Cách cài đặt chứng chỉ SSL trên IIS

Để cài đặt chứng chỉ SSL trên IIS, hãy mở IIS Manager, điều hướng đến Server Certificates và tải lên tệp .crt của bạn thông qua tùy chọn Complete Certificate Request. Sau đó nhấp chuột phải vào trang web của bạn, chọn Edit Bindings > Add và tạo HTTPS Binding trên cổng 443. Từ khi tạo CSR đến khi xác minh cài đặt, toàn bộ quá trình mất khoảng 15 phút trong hầu hết các môi trường Windows Server. Hướng dẫn này giải thích từng bước kèm ảnh chụp màn hình và bao quát đầy đủ các lỗi phổ biến cũng như cấu hình chuyển hướng từ HTTP sang HTTPS.

Bạn muốn bán chứng chỉ SSL cho khách hàng của mình?

Với chương trình đại lý SSL của Domain Name API, bạn có thể cung cấp chứng chỉ DV, OV, EV và Wildcard thông qua một API duy nhất.

Xem giải pháp đại lý SSL →

Những gì bạn cần chuẩn bị trước khi cài đặt SSL trên IIS

Trước khi mở IIS Manager, hãy đảm bảo rằng tất cả những điều sau đây đã sẵn sàng. Nếu thiếu bất kỳ mục nào, bạn có thể bị mắc kẹt giữa chừng trong quá trình cài đặt.

Yêu cầu Mô tả
Quyền truy cập IIS Manager Internet Information Services Manager phải được cài đặt và đang chạy trên Windows Server.
Quyền quản trị viên Bạn cần quyền Local Administrator hoặc Domain Administrator trên máy chủ để cài đặt chứng chỉ. Tài khoản người dùng thông thường không thể cài đặt chứng chỉ.
CSR (Certificate Signing Request) Được tạo ở bước 2 thông qua IIS Manager. CSR cũng tạo ra khóa riêng tư — cả hai phải ở lại trên cùng một máy chủ.
Tệp chứng chỉ SSL (.crt) Được cấp bởi CA (Tổ chức chứng nhận) sau khi hoàn tất xác minh tên miền.
CA Bundle / Chứng chỉ trung gian Được CA cung cấp cùng với chứng chỉ. Bắt buộc để có chuỗi tin cậy hoàn chỉnh — đừng bỏ qua.
Khóa riêng tư Được tạo tự động khi tạo CSR trong IIS. Ở lại trên máy chủ và không thể tải xuống dưới dạng tệp riêng biệt.

⚠️ Nếu bạn đã tạo CSR trên máy chủ khác, bạn không thể sử dụng phương thức Complete Certificate Request. Thay vào đó, hãy xuất tệp .pfx (chứng chỉ + khóa riêng tư kết hợp) từ máy chủ gốc và sử dụng tùy chọn 'Import' trong IIS.

Bước 1 — Chọn chứng chỉ SSL phù hợp

Chứng chỉ SSL không phải là giải pháp một size cho tất cả. Loại bạn cần phụ thuộc vào số lượng tên miền cần bảo mật và mức độ xác minh danh tính mà người dùng của bạn mong đợi.

Loại Xác minh nội dung gì Phù hợp với ai Ví dụ
DV SSL Chỉ quyền sở hữu tên miền Blog, trang web cá nhân, doanh nghiệp nhỏ www.example.vn
OV SSL Tên miền + danh tính tổ chức Trang web doanh nghiệp, nền tảng SaaS Trang web chính thức công ty
EV SSL Xác minh doanh nghiệp mở rộng Thương mại điện tử, tài chính — mức độ tin cậy cao nhất checkout.example.vn
Wildcard SSL Tên miền + tất cả tên miền phụ cấp độ đầu tiên Nhà cung cấp hosting, cấu trúc có nhiều tên miền phụ *.example.vn

Đối với các nhà cung cấp hosting và đại lý tên miền, Wildcard SSL thường là lựa chọn thực tế nhất — một chứng chỉ bao phủ tất cả tên miền phụ mà không cần gia hạn từng cái riêng lẻ.

Bạn đang bán SSL cho khách hàng?

Chương trình đại lý SSL của Domain Name API cung cấp cho bạn quyền truy cập vào chứng chỉ DV, OV, EV và Wildcard với giá đại lý cạnh tranh.

Xem giá đại lý SSL →

Bước 2 — Mở IIS Manager

Trên Windows Server nhấn Win + R, nhập inetmgr và nhấn Enter. Hoặc tìm kiếm "IIS" trong menu Start và chọn Internet Information Services (IIS) Manager.

Cách cài đặt chứng chỉ SSL trên IIS

ℹ️ Không tìm thấy IIS Manager? Hãy làm theo đường dẫn này: Server Manager → Thêm vai trò và tính năng → Web Server (IIS). Trên các phiên bản Windows desktop: Control Panel → Programs → Bật hoặc tắt tính năng Windows → Internet Information Services.

Bước 3 — Mở Server Certificates

Trong bảng điều khiển bên trái của IIS Manager, nhấp vào tên máy chủ của bạn. Trong bảng điều khiển trung tâm chính, tìm biểu tượng "Server Certificates" và nhấp đúp vào đó.

Cách cài đặt chứng chỉ SSL trên IIS

Bước 4 — Tạo CSR và tải lên tệp chứng chỉ

Nếu bạn chưa tạo CSR, hãy hoàn thành bước này trước khi tải lên tệp chứng chỉ.

Cách tạo CSR

  1. Nhấp vào "Create Certificate Request…" trong bảng Actions.
  2. Điền vào các trường Distinguished Name — Common Name phải khớp chính xác với tên miền bạn đang bảo mật.
  3. Đặt độ dài khóa thành 2048 (tối thiểu) hoặc 4096 để mã hóa mạnh hơn.
  4. Lưu tệp .txt — bạn sẽ cần dán nội dung vào biểu mẫu yêu cầu của CA.

Quay lại bước này sau khi CA đã cấp chứng chỉ.

Cài đặt chứng chỉ — Complete Certificate Request

Nhấp vào "Complete Certificate Request…" trong bảng Actions để mở trình hướng dẫn cài đặt.

Cách cài đặt chứng chỉ SSL trên IIS

⚠️ Bạn đã tạo CSR trên máy chủ khác? Complete Certificate Request sẽ không hoạt động trong trường hợp này. Xuất tệp .pfx (PKCS#12) — bao gồm khóa riêng tư — từ máy chủ gốc và sử dụng tùy chọn 'Import' trong bảng Actions dưới Server Certificates.

Nếu bạn đang chuyển từ cPanel, Plesk hoặc máy chủ Linux sang IIS: bạn không thể nhập trực tiếp chứng chỉ hiện có vào IIS. Trước tiên hãy chuyển đổi chứng chỉ sang định dạng .pfx (PKCS#12) bằng lệnh OpenSSL hoặc công cụ chuyển đổi PEM→PFX trực tuyến, sau đó sử dụng Server Certificates → Import trong IIS. Lệnh OpenSSL là:

openssl pkcs12 -export -out chungnhi.pfx -inkey khoa-rieng.key -in chungnhi.crt -certfile cabundle.crt

Bước 5 — Chọn tệp chứng chỉ và nhập Friendly Name

Cửa sổ "Specify Certificate Authority Response" sẽ mở ra. Điền vào ba trường như sau:

Trường Nội dung cần nhập
File name (.cer) Chọn tệp .crt của bạn qua nút "…". IIS chấp nhận cả phần mở rộng .crt và .cer.
Friendly name Nhãn ngắn mà bạn sẽ nhận ra — ví dụ: example.vn-2025. Bạn sẽ chọn tên này lại ở bước 6.
Certificate store Chọn "Personal". Nếu chứng chỉ không xuất hiện sau đó, hãy thử "Web Hosting".

Cách cài đặt chứng chỉ SSL trên IIS

Nhấp "OK" sau khi điền đầy đủ tất cả các trường. Chứng chỉ hiện đã được tải lên máy chủ. Nó chưa phục vụ lưu lượng HTTPS — điều đó xảy ra ở bước tiếp theo.

Bước 6 — Tạo HTTPS Binding trên cổng 443

Chứng chỉ đã được cài đặt nhưng IIS vẫn chưa biết trang web nào sẽ sử dụng nó. Bạn cần tạo một Binding kết nối cổng 443 với trang web và chứng chỉ của mình.

Nhấp chuột phải vào trang web của bạn trong bảng điều khiển bên trái và nhấp vào "Edit Bindings…". Trong cửa sổ Site Bindings nhấp vào "Add".

Cách cài đặt chứng chỉ SSL trên IIS

Trường Giá trị / Mô tả
Type https
IP Address All Unassigned — hoặc IP cụ thể được gán cho máy chủ của bạn nếu có
Port 443
Hostname Nhập tên miền đúng như trong chứng chỉ (ví dụ: www.example.vn)
SNI Đánh dấu "Require Server Name Indication" nếu nhiều trang web dùng chung địa chỉ IP này
SSL Certificate Chọn Friendly Name bạn đã nhập ở bước 5

Cách cài đặt chứng chỉ SSL trên IIS

Nhấp "OK" để lưu. Trang web của bạn hiện có thể truy cập qua HTTPS.

SNI là gì và khi nào nên bật?

SNI (Server Name Indication) là một phần mở rộng TLS cho phép một địa chỉ IP phục vụ nhiều chứng chỉ SSL — một chứng chỉ cho mỗi hostname. Không có SNI, IIS chỉ có thể phục vụ một chứng chỉ mỗi địa chỉ IP bất kể hostname.

Bật SNI trong các trường hợp sau: (a) bạn lưu trữ nhiều trang web HTTPS trên một IP máy chủ, hoặc (b) máy chủ của bạn nằm sau bộ cân bằng tải dùng chung. IIS 7.5 và các phiên bản cũ hơn không hỗ trợ SNI — cần có IP riêng biệt cho mỗi tên miền. IIS 8 và các phiên bản mới hơn hỗ trợ SNI một cách tự nhiên.

Bước 7 — Chuyển hướng từ HTTP sang HTTPS

Thêm HTTPS Binding không tự động chuyển hướng lưu lượng http://. Không có chuyển hướng, một số khách truy cập — và bot của công cụ tìm kiếm — sẽ tiếp tục truy cập phiên bản không được mã hóa của trang web của bạn.

Chuyển hướng bằng mô-đun URL Rewrite của IIS (khuyến nghị)

  1. Tải xuống và cài đặt mô-đun URL Rewrite từ Microsoft (miễn phí, qua Web Platform Installer hoặc tải xuống trực tiếp).
  2. Chọn trang web của bạn trong IIS Manager và nhấp đúp vào "URL Rewrite".
  3. Chọn "Add Rule(s)" → "Blank Rule". Đặt tên quy tắc là "HTTP to HTTPS".
  4. Match URL: Pattern = .*
  5. Thêm điều kiện: {HTTPS} khớp với mẫu "^OFF$".
  6. Hành động: Chuyển hướng đến https://{HTTP_HOST}/{R:0}, Loại chuyển hướng: Vĩnh viễn (301).

Tại sao điều này quan trọng cho SEO và niềm tin của người dùng: Google đã sử dụng HTTPS như một tín hiệu xếp hạng từ năm 2014. Cụ thể hơn, Chrome và Edge đánh dấu mọi trang HTTP là 'Không an toàn' — điều này làm giảm niềm tin của người dùng và tăng tỷ lệ thoát trang; cả hai đều là yếu tố SEO tiêu cực gián tiếp. Chuyển hướng 301 cũng chuyển link equity từ URL HTTP sang phiên bản HTTPS.

Bước 8 — Xác minh cài đặt SSL

Đừng giả định rằng mọi thứ đang hoạt động — hãy xác minh. Thực hiện ba kiểm tra này trước khi coi việc cài đặt là hoàn tất:

  • Biểu tượng khóa trong trình duyệt: Mở https://www.example.vn trong Chrome hoặc Edge. Biểu tượng khóa trên thanh địa chỉ xác nhận HTTPS đang hoạt động.
  • SSL Checker: Sử dụng công cụ kiểm tra SSL trực tuyến để xác minh chuỗi chứng chỉ, ngày hết hạn và nhà phát hành.
  • Kiểm tra SSL Labs: Truy cập ssllabs.com/ssltest và nhập tên miền của bạn. Đặt mục tiêu đạt xếp hạng A hoặc A+ — xếp hạng thấp hơn thường cho thấy có vấn đề cấu hình cần khắc phục.

✅ Không có biểu tượng khóa? Nguyên nhân phổ biến nhất là chuỗi chứng chỉ không đầy đủ — chứng chỉ trung gian (CA Bundle) chưa được cài đặt. Cài đặt nó vào kho chứng chỉ IIS qua certlm.msc bằng MMC, sau đó khởi động lại IIS.