Việc cài đặt SSL trên IIS (Internet Information Services) của Windows Server có sự khác biệt lớn so với Linux vì nó sử dụng giao diện đồ họa (GUI) và yêu cầu các định dạng file riêng biệt như PFX. Bài viết này sẽ hướng dẫn bạn các bước chuẩn hóa để kích hoạt HTTPS cho website của mình.
1. Các phương thức chuẩn bị chứng chỉ cho IIS
Có hai tình huống phổ biến khi bạn cài đặt SSL mua trên Windows Server:
| Tình huống | Phương pháp xử lý |
|---|---|
| Bạn đã tạo CSR trên IIS | Sử dụng tính năng Complete Certificate Request. |
| Bạn có file .pfx (đã gộp key) | Sử dụng tính năng Import Certificate. |
2. Hoàn tất yêu cầu chứng chỉ (CSR created on IIS)
Nếu bạn đã gửi CSR từ IIS, nhà cung cấp sẽ gửi về file .cer hoặc .crt. Hãy thực hiện các bước sau:
- Mở Internet Information Services (IIS) Manager.
- Chọn tên Server ở panel bên trái, sau đó double-click vào Server Certificates.
- Tại panel bên phải (Actions), chọn Complete Certificate Request...
- Chọn đường dẫn đến file của bạn, nhập Friendly Name (ví dụ: yourdomain.com) và chọn Personal làm thư mục lưu trữ.
3. Cấu hình Binding HTTPS cho Website
Sau khi chứng chỉ đã xuất hiện trong danh sách Server Certificates, bạn cần gắn nó vào website cụ thể.
Các bước thực hiện:
- Trong IIS Manager, mở rộng mục Sites và chọn website của bạn.
- Tại panel Actions, chọn Bindings...
- Nhấn Add và chọn các thông số:
- Type: https
- IP address: All Unassigned (hoặc IP cụ thể)
- Port: 443
- SSL certificate: Chọn tên chứng chỉ bạn vừa hoàn tất ở bước 2.
- Nếu Server của bạn chạy nhiều website trên cùng 1 IP, hãy check vào ô Require Server Name Indication (SNI).
4. Cấu hình Intermediate Certificates (CA-Bundle)
Rất nhiều quản trị viên quên bước này khiến trình duyệt báo lỗi "Chứng chỉ không đáng tin cậy".
- Mở MMC console (gõ
mmctrong Run). - File -> Add/Remove Snap-in -> Certificates -> Computer Account -> Local Computer.
- Mở rộng Intermediate Certification Authorities -> Certificates.
- Chuột phải -> All Tasks -> Import và chọn file CA-Bundle của bạn.
5. Kiểm tra bảo mật
Hãy đảm bảo rằng website của bạn không hỗ trợ các giao thức cũ như SSL v2, v3 hay TLS 1.0. Bạn có thể sử dụng công cụ IIS Crypto của Nartac để cấu hình chuẩn bảo mật Best Practices chỉ bằng một cú click chuột.
Mẹo: Luôn restart dịch vụ Web (IISRESET) sau khi thay đổi các cấu hình quan trọng để đảm bảo mọi thứ được áp dụng chính xác.
Tổng kết
Cài đặt SSL cho IIS trên Windows Server đòi hỏi sự tỉ mỉ trong việc quản lý chứng chỉ thông qua MMC và IIS Manager. Với các bước hướng dẫn trên, bạn đã có thể tự tin triển khai hệ thống bảo mật HTTPS cho hạ tầng Windows của mình.
Leave a Comment