gần nút Start hoặc trong cửa sổ Run, có thể được mở bằng cách nhấn tổ hợp phím Win+R.

2. Nhấp đúp vào biểu tượng Server Certificates trên trang chủ của bộ quản lý IIS.

3. Di chuyển chuột qua mục Actions ở phần bên phải của cửa sổ và nhấp vào Complete Certificate Request.

4. Màn hình tiếp theo - Specify Certificate Authority Response - chứa 3 trường:

• Tên tệp chứa phản hồi của cơ quan chứng chỉ - duyệt hệ thống tệp để tìm tệp chứng chỉ .p7b.
• Tên thân thiện - trường này giúp quản trị viên máy chủ dễ dàng xác định một chứng chỉ cụ thể. Ví dụ, tên miền của chứng chỉ có thể được xác định trong trường này.
• Chọn kho lưu trữ chứng chỉ cho chứng chỉ mới - giữ nguyên ở Personal, giá trị mặc định.

5. Khi bạn đã điền đầy đủ tất cả các trường, nhấp OK để nhập chứng chỉ vào kho lưu trữ máy chủ.

6. Nếu quá trình cài đặt thành công, một mục mới sẽ xuất hiện trên trang Server Certificates.

Kết nối SSL với trang web của bạn

1. Chứng chỉ SSL đã cài đặt bây giờ phải được gán cho một trang web bằng cách kết nối nó với một cổng an toàn. Để làm điều này, hãy chọn thư mục Sites trong bảng kết nối ở phần bên trái của IIS Manager và nhấp vào trang web tương ứng. Sau đó, ở phần Actions ở phần bên phải, chọn Bindings….

2. Nhấp Add... ở phần bên phải của cửa sổ Site Bindings.

3. Cửa sổ pop-up tiếp theo sẽ có một số trường cần được sửa đổi:

• Loại - chọn "https" từ menu thả xuống
• Địa chỉ IP - chọn địa chỉ IP cụ thể hoặc "All Unassigned" (tất cả không gán)
• Cổng - chỉ định số cổng cho kết nối an toàn. Số cổng mặc định là 443
• Chứng chỉ SSL - chọn chứng chỉ tương ứng, được xác định bằng tên thân thiện đã xác định trước đó.

3. Nhấp OK để kết nối chứng chỉ với trang web. Mục mới sẽ xuất hiện trong cửa sổ Site Bindings.

Lưu ý: Thường thì không cần khởi động lại máy chủ, vì vậy sau khi chứng chỉ SSL đã được cài đặt và kết nối đã được tạo, trang web của bạn nên có thể truy cập qua https:// trong trình duyệt.

Chuyển hướng từ HTTP sang HTTPS

Sau khi bạn đã cài đặt chứng chỉ SSL trên tên miền của bạn, bạn nên kích hoạt chuyển hướng từ HTTP sang HTTPS để bắt buộc tất cả các yêu cầu HTTP sử dụng HTTPS thay vì. HTTPS là một phần mở rộng của giao thức HTTP, trong đó dữ liệu truyền tải được mã hóa bằng một chứng chỉ SSL.

Trên Windows, bạn có thể kích hoạt chuyển hướng từ HTTP sang HTTPS bằng sự trợ giúp của mô-đun URL Rewrite. 

Vấn đề có thể xảy ra khi install SSL IIS

"Cannot find the certificate request..." - Lỗi: Không thể tìm thấy yêu cầu chứng chỉ

Khi cài đặt chứng chỉ SSL trên IIS, bạn có thể gặp phải lỗi sau đây:

Lý do phổ biến nhất cho lỗi này là bạn đang cố nhập một chứng chỉ SSL đã được kích hoạt bằng Signing Request (CSR) được tạo ra ngoài máy chủ. Trong trường hợp đó, bạn có thể:

• Tạo một tệp PFX bằng cách sử dụng chứng chỉ, CA bundle và khóa riêng tư và nhập nó vào IIS. Tệp chứng chỉ PFX có thể được tạo ra bằng cách khác nhau, ví dụ:

         - Sử dụng OpenSSL, như được hướng dẫn ở đây

         - Sử dụng trình chuyển đổi trực tuyến (PFX được định dạng theo PKCS12).

• Tạo lại chứng chỉ của bạn với một CSR được tạo trên máy chủ và cài đặt nó bằng tệp .p7b.

Lưu ý: đảm bảo tạo hoặc chỉnh sửa kết nối sau khi chứng chỉ đã được nhập.

Nếu bạn chắc chắn rằng CSR đã được tạo trên máy chủ và bạn vẫn nhận lỗi này, bạn có thể thử các bước sau:

• Đóng cửa sổ lỗi và làm mới cửa sổ cài đặt bằng cách nhấn F5 và thử lại. Nếu chứng chỉ xuất hiện, hoàn tất việc cài đặt SSL bằng cách tạo hoặc chỉnh sửa kết nối.
• Nếu chứng chỉ không xuất hiện, bạn có thể thử gán tên thân thiện cho nó bằng cách sử dụng MMC hoặc certutil. Vấn đề có thể xảy ra do việc bỏ trống tên thân thiện, vì vậy hãy đảm bảo thiết lập nó trong quá trình cài đặt. Kiểm tra bài viết chính thức từ Microsoft về vấn đề này.

Nếu không có bước nào ở trên giúp đỡ, hãy tạo lại chứng chỉ của bạn bằng một CSR mới được tạo trên máy chủ và thử cài đặt lại.

Chứng chỉ SSL biến mất khỏi danh sách

Một vấn đề phổ biến khác là chứng chỉ biến mất khỏi danh sách sau khi nhập. Các phương pháp có thể giải quyết vấn đề này tương tự như vấn đề trước:

• Nếu CSR được tạo ra ngoài máy chủ, hãy tạo một tệp PFX và nhập nó vào IIS. Tệp chứng chỉ PFX có thể được tạo ra bằng cách sử dụng OpenSSL như được hướng dẫn ở đây hoặc bằng cách sử dụng trình chuyển đổi trực tuyến của chúng tôi (PFX được định dạng theo PKCS12).
• Tạo lại và cài đặt chứng chỉ với một CSR được tạo trên máy chủ.

Nếu CSR đã được tạo trên máy chủ nhưng chứng chỉ biến mất, bạn có thể thử kết nối giữa chứng chỉ và khóa riêng.

Dãy chứng chỉ không đầy đủ

Có một vấn đề khác có thể xuất hiện trên máy chủ Windows. Ngay cả khi bạn đã cài đặt chứng chỉ SSL đúng cách, một số người dùng vẫn có thể gặp phải cảnh báo bảo mật khi truy cập trang web của bạn. Nguyên nhân gốc là do cách máy chủ Windows xử lý bắt tay SSL, gây ra việc sử dụng chứng chỉ gốc không đúng từ Certificate Authority (CA) Bundle. Mặc dù vấn đề này không phổ biến, nhưng nó có thể xảy ra trên các thiết bị cũ.

Việc install SSL IIS không chỉ là một bước quan trọng đối với quản trị viên hệ thống mà còn là cách hiệu quả để đảm bảo rằng dữ liệu truyền tải qua trang web của bạn được mã hóa và an toàn. Nhờ vào việc tuân thủ các hướng dẫn cài đặt SSL cho IIS, bạn không chỉ đạt được tính bảo mật cao mà còn xây dựng một môi trường trực tuyến đáng tin cậy. Hãy bắt đầu quá trình cài đặt ngay hôm nay để tận hưởng những lợi ích to lớn mà SSL mang lại cho trang web của bạn.