Cài đặt chứng chỉ SSL trên IIS 8 & 10

Cài đặt SSL

1. Khởi động Trình quản lý Dịch vụ Thông tin Internet (IIS) bằng cách nhập “inetmgr” vào trường tìm kiếm nằm gần nút Bắt đầu hoặc trong cửa sổ Chạy , có thể khởi chạy bằng cách nhấn phím nóng Win + R.
2. Bấm đúp vào biểu tượng Chứng chỉ Máy chủ trong trang chủ của Trình quản lý IIS.
3. Di chuột qua ngăn Hành động ở phía bên phải của cửa sổ và nhấp vào Hoàn thành Yêu cầu Chứng chỉ . 

   

4. Màn hình tiếp theo – Chỉ định Phản hồi của Tổ chức phát hành chứng chỉ – chứa 3 trường:
   • Tên tệp chứa phản hồi của cơ quan cấp chứng chỉ – duyệt qua hệ thống tệp để tìm tệp chứng chỉ .p7b.
   • Tên thân thiện – trường này giúp quản trị viên máy chủ dễ dàng xác định vị trí một chứng chỉ cụ thể. Ví dụ: tên miền của chứng chỉ có thể được chỉ định trong trường này.
   • Chọn một kho lưu trữ chứng chỉ cho chứng chỉ mới – đặt giá trị này thành Cá nhân , giá trị mặc định.

   

5. Khi bạn đã hoàn thành tất cả các trường, hãy nhấp vào OK để nhập chứng chỉ vào bộ lưu trữ của máy chủ.Lưu ý : Nếu bạn nhận được lỗi “Không thể tìm thấy yêu cầu chứng chỉ …” tại thời điểm này, vui lòng tham khảo phần này của hướng dẫn.
6. Nếu cài đặt thành công, một mục mới sẽ xuất hiện trên trang Chứng chỉ Máy chủ .

   Lưu ý : Nếu chứng chỉ biến mất khỏi danh sách sau khi nhập, vui lòng kiểm tra phần này của hướng dẫn để biết giải pháp.

    

Liên kết SSL với trang web của bạn

1. Chứng chỉ SSL đã cài đặt bây giờ phải được gán cho một trang web bằng cách liên kết nó với một cổng an toàn. Để thực hiện việc này, hãy chọn thư mục Trang web trong bảng điều khiển Kết nối ở bên trái của Trình quản lý IIS và nhấp vào trang web tương ứng. Sau đó, trong bảng Hành động ở bên phải, chọn Liên kết… .
   
2. Nhấp vào Thêm … ở phía bên phải của cửa sổ Liên kết Trang web .
3. Cửa sổ bật lên tiếp theo sẽ có một số trường cần được sửa đổi:
   • Nhập – chọn “https” từ trình đơn thả xuống;
   • Địa chỉ IP – chọn địa chỉ IP cụ thể hoặc “Tất cả chưa được gán”;
   • Cổng – chỉ định số cổng cho kết nối an toàn. Số cổng mặc định là 443;
   • Chứng chỉ SSL – chọn chứng chỉ tương ứng, được xác định bằng tên Thân thiện đã chỉ định trước đó.

   

4. Nhấp vào OK để liên kết chứng chỉ với trang web. Mục nhập mới sẽ xuất hiện trong cửa sổ Liên kết trang .

   Lưu ý : Thông thường, không cần khởi động lại máy chủ, vì vậy sau khi chứng chỉ SSL đã được cài đặt và tạo liên kết, trang web của bạn sẽ có thể truy cập được qua https: // trong trình duyệt.
   

   Để kiểm tra xem chứng chỉ đã được cài đặt thành công hay chưa, bạn có thể sử dụng công cụ này .

Chuyển hướng HTTPS

Sau khi bạn đã cài đặt chứng chỉ SSL trên miền của mình, bạn nên bật chuyển hướng HTTPS để buộc tất cả các yêu cầu HTTP sử dụng HTTPS thay thế. HTTPS là một phần mở rộng của giao thức HTTP nơi việc truyền dữ liệu được mã hóa bằng chứng chỉ SSL.

Trên Windows, chuyển hướng HTTP sang HTTPS có thể được bật với sự trợ giúp của mô-đun Ghi lại URL. Để thực hiện việc này, hãy làm theo hướng dẫn từng bước của chúng tôi có ảnh chụp màn hình.

Bạn có thể sử dụng trình kiểm tra này để xem chuyển hướng có được bật thành công hay không.

Các vấn đề có thể xảy ra với cài đặt

“Không thể tìm thấy yêu cầu chứng chỉ …”

Khi cài đặt chứng chỉ SSL trên IIS, bạn có thể gặp lỗi sau:

Lý do phổ biến nhất cho điều này là bạn đang cố gắng nhập chứng chỉ SSL được kích hoạt bằng Yêu cầu ký chứng chỉ (CSR) được tạo bên ngoài máy chủ. Nếu đúng như vậy, bạn có thể:

• Tạo PFX bằng cách sử dụng chứng chỉ, gói CA và khóa riêng và nhập nó vào IIS. Tệp chứng chỉ PFX có thể được tạo theo nhiều cách khác nhau, ví dụ:
  • Sử dụng OpenSSL, như được hiển thị ở đây;
  • Sử dụng công cụ chuyển đổi trực tuyến (PFX được định dạng PKCS12).
• Phát hành lại chứng chỉ của bạn với CSR được tạo trên máy chủ và cài đặt nó với tệp .p7b.

Lưu ý : đảm bảo tạo hoặc chỉnh sửa liên kết sau khi chứng chỉ được nhập.

Nếu bạn chắc chắn CSR đã được tạo trên máy chủ và bạn vẫn nhận được lỗi này, bạn có thể thử các cách sau:

• Đóng cửa sổ lỗi và làm mới cửa sổ cài đặt bằng cách nhấn F5 và thử lại. Nếu chứng chỉ xuất hiện, hãy hoàn tất cài đặt SSL bằng cách tạo hoặc chỉnh sửa một ràng buộc.
• Nếu chứng chỉ không xuất hiện, bạn có thể thử gán một tên thân thiện cho nó bằng cách sử dụng MMC hoặc certutil. Sự cố có thể xảy ra do tên thân thiện bị bỏ trống, vì vậy hãy đảm bảo đặt nó trong khi cài đặt. Hãy xem bài viết chính thức từ Microsoft về vấn đề này hoặc tham khảo hướng dẫn từng bước chi tiết của chúng tôi .

Nếu cả hai bước trên đều không hữu ích, hãy phát hành lại chứng chỉ của bạn bằng cách sử dụng CSR mới được tạo trên máy chủ và thử cài đặt lại.

SSL biến mất khỏi danh sách

Một vấn đề phổ biến khác là chứng chỉ biến mất khỏi danh sách khi nhập. Các phương pháp có thể giải quyết vấn đề này tương tự như vấn đề trước:

• Nếu CSR được tạo bên ngoài máy chủ, hãy tạo PFX và nhập nó vào IIS . Tệp chứng chỉ PFX có thể được tạo bằng cách sử dụng OpenSSL như được hiển thị ở đây hoặc bằng cách sử dụng công cụ chuyển đổi trực tuyến của chúng tôi (PFX có định dạng PKCS12).
• Phát hành lại và cài đặt chứng chỉ với CSR được tạo trên máy chủ.

Nếu CSR được tạo trên máy chủ nhưng chứng chỉ biến mất, bạn có thể cố gắng buộc liên kết giữa chứng chỉ và khóa riêng tư. Hướng dẫn chi tiết về quy trình có thể được tìm thấy tại đây .

Chuỗi chứng chỉ chưa hoàn chỉnh

Có một vấn đề khác có thể được phát hiện trên máy chủ Windows. Ngay cả khi bạn đã cài đặt đúng chứng chỉ SSL, một số người dùng vẫn có thể phải đối mặt với cảnh báo bảo mật khi truy cập trang web của bạn. Nguyên nhân gốc rễ là một đặc thù về cách máy chủ Windows xử lý bắt tay SSL, khiến nó sử dụng chứng chỉ gốc không chính xác từ Gói tổ chức phát hành chứng chỉ (CA).

Mặc dù vấn đề này không phổ biến nhưng nó có thể xảy ra trên các thiết bị cũ. Đọc bài viết chi tiết của chúng tôi về chủ đề này để tìm hiểu thêm và cách bạn có thể giải quyết vấn đề này.