Tweet
[Hướng Dẫn] Cấu Hình Chứng Chỉ Public Key Trên IIS Windows – Từ A tới Z!
Bạn mới bắt đầu làm hệ thống Windows Server và muốn triển khai HTTPS bảo mật cho web nội bộ hoặc dịch vụ public? Vậy chắc chắn bạn sẽ cần cấu hình chứng chỉ số (Public Key Certificate) trên IIS. Trong bài này, mình sẽ hướng dẫn từng bước – ngắn gọn, dễ hiểu, đúng kỹ thuật, để bạn tự tin triển khai cho server của mình.
Bước 1: Tạo Certificate Signing Request (CSR)
Truy cập vào IIS Manager → mở phần Server Certificates.
💡 Bạn vừa tạo xong CSR và đồng thời hệ thống cũng tạo ra private key tương ứng.
Bước 2: Gửi CSR đến CA để ký
Bạn có 2 lựa chọn:
Sau khi xử lý, CA sẽ trả về file chứng chỉ .cer đã được ký.
Bước 3: Cài đặt chứng chỉ vào IIS
Quay lại IIS Manager → Server Certificates → Complete Certificate Request
Bước 4: Gán chứng chỉ cho Website
Chứng chỉ mới cài chưa tự động gắn vào web đâu nhé!
✅ Giờ thì website của bạn đã hoạt động qua HTTPS với chứng chỉ số hợp lệ!
Wildcard & Security – Những lưu ý nâng cao
➡️ Giải pháp tốt: lưu wildcard cert trên reverse proxy hoặc thiết bị chuyên dụng (HSM)
Bundling & Chuỗi Tin Cậy (Trust Chain)
Khi import chứng chỉ, đừng quên: client cần xác thực chuỗi chứng chỉ từ Server → Intermediate CA → Root CA
💡 Trong Linux: bạn có thể tạo PEM bundle theo thứ tự:
1. Server Certificate 2. Intermediate CA 2 3. Intermediate CA 1 4. Root CA
💡 Trên Windows: phần lớn đã tự động xử lý, nhưng vẫn cần kiểm tra kỹ nếu dùng CA không phổ biến.
Kiểm tra chứng chỉ hoạt động chưa?
Dùng các dịch vụ như:
📌 Các thông tin kiểm tra:
Best Practice – Đừng để “HTTPS chết bất ngờ”!
✅ Viết script kiểm tra định kỳ hạn chứng chỉ
✅ Dùng công cụ cảnh báo sớm nếu chứng chỉ sắp hết hạn
✅ Luôn backup private key và chứng chỉ đi kèm
Tóm tắt quy trình cấu hình chứng chỉ trên Windows Server IIS:
Bạn đã từng gặp lỗi nào khi cấu hình HTTPS trên IIS chưa? Comment để cùng chia sẻ và học hỏi nhé!
Bạn mới bắt đầu làm hệ thống Windows Server và muốn triển khai HTTPS bảo mật cho web nội bộ hoặc dịch vụ public? Vậy chắc chắn bạn sẽ cần cấu hình chứng chỉ số (Public Key Certificate) trên IIS. Trong bài này, mình sẽ hướng dẫn từng bước – ngắn gọn, dễ hiểu, đúng kỹ thuật, để bạn tự tin triển khai cho server của mình.
Bước 1: Tạo Certificate Signing Request (CSR)
Truy cập vào IIS Manager → mở phần Server Certificates.
- Nhấn Create Certificate Request
- Nhập thông tin:
- Common Name (CN): chính là domain client sẽ truy cập (ví dụ: web01.vnpro.vn)
- Organization, Organizational Unit, City, State/Province, Country (lưu ý: Country phải viết hoa – ví dụ: VN)
- Chọn độ dài khóa: 4096 bits (bảo mật chuẩn hiện nay)
- Chọn nơi lưu file .req – đây là file yêu cầu ký chứng chỉ
💡 Bạn vừa tạo xong CSR và đồng thời hệ thống cũng tạo ra private key tương ứng.
Bước 2: Gửi CSR đến CA để ký
Bạn có 2 lựa chọn:
- CA nội bộ (nếu dùng trong mạng doanh nghiệp)
- CA công khai như DigiCert, Sectigo, Let's Encrypt (nếu hệ thống phục vụ người dùng internet)
Sau khi xử lý, CA sẽ trả về file chứng chỉ .cer đã được ký.
Bước 3: Cài đặt chứng chỉ vào IIS
Quay lại IIS Manager → Server Certificates → Complete Certificate Request
- Chọn file .cer vừa nhận từ CA
- Nhập “Friendly Name” để phân biệt nếu bạn có nhiều chứng chỉ
- Xác nhận chứng chỉ đã được cài thành công
Bước 4: Gán chứng chỉ cho Website
Chứng chỉ mới cài chưa tự động gắn vào web đâu nhé!
- Vào Bindings của website → chọn https → nhấn Edit
- Chọn chứng chỉ bạn muốn gán cho site
- Xác nhận
✅ Giờ thì website của bạn đã hoạt động qua HTTPS với chứng chỉ số hợp lệ!
Wildcard & Security – Những lưu ý nâng cao
- Wildcard Certificate (ví dụ *.vnpro.vn) tiện lợi khi có nhiều subdomain, nhưng:
- Khó đăng ký hơn
- Tốn chi phí
- Nếu bị lộ → hacker có thể giả mạo mọi subdomain!
➡️ Giải pháp tốt: lưu wildcard cert trên reverse proxy hoặc thiết bị chuyên dụng (HSM)
Bundling & Chuỗi Tin Cậy (Trust Chain)
Khi import chứng chỉ, đừng quên: client cần xác thực chuỗi chứng chỉ từ Server → Intermediate CA → Root CA
💡 Trong Linux: bạn có thể tạo PEM bundle theo thứ tự:
1. Server Certificate 2. Intermediate CA 2 3. Intermediate CA 1 4. Root CA
💡 Trên Windows: phần lớn đã tự động xử lý, nhưng vẫn cần kiểm tra kỹ nếu dùng CA không phổ biến.
Kiểm tra chứng chỉ hoạt động chưa?
Dùng các dịch vụ như:
- SSL Labs - Qualys
- https://whatsmychaincert.com
📌 Các thông tin kiểm tra:
- Chuỗi chứng chỉ đầy đủ không?
- Tên miền khớp không?
- Chứng chỉ còn hạn không?
- Hỗ trợ giao thức và thuật toán mã hóa nào?
Best Practice – Đừng để “HTTPS chết bất ngờ”!
✅ Viết script kiểm tra định kỳ hạn chứng chỉ
✅ Dùng công cụ cảnh báo sớm nếu chứng chỉ sắp hết hạn
✅ Luôn backup private key và chứng chỉ đi kèm
Tóm tắt quy trình cấu hình chứng chỉ trên Windows Server IIS:
- Tạo Private Key
- Tạo CSR (Certificate Signing Request)
- Gửi CSR cho CA để ký
- Cài đặt chứng chỉ trên IIS
- Gán chứng chỉ vào website
- Kiểm tra chuỗi chứng chỉ và bảo mật
Chứng chỉ số không chỉ giúp bảo mật kênh truyền (TLS/SSL), mà còn khẳng định danh tính dịch vụ của bạn trên Internet. Làm đúng từ đầu để tránh mất uy tín, mất dữ liệu và bị tấn công!
Bạn đã từng gặp lỗi nào khi cấu hình HTTPS trên IIS chưa? Comment để cùng chia sẻ và học hỏi nhé!