Hướng dẫn cài đặt SSL windows

Giới thiệu chứng chỉ SSL

SSL là viết tắt của từ Secure Sockets Layer, tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máy chủ Web server và trình duyệt (browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn.

CA là gì

Certificate Authority (CA): là tổ chức phát hành các chứng thực các loại chứng thư số cho người dùng, doanh nghiệp, máy chủ (server), mã nguồn, phần mềm. Nhà cung cấp chứng thực số đóng vai trò là bên thứ ba (được cả hai bên tin tưởng) để hỗ trợ cho quá trình trao đổi thông tin an toàn.

Hướng dẫn cài đặt SSL trên windows chạy webserver IIS

Có rất nhiều hướng dẫn cài đặt SSL trên internet và cách cài khách nhau, nên hôm nay quantrihethong.net sẽ hướng dẫn cài đặt SSL áp dụng cho toàn bộ các server windows và các version IIS khác nhau.

Giao diện IIS giữ các bản IIS6 – IIS 7 – IIS 8 – IIS 10 ( Windows server 2003, 2008, 2012, 2016 …) sẽ khác nhau nhưng các phần truy cập và cấu hình tương tự nhau.

Các File cần thiết để cài chuẩn SSL.

Sau khi hoàn thành đăng ký SSL bạn có thể nhận được rất nhiều file SSL nhưng cơ bản nhất để cài SSL chuẩn bạn cần 3 file sau:

  1. Khóa riêng (SSL Private Key) thướng có định dạng là .key
  2. SSL Certificate: thường có định dạng file là .crt, .cer
  3. Certificate Authority (CA). thường có định dạng .crt hoặc .cer

trong các file trên, file key, và SSL certificate là các file đơn. File CA có thể bao gồm nhiều file CA khác nhau để xác minh tùy nhà cung cấp sẽ có file khách nhau. Như bên dưới mình chụp ảnh các file thông dụng nhất sau khi bạn đăng ký.

SSL Rapid, Geotrust … (Digicert)

Đối với các SSL  như Rapid hoặc Geotrust có các file cơ bản như trên. mình chia thành 3 file cơ bản  theo tên file để cài như sau (Các bạn bật show extention trên windows để có thể nhìn thấy được đuôi file)

  1. Khóa riêng (private key): demo.com.key
  2. SSL Certificate: ServerCertificate.cer
  3. Certificate Authority (CA): sẽ có 2 file CA là  CACertificate-INTERMEDIATE-1.cer và CACertificate-ROOT-2.cer để cài đặt bạn cần ghép 2 file này làm 1 file CA duy nhất. các ghép và thứ tự ghép mình sẽ đề cập ở cuối bài.

SSL comodo.

  1. SSL comodo có 3 File CA: AddTrustExternalCARoot.crt, COMODORSAAddTrustCA.crt, COMODORSADomainValidationSecureServerCA.crt để ghép file bạn xem phần chú ý cuối bài viêt
  2. File key: domain.key
  3. SSL Certificate: www_demo_com.crt

Convert SSL sang .PFX dành cho windows

Để convert bạn có thể sử dụng command trực tiếp thông qua OpenSSL hoặc làm Online, trong phần này quantrihethong.net sẽ hướng dẫn convert online.

Để convert bạn truy cập vào link: https://www.sslshopper.com/ssl-converter.html

sẽ có giao diện sau

trong phần Certificate File to Convert bạn chọn browse tới file SSL Certificate

phần Type of curent certificate bạn để mặc định

Type to convert to: chọn PFX/PKCS#12

Sau khi chọn phần này sẽ yêu cầu chỉ đường dẫn tới file key và CA như hình dưới

Sẽ có 2 phần chọn CA, như RApid bạn chọn  như hình trên (Lưu ý  phần Chain Certificate File phải đúng thứ tự như trên) Nếu có nhiều file như comodo bạn cần ghép thành 1 file sau đó chọn Chain Certificate File và bỏ trống mục Chain Certificate File 2

PFX password: bạn điền pass cho file pass này sẽ cần thiết nên bạn lưu lại.

sau khi điền xong bạn chọn Convert Certificate và download file PFX về.

Hướng dẫn cài đặt và import SSL vào IIS của windows

Sau khi có file PFX bạn mở IIS manager lên.

Click vào tên Server và chọn Server Certificate

Trong phần Action, chọn Import

chọn đường dẫn tới file PFX và nhập password (pass bạn đã điền khi thực hiện ở bước convert) xong ấn OK

Cấu hình website nhận SSL đã cài

+  Trên màn hình Internet Information Services (IIS) Manager, chọn Site, sau đó chuột phải vào trang web Demo và chọn Edit Binding

+ Tại Type chọn https, Ip address chọn IP của máy  Web server TEST,  SSL Certificate chọn Demo đã tạo ở bước trên, click OK.

Như trên đã hoàn thành cài đặt SSL bạn có thể truy cập website với link https để kiểm tra ssl đã cài xong chưa, nếu vẫn chưa được bạn có thể reset IIS sau đó test lại.

Ghép File CA. (dành cho SSL có nhiều hơn 2 File CA như Comodo)

Phần này sẽ giới thiệu ghép các file CA, như trong website convert ta thấy 2 phần lựa chọn Chain Certificate File (optional) và Chain Certificate File 2 (optional), nếu bạn dùng comodo sẽ không chọn được do có 3 File CA. bạn cần ghép 3 file này thành 1 File CA như sau.

mở 3 file bằng notepad sau đó tạo 1 file mới và copy nội dung 3 file CA vào file mới theo đúng thứ tự sau:

COMODORSADomainValidationSecureServerCA.crt

COMODORSAAddTrustCA.crt

AddTrustExternalCARoot.crt

Sau đó lưu file mới thành bundleca.crt và dùng file này để convert.