Cách tạo mã CSR bằng IIS
Để kích hoạt chứng chỉ SSL, trước tiên bạn cần tạo CSR (Certificate Signing Request — Yêu cầu ký chứng chỉ) trên máy chủ đang lưu trữ trang web của mình. CSR là một khối văn bản được mã hóa chứa tên miền, thông tin tổ chức và khóa công khai của máy chủ. Nhà cung cấp chứng chỉ sử dụng thông tin này để cấp chứng chỉ SSL dành riêng cho tên miền của bạn. Hướng dẫn này giải thích từng bước quy trình tạo CSR bằng IIS (Internet Information Services) trên Windows Server. Các bước hoàn toàn giống nhau trên mọi phiên bản IIS.

⚠️ Quan trọng: Mã CSR bắt buộc phải được tạo trên máy chủ đang lưu trữ trang web của bạn. CSR được tạo trên máy chủ khác sẽ gây ra lỗi không khớp khóa trong quá trình cài đặt chứng chỉ.
Tạo CSR bằng IIS: Các bước nhanh
- Mở IIS Manager
Nhấp vào nút Start hoặc thanh tìm kiếm, nhập "IIS" hoặc "inetmgr" rồi nhấp vào Internet Information Services (IIS) Manager. - Điều hướng đến Server Certificates
Nhấp vào tên máy chủ trong bảng bên trái, sau đó nhấp đúp vào biểu tượng "Server Certificates". - Nhấp vào Create Certificate Request
Nhấp vào "Create Certificate Request..." trong bảng Actions bên phải. - Nhập thông tin Distinguished Name
Nhập tên miền, công ty, thành phố, tỉnh/thành và quốc gia. Không sử dụng ký tự đặc biệt. - Cấu hình nhà cung cấp mã hóa
Để nhà cung cấp theo giá trị mặc định, đặt độ dài bit (Bit length) thành 2048 hoặc cao hơn, rồi nhấp Next. - Chọn vị trí lưu
Nhấp vào nút "...", chọn Desktop rồi nhấp Finish. - Xem mã CSR
Mở tệp .txt đã lưu bằng Notepad. - Xác minh mã CSR
Dán mã vào công cụ CSR decoder và kiểm tra tính chính xác của thông tin.
Bước 1 — Mở IIS Manager
Nhấp vào nút Start của Windows hoặc thanh tìm kiếm. Nhập "IIS" hoặc "inetmgr". Nhấp vào Internet Information Services (IIS) Manager trong kết quả tìm kiếm.
Bước 2 — Mở phần Server Certificates
Nhấp vào tên máy chủ của bạn trong bảng bên trái của IIS Manager. Nhấp đúp vào biểu tượng "Server Certificates" trong bảng chính ở giữa.
Bước 3 — Nhấp vào Create Certificate Request
Nhấp vào "Create Certificate Request..." trong bảng Actions bên phải màn hình. Trình hướng dẫn CSR sẽ mở ra.
Bước 4 — Nhập thông tin Distinguished Name
Cửa sổ "Distinguished Name Properties" sẽ mở ra. Điền vào từng trường một cách cẩn thận:
| Trường | Ví dụ | Mô tả |
|---|---|---|
| Common Name (CN) | example.com | Tên miền đầy đủ — dùng *.example.com cho Wildcard |
| Organization (O) | Công ty Ví dụ TNHH | Tên thương mại chính thức đã đăng ký của công ty |
| Org. Unit (OU) | IT | Tên phòng ban (IT, Web, Marketing, v.v.) |
| City / Locality (L) | Ho Chi Minh City | Tên đầy đủ của thành phố — không dùng viết tắt |
| State / Province (S) | Ho Chi Minh | Tên đầy đủ của tỉnh hoặc thành phố trực thuộc |
| Country (C) | VN | Mã quốc gia ISO 2 chữ cái |
⚠️ Không nhập ký tự đặc biệt (dấu trọng âm, dấu phẩy, dấu nháy đơn) vào bất kỳ trường nào. Các ký tự này có thể khiến nhà cung cấp chứng chỉ từ chối CSR của bạn.
Sau khi điền đầy đủ tất cả các trường, nhấp "Next".
Bước 5 — Cấu hình nhà cung cấp mã hóa và độ dài bit
Để trường "Cryptographic service provider" ở giá trị mặc định: Microsoft RSA SChannel Cryptographic Provider. Không thay đổi trường này.
Trường "Bit length" có thể hiển thị giá trị mặc định là 1024. Hãy tăng lên 2048 hoặc cao hơn — đây là độ dài khóa tối thiểu được các nhà cung cấp chứng chỉ hiện đại chấp nhận. Sau đó nhấp "Next".
Bước 6 — Chọn vị trí lưu
Nhấp vào nút "..." (Duyệt) để chọn nơi lưu tệp CSR. Nên chọn Desktop để dễ dàng truy cập. Sau khi xác định đường dẫn, nhấp "Finish".
Bước 7 — Xem mã CSR
Điều hướng đến vị trí lưu đã chọn và mở tệp .txt bằng Notepad. Mã CSR của bạn sẽ trông như sau:
-----BEGIN CERTIFICATE REQUEST-----
MIIByjCCATMCAQAwgYkxCzAJBgNVBAYT...
-----END CERTIFICATE REQUEST-----
ℹ️ Khi sao chép mã, nhất thiết phải bao gồm cả dòng -----BEGIN CERTIFICATE REQUEST----- và -----END CERTIFICATE REQUEST-----. CSR sao chép không đầy đủ sẽ gây ra lỗi trong quá trình kích hoạt.
Bước 8 — Xác minh mã CSR
Kiểm tra tính chính xác của mã CSR trước khi gửi để kích hoạt SSL. Dán mã đầy đủ vào công cụ CSR decoder và xác nhận rằng thông tin đã nhập hiển thị chính xác. Nếu có trường nào không đúng, bạn có thể tạo CSR mới trên cùng máy chủ — quy trình hoàn toàn giống nhau.
✅ Mã CSR của bạn đã sẵn sàng. Sao chép mã đầy đủ (bao gồm cả dấu gạch ngang) và gửi khi kích hoạt chứng chỉ SSL của bạn.
Các lỗi thường gặp

| Lỗi | Hậu quả | Giải pháp |
|---|---|---|
| Nhập ký tự đặc biệt vào các trường | CSR bị nhà cung cấp chứng chỉ từ chối | Chỉ sử dụng ký tự ASCII tiêu chuẩn trong tất cả các trường DN |
| Để độ dài bit là 1024 | CA hiện đại từ chối khóa dưới 2048 bit | Tăng lên 2048 hoặc 4096 trước khi nhấp Next |
| Tạo CSR trên máy chủ sai | Không khớp khóa riêng tư khi cài đặt | Luôn tạo CSR trên máy chủ đang lưu trữ trang web |
| Sao chép CSR không đầy đủ | Kích hoạt thất bại ngay lập tức | Sao chép mã đầy đủ bao gồm cả dòng BEGIN và END |
Danh sách kiểm tra xác minh
- Tệp CSR đã được lưu ở vị trí có thể truy cập
- Đã sao chép mã CSR đầy đủ (bao gồm cả dòng BEGIN và END)
- Đã xác minh bằng CSR decoder — tên miền, tổ chức và quốc gia hiển thị chính xác
- Độ dài bit đã được đặt thành 2048 hoặc cao hơn
- Không có ký tự đặc biệt nào được sử dụng trong bất kỳ trường DN nào
Các thực hành tốt nhất

- Luôn sử dụng độ dài khóa 2048 bit hoặc 4096 bit — 1024 bit không còn được chấp nhận
- Lưu trữ tệp CSR và khóa riêng tư ở nơi an toàn
- Nhập tên miền đầy đủ vào trường Common Name — không thêm giao thức hoặc dấu gạch chéo
- Đối với chứng chỉ Wildcard, nhập Common Name theo định dạng *.example.com
- Xác minh CSR bằng công cụ decoder trước khi gửi để kích hoạt — bước này giúp tránh lãng phí thời gian
Các bước tiếp theo
Sau khi mã CSR đã sẵn sàng:
- Gửi mã CSR trong quá trình kích hoạt SSL qua Domain Name API.
- Sau khi chứng chỉ được cấp, hoàn tất cài đặt bằng tùy chọn "Complete Certificate Request" trong IIS.
- Xác minh cài đặt bằng biểu tượng ổ khóa trên trình duyệt và công cụ SSL checker.
Câu hỏi thường gặp (FAQ)
Mã CSR là gì?
CSR (Certificate Signing Request — Yêu cầu ký chứng chỉ) là một khối văn bản được mã hóa tạo trên máy chủ của bạn. Nó chứa tên miền, thông tin tổ chức và khóa công khai của máy chủ. Nhà cung cấp chứng chỉ sử dụng thông tin này để cấp chứng chỉ SSL dành riêng cho tên miền của bạn.
Tại sao CSR phải được tạo trên cùng một máy chủ?
Khi tạo CSR, hai khóa được tạo ra: khóa công khai (bao gồm trong CSR) và khóa riêng tư (lưu trữ trên máy chủ). Hai khóa này phải tương ứng với nhau. Nếu tạo CSR trên máy chủ khác, khóa riêng tư sẽ không được tìm thấy trong quá trình cài đặt chứng chỉ và quá trình cài đặt sẽ thất bại.
Nhập Common Name cho chứng chỉ SSL Wildcard như thế nào?
Đối với chứng chỉ SSL Wildcard, hãy nhập *.example.com vào trường Common Name. Điều này bao gồm tên miền gốc và tất cả các tên miền con cấp một (www, mail, shop, v.v.).
Phải làm gì sau khi tạo CSR?
Sao chép mã CSR đầy đủ (bao gồm cả dấu gạch ngang), xác minh bằng công cụ CSR decoder và gửi trong quá trình kích hoạt SSL. Sau khi chứng chỉ được cấp, hãy làm theo hướng dẫn cài đặt SSL của IIS để hoàn tất cài đặt.
CSR decoder là gì?
CSR decoder là công cụ miễn phí đọc mã CSR được mã hóa và hiển thị nội dung của nó theo cách dễ hiểu. Nó cho phép bạn xác minh thông tin như tên miền, tổ chức, quốc gia và độ dài khóa trước khi kích hoạt chứng chỉ.
Phải làm gì nếu mã CSR của tôi có lỗi?
Tạo CSR mới trên cùng máy chủ bằng cách làm theo các bước tương tự. Không có giới hạn về số lần tạo CSR. Tiếp tục kích hoạt bằng mã CSR mới tạo.
Hướng dẫn này bao gồm những phiên bản IIS nào?
Các bước trong hướng dẫn này hoạt động giống nhau trên IIS 5.x, 6.x, 7.x, 8.x, 10 và tất cả các phiên bản Windows Server tiếp theo. Giao diện IIS Manager nhất quán giữa các phiên bản liên quan đến việc tạo CSR.
Tôi có thể sử dụng cùng một CSR cho nhiều chứng chỉ SSL không?
Không. Nên tạo CSR mới cho mỗi lần kích hoạt chứng chỉ SSL. Tái sử dụng CSR từ chứng chỉ cũ có thể gây ra sự cố với khóa riêng tư.
Kết luận
Tạo CSR trong IIS chỉ mất vài phút. Mở IIS Manager, điều hướng đến Server Certificates, tạo yêu cầu chứng chỉ mới, nhập thông tin tên miền, đặt độ dài bit thành 2048 hoặc cao hơn và lưu tệp. Xác minh bằng công cụ CSR decoder trước khi gửi.
Quy tắc quan trọng nhất: luôn tạo CSR trên máy chủ đang lưu trữ trang web của bạn. CSR được tạo trên máy khác sẽ gây ra sự không khớp khóa riêng tư khi cài đặt chứng chỉ.
✅ Sau khi CSR đã sẵn sàng, hãy xác minh bằng công cụ decoder và gửi để kích hoạt SSL.
Khám phá các tùy chọn chứng chỉ SSL
Domain Name API cung cấp chứng chỉ SSL DV, OV, EV và Wildcard. Lựa chọn phù hợp cho một tên miền, nhiều tên miền con hoặc cơ sở hạ tầng doanh nghiệp luôn sẵn có.
