Cách cài đặt chứng chỉ SSL – Hướng dẫn từng bước

Cách cài đặt chứng chỉ SSL – Hướng dẫn từng bước

Quá trình cài đặt SSL gồm hai giai đoạn chính (Xác minh và Cài đặt) và 6 bước. Bạn chứng minh quyền sở hữu tên miền qua email, bản ghi DNS TXT hoặc tải lên tệp HTTP, sau đó cài đặt chứng chỉ đã được cấp lên máy chủ của bạn. Bài viết tổng quan này bao gồm các môi trường cPanel, Plesk và Microsoft IIS, đồng thời cung cấp liên kết đến các hướng dẫn từng bước riêng biệt cho từng môi trường.

💼 Bạn muốn cung cấp chứng chỉ SSL cho website của khách hàng?

Chương trình đại lý SSL của Domain Name API cung cấp quản lý đơn hàng số lượng lớn, tự động gia hạn qua API và tích hợp WHMCS.

Xem giải pháp cho đại lý SSL →

Kích hoạt SSL: Tóm tắt nhanh 6 bước

  1. Chọn phương thức xác minh
    Email (admin@), bản ghi DNS TXT hoặc tải lên tệp HTTP. Chỉ cần một phương thức là đủ.
  2. Tạo mã CSR trên máy chủ
    Khóa riêng tư được tạo tự động. Không xóa trước khi hoàn tất cài đặt.
  3. Gửi mã CSR
    Gửi qua tài khoản Domain Name API của bạn trong quá trình kích hoạt SSL.
  4. Hoàn tất xác minh
    Xác nhận email, thêm bản ghi DNS hoặc tải lên tệp HTTP.
  5. Cài đặt chứng chỉ
    Làm theo hướng dẫn cài đặt tương ứng cho cPanel, Plesk hoặc IIS.
  6. Kiểm tra HTTPS
    Kiểm tra biểu tượng ổ khóa trên trình duyệt và chuyển hướng từ HTTP sang HTTPS.

Những gì bạn cần trước khi bắt đầu

Yêu cầu Mô tả
Tên miền Tên miền sẽ được cấp chứng chỉ. Với Wildcard: *.example.vn
Mã CSR Được tạo trên máy chủ hosting. Chứa thông tin về tên miền, tổ chức và khóa công khai.
Khóa riêng tư (tự động tạo) Được tạo cùng với CSR. Cần thiết khi cài đặt — không xóa.
Quyền truy cập xác minh Một trong các điều sau là đủ: truy cập hộp thư admin, bảng quản lý DNS hoặc quyền truy cập tệp máy chủ web.
Bảng điều khiển cPanel, Plesk hoặc IIS — cần thiết để tạo CSR và cài đặt chứng chỉ.
CA Bundle Do tổ chức cấp chứng chỉ cung cấp kèm theo chứng chỉ. Cần thiết cho chuỗi tin cậy hoàn chỉnh.

Cài đặt SSL từng bước

Cách cài đặt chứng chỉ SSL – Hướng dẫn từng bước

Bước 1 — Chọn phương thức xác minh

Đối với chứng chỉ SSL DV, tổ chức cấp chứng chỉ có thể xác minh quyền sở hữu tên miền theo ba cách khác nhau. Chỉ cần thực hiện một trong số đó:

Phương thức Cách hoạt động Nên dùng khi nào?
Xác minh qua email Liên kết xác nhận được gửi đến admin@ hoặc địa chỉ chuẩn khác. Khi bạn có thể tạo hoặc đã có hộp thư trên tên miền.
Bản ghi DNS TXT Một giá trị TXT cụ thể được thêm vào bảng DNS của tên miền và được xác minh tự động. Khi không thể tạo địa chỉ email hoặc sử dụng tự động hóa hàng loạt.
Xác minh qua tệp HTTP Tải lên tệp xác minh nhỏ vào thư mục cụ thể trên máy chủ web. Khi bạn có quyền truy cập trực tiếp vào tệp máy chủ web.

Các địa chỉ chuẩn được chấp nhận để xác minh qua email:

  • admin@example.vn
  • administrator@example.vn
  • webmaster@example.vn
  • hostmaster@example.vn
  • postmaster@example.vn

⚠️ Nếu chọn phương thức email, ít nhất một trong các địa chỉ trên phải được tạo và có thể nhận thư trước khi cài đặt. Kiểm tra thư mục spam nếu không nhận được email xác nhận.

Bước 2 — Tạo mã CSR

CSR (Certificate Signing Request — yêu cầu ký chứng chỉ) là văn bản được mã hóa chứa thông tin cần thiết để cấp chứng chỉ SSL riêng cho tên miền của bạn. Khi tạo CSR, máy chủ tự động tạo khóa riêng tư ở nền.

⚠️ Khi tạo CSR, máy chủ của bạn tự động tạo tệp khóa riêng tư. Khóa này cần thiết trong quá trình cài đặt chứng chỉ. Tuyệt đối không xóa bản ghi CSR hoặc tệp khóa riêng tư trước khi hoàn tất cài đặt.

Bảng điều khiển Cách tạo CSR
cPanel Security > SSL/TLS > Generate an SSL Certificate and Signing Request
Plesk SSL/TLS Certificates > Add SSL/TLS Certificate — điền các trường và nhấp Request
Microsoft IIS IIS Manager > Server Certificates > trình hướng dẫn Create Certificate Request. Hướng dẫn đầy đủ: https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur

Trước khi gửi mã CSR, bạn có thể kiểm tra nội dung bằng bất kỳ công cụ giải mã CSR nào.

Bước 3 — Gửi mã CSR

Gửi mã CSR đã tạo trong quá trình kích hoạt SSL qua tài khoản Domain Name API hoặc bảng đại lý của bạn. Tổ chức cấp chứng chỉ sử dụng mã này để xác minh và tạo chứng chỉ. Quản lý tài khoản đại lý: https://www.domainnameapi.com/tr/ssl-reseller

💼 Bạn đang sử dụng tài khoản đại lý?

Tạo yêu cầu hỗ trợ qua bảng đại lý Domain Name API của bạn. Phương thức này giúp theo dõi giao dịch dễ dàng hơn và được hỗ trợ ưu tiên.

Bước 4 — Hoàn tất xác minh

Tùy thuộc vào phương thức đã chọn:

  • Email: Nhấp vào liên kết xác nhận được gửi đến địa chỉ admin của bạn. Liên kết thường có hiệu lực trong 24–72 giờ.
  • DNS TXT: Thêm giá trị TXT do tổ chức cấp chứng chỉ cung cấp vào bảng quản lý DNS. Quá trình lan truyền có thể mất 5–30 phút; sau đó xác minh diễn ra tự động.
  • Tệp HTTP: Tải tệp do CA cung cấp lên thư mục được chỉ định — ví dụ: example.vn/.well-known/pki-validation/file.txt

ℹ️ Phương thức DNS và HTTP được kiểm tra tự động — không cần xác nhận qua email. Ngay khi bản ghi hoặc tệp được đặt đúng vị trí, quá trình cấp chứng chỉ sẽ bắt đầu.

Bước 5 — Cài đặt chứng chỉ SSL

Sau khi xác minh hoàn tất, chứng chỉ của bạn sẽ được cấp — chứng chỉ DV thường sẵn sàng trong vài phút. Làm theo hướng dẫn cài đặt tương ứng với bảng điều khiển của bạn:

Bảng Chủ đề URL hướng dẫn đầy đủ
Plesk Cài đặt chứng chỉ SSL https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir
cPanel Cài đặt chứng chỉ SSL https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir
Microsoft IIS Tạo mã CSR https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur
Microsoft IIS Cài đặt chứng chỉ SSL https://www.domainnameapi.com/bilgi-bankasi/iis-ssl-kurulumu-nasil-yapilir

ℹ️ Luôn bao gồm tệp CA Bundle (chuỗi chứng chỉ trung gian) trong quá trình cài đặt. Thiếu CA Bundle là nguyên nhân phổ biến nhất gây lỗi chuỗi chứng chỉ sau khi cài đặt.

Bước 6 — Kiểm tra HTTPS

Sau khi hoàn tất cài đặt, mở website trên trình duyệt và kiểm tra biểu tượng ổ khóa xuất hiện trên thanh địa chỉ. Đảm bảo rằng chuyển hướng từ HTTP sang HTTPS đang hoạt động.

CSR và khóa riêng tư: Điều gì được tạo ra và tại sao quan trọng?

Cách cài đặt chứng chỉ SSL – Hướng dẫn từng bước

Trong quá trình tạo CSR, máy chủ đồng thời tạo ra hai yếu tố:

Yếu tố được tạo Vai trò
CSR (yêu cầu khóa công khai) Được gửi đến tổ chức cấp chứng chỉ. Chứa thông tin về tên miền, tổ chức và khóa công khai. An toàn để chia sẻ.
Khóa riêng tư Lưu trên máy chủ. Phải được giữ bí mật. Được ghép nối với CSR trong quá trình cài đặt chứng chỉ. Tuyệt đối không chia sẻ hoặc xóa trước khi xác nhận cài đặt.

-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----

⚠️ Nhất thiết phải tạo mã CSR trên máy chủ đang lưu trữ website của bạn. CSR được tạo trên máy chủ khác sẽ gây ra sự không khớp khóa riêng tư trong quá trình cài đặt.

Các lỗi thường gặp khi cài đặt SSL

Lỗi Hậu quả Giải pháp
Bắt đầu mà không chuẩn bị phương thức xác minh Không thể hoàn tất xác minh, chứng chỉ không được cấp Chuẩn bị quyền truy cập qua email, DNS hoặc HTTP trước khi cài đặt
Tạo CSR trên máy chủ sai Khóa riêng tư không khớp; cài đặt thất bại Luôn tạo trên máy chủ đang lưu trữ website
Xóa khóa riêng tư trước khi hoàn tất cài đặt Không thể cài đặt chứng chỉ; cần tạo CSR mới Không chạm vào khóa riêng tư cho đến khi xác nhận cài đặt
Không bao gồm CA Bundle Trình duyệt hiển thị lỗi 'chuỗi không tin cậy' dù chứng chỉ hợp lệ Bao gồm tệp CA Bundle đầy đủ trong quá trình cài đặt
Không cấu hình chuyển hướng HTTPS Khách truy cập vẫn dùng HTTP dù đã cài chứng chỉ Bật chuyển hướng 301 sau khi cài đặt
Lỗi nội dung hỗn hợp Tài nguyên HTTP trên trang gây cảnh báo trình duyệt Đảm bảo tất cả tài nguyên trang (hình ảnh, script, CSS) được phục vụ qua HTTPS

Danh sách kiểm tra sau cài đặt

  • Website có mở đúng qua HTTPS không?
  • Biểu tượng ổ khóa có xuất hiện trên thanh địa chỉ trình duyệt không?
  • Có chuyển hướng tự động 301 từ HTTP sang HTTPS không?
  • Có lỗi nội dung hỗn hợp không? (F12 → Bảng điều khiển)
  • CA Bundle / chuỗi chứng chỉ đã được kiểm tra chưa? (Không có lỗi chuỗi?)
  • Ngày hết hạn của chứng chỉ đã được ghi lại chưa?
  • Cài đặt đã được xác nhận bằng công cụ kiểm tra SSL chưa?

Tại sao chứng chỉ SSL quan trọng?

Lợi ích Mô tả
Bảo mật dữ liệu Mã hóa lưu lượng giữa khách truy cập và máy chủ; bảo vệ thông tin đăng nhập, biểu mẫu và thanh toán
HTTPS và biểu tượng ổ khóa Trình duyệt đánh dấu website HTTP là 'Không an toàn'. HTTPS xóa bỏ cảnh báo này ngay lập tức
Sự tin tưởng của người dùng Khách truy cập ở lại lâu hơn trên các website có biểu tượng ổ khóa; tỷ lệ chuyển đổi tăng lên
Tín hiệu SEO HTTPS là tín hiệu kỹ thuật tích cực với các công cụ tìm kiếm; website HTTP bắt đầu với bất lợi kỹ thuật
Tuân thủ quy định PCI DSS, GDPR và hầu hết chính sách hosting hiện yêu cầu HTTPS như một yêu cầu cơ bản
API và Webhook Nhiều API bên thứ ba và hệ thống thanh toán yêu cầu endpoint HTTPS cho tích hợp sản xuất

Tài nguyên liên quan

Tài nguyên URL
Thông tin nền tảng kiểm thử API https://www.domainnameapi.com/domain-name-api-test-platform-information
Hướng dẫn tích hợp WHMCS https://www.domainnameapi.com/tr/whmcs
Đại lý tên miền https://www.domainnameapi.com/tr/domain-reseller
Chương trình đại lý SSL https://www.domainnameapi.com/tr/ssl-reseller
Hướng dẫn cài đặt SSL trên Plesk https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir
Hướng dẫn cài đặt SSL trên cPanel https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir
Hướng dẫn tạo CSR trên IIS https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur
Hướng dẫn cài đặt SSL trên IIS https://www.domainnameapi.com/bilgi-bankasi/iis-ssl-kurulumu-nasil-yapilir

Câu hỏi thường gặp

Có cần mã CSR để cài đặt SSL không?

Có. CSR là bắt buộc để chứng chỉ SSL có thể được cấp riêng cho tên miền của bạn. Khóa riêng tư được tạo trong quá trình này cũng cần thiết khi cài đặt — cả hai hoạt động cùng nhau.

Có thể cài đặt SSL mà không có email admin không?

Có. Mặc dù xác minh qua email là phương thức phổ biến nhất, nhưng không bắt buộc. Xác minh tên miền có thể hoàn tất qua bản ghi DNS TXT hoặc xác minh tệp HTTP mà không cần tạo địa chỉ email.

Cách xác minh qua bản ghi DNS TXT như thế nào?

Tổ chức cấp chứng chỉ cung cấp giá trị TXT cụ thể. Thêm giá trị này vào bảng quản lý DNS tên miền của bạn dưới @ hoặc tên miền con được chỉ định. Lan truyền DNS thường mất 5–30 phút; sau đó xác minh diễn ra tự động.

Khóa riêng tư là gì và tại sao quan trọng?

Khóa riêng tư là tệp khóa bí mật được tạo trên máy chủ trong quá trình tạo CSR và được ghép nối với chứng chỉ trong quá trình cài đặt. Không có khóa này, chứng chỉ không thể được cài đặt lên máy chủ. Tuyệt đối không chia sẻ hoặc xóa trước khi hoàn tất cài đặt.

CA Bundle là gì?

CA Bundle (chuỗi chứng chỉ trung gian) là tập hợp chứng chỉ do tổ chức cấp chứng chỉ cung cấp kèm theo chứng chỉ SSL của bạn. Được dùng để xác nhận rằng chứng chỉ của bạn được liên kết với CA gốc đáng tin cậy. Nếu thiếu CA Bundle, trình duyệt sẽ hiển thị lỗi 'chuỗi không tin cậy' dù chứng chỉ hợp lệ. Phải luôn bao gồm khi cài đặt.

Chứng chỉ SSL Wildcard là gì?

Chứng chỉ SSL Wildcard bảo vệ tên miền gốc và tất cả tên miền con cấp một (www, mail, shop, v.v.) bằng một chứng chỉ duy nhất. Trường Common Name được nhập là *.example.vn. Tên miền con cấp hai (sub.sub.example.vn) không được bảo vệ.

Cấp chứng chỉ SSL mất bao lâu?

Chứng chỉ SSL DV (Xác minh tên miền) thường được cấp trong vài phút — đôi khi chỉ vài giây — sau khi hoàn tất xác minh. OV (Xác minh tổ chức) mất 1–3 ngày làm việc, còn EV (Xác minh mở rộng) thường mất 3–7 ngày làm việc.

Có thể chuyển chứng chỉ SSL sang máy chủ khác không?

Có. Xuất tệp chứng chỉ, CA Bundle và khóa riêng tư từ máy chủ hiện tại, sau đó nhập vào máy chủ mới qua bảng điều khiển. Nếu khóa riêng tư bị mất, cần tạo CSR mới và cấp lại chứng chỉ.

Lỗi chuỗi chứng chỉ có nghĩa là gì và cách khắc phục?

Lỗi chuỗi chứng chỉ cho thấy CA Bundle bị thiếu hoặc không đúng. Trình duyệt cố gắng liên kết chứng chỉ của bạn với CA gốc đáng tin cậy; nếu thiếu chứng chỉ trung gian, xảy ra sự gián đoạn và trình duyệt hiển thị lỗi 'chuỗi không tin cậy' hoặc 'NET::ERR_CERT_AUTHORITY_INVALID'. Giải pháp: cài đặt lại chứng chỉ với tệp CA Bundle đầy đủ.

HTTPS có tự động hoạt động sau khi cài đặt SSL không?

Không. Dù chứng chỉ đã được cài đặt trên máy chủ, chuyển hướng từ HTTP sang HTTPS vẫn cần được cấu hình riêng. Trong cPanel và Plesk thường có thể bật bằng một cú nhấp; trong IIS cần có quy tắc URL Rewrite.

Cách cài đặt SSL trên cPanel?

Làm theo đường dẫn Security > SSL/TLS > Install and Manage SSL. Dán chứng chỉ, khóa riêng tư và CA Bundle, sau đó nhấp Install Certificate. Hướng dẫn đầy đủ có ảnh chụp màn hình: https://www.domainnameapi.com/bilgi-bankasi/cpanelde-ssl-kurulumu-nasil-yapilir

Cách cài đặt SSL trên Plesk?

Domains > example.vn > SSL/TLS Certificates > Add SSL/TLS Certificate. Tải lên chứng chỉ và khóa riêng tư. Sau đó bật hỗ trợ SSL/TLS và chuyển hướng 301 trong Hosting Settings. Hướng dẫn đầy đủ: https://www.domainnameapi.com/bilgi-bankasi/plesk-panel-ssl-kurulumu-nasil-yapilir

Cách tạo mã CSR trên IIS?

Mở IIS Manager → nhấp tên máy chủ → Server Certificates → Create Certificate Request (bảng Actions). Nhập thông tin tên miền, đặt độ dài bit là 2048 hoặc cao hơn và lưu tệp đầu ra. Hướng dẫn đầy đủ: https://www.domainnameapi.com/bilgi-bankasi/iis-ile-csr-kodu-nasil-olusturulur

Điều gì xảy ra nếu liên kết xác nhận hết hạn?

Liên kết xác nhận qua email thường có hiệu lực trong 24–72 giờ. Với phương thức DNS và HTTP, các liên kết không có ngày hết hạn; đơn hàng vẫn hoạt động cho đến khi hết hạn (thường 30 ngày). Nếu có vấn đề xác minh, tạo yêu cầu hỗ trợ qua bảng đại lý Domain Name API của bạn.

Kết luận

Cài đặt SSL là quy trình 2 giai đoạn và 6 bước. Chọn phương thức xác minh (email, DNS TXT hoặc tệp HTTP), tạo CSR trên máy chủ đúng, bảo vệ khóa riêng tư, hoàn tất xác minh, cài đặt chứng chỉ cùng với CA Bundle và xác nhận HTTPS.

✅ Sau khi cài đặt, xác nhận chứng chỉ được cấu hình đúng bằng công cụ kiểm tra SSL. Thiếu CA Bundle là vấn đề phổ biến nhất sau khi cài đặt; cài đặt lại với tệp đầy đủ sẽ giải quyết được vấn đề.