Nếu bạn đang vận hành website trên Windows Server/IIS và muốn cài đặt SSL miễn phí để bảo mật kết nối HTTPS, ZeroSSL là một lựa chọn đơn giản và hiệu quả. Với chứng chỉ 90 ngày miễn phí và quy trình cấp tự động, ZeroSSL giúp website an toàn hơn mà không tốn chi phí. Bài viết này hướng dẫn bạn từng bước triển khai SSL ZeroSSL trên IIS, từ tạo chứng chỉ, xác thực domain đến import vào IIS một cách chi tiết và dễ làm theo.
Các bước cài đặt ZeroSSL trên IIS
Bước 1: Khởi tạo yêu cầu chứng chỉ trên ZeroSSL
1.1. Truy cập: Bạn mở trình duyệt web và đi đến trang chủ https://zerossl.com. Sau đó, bạn nhấn vào nút Get Free SSL để đăng nhập hoặc đăng ký một tài khoản mới.
1.2. Tạo chứng chỉ mới: Trong trang quản lý, bạn chọn New Certificate.
1.3. Nhập tên miền: Điền chính xác domain hoặc subdomain bạn muốn cài đặt SSL (ví dụ: example.vietnix.xyz).
1.4. Chọn Gói: Bạn lựa chọn gói 90-Day Certificate (miễn phí).
1.5. Cấu hình: Để mặc định các bước Add-Ons, CSR, Encryption Algorithm (nên chọn 2048), sau đó nhấn Next Step cho đến khi bạn đến trang xác thực tên miền.
Bước 2: Chuẩn bị file xác thực (File Challenge)
2.1. Chọn phương thức xác thực: Tại phần Verification, bạn tick chọn phương thức File Upload vàHTTP..
2.2. Tải file xác thực: Nhấn vào nút Download Auth File để tải file chứa mã xác thực (Challenge File) về máy tính của bạn.
Bước 3: Tạo đường dẫn và upload file xác thực lên Server IIS
Bạn cần tạo một cấu trúc thư mục đặc biệt trong thư mục gốc (Webroot) của website trên IIS và upload file xác thực lên để ZeroSSL có thể kiểm tra.
3.1. Truy cập Webroot: Bạn dùng Remote Desktop để truy cập vào server.
- Trong IIS Manager, chọn site cần cài SSL.
- Chọn Explore để nhanh chóng mở thư mục Webroot của site.
3.2. Tạo thư mục ẩn bằng CMD: Do thư mục .well-known là thư mục ẩn, bạn không thể tạo trực tiếp qua File Explorer thông thường.
- Mở Command Prompt (CMD) (sử dụng phím tắt Windows + R, gõ
cmd). - Nhập cú pháp sau để tạo cấu trúc thư mục yêu cầu:
mkdir .well-known\pki-validation
3.3. Upload File: Sao chép file xác thực (Challenge File) đã download ở Bước 2 vào thư mục vừa tạo (C:\inetpub\wwwroot\.well-known\pki-validation\).
3.4. Kiểm tra xác thực: Mở trình duyệt và truy cập đường dẫn xác thực được ZeroSSL cung cấp. Nếu thấy nội dung file challenge hiện ra, việc chuẩn bị đã thành công.
Bước 4: Thực hiện xác thực và tải bộ SSL Key
4.1. Xác thực: Bạn quay lại ZeroSSL, nhấn Next Step và sau đó chọn Verify Domain.
4.2. Chờ đợi: Quá trình xác thực thường mất vài phút.
4.3. Download: Sau khi xác thực thành công, bạn sẽ được cung cấp file nén Download Certificate (.zip) chứa 3 file: certificate.crt, private.key, ca_bundle.crt. Bạn hãy tải file này về máy tính.
Bước 5: Cấu hình SSL trên IIS
IIS yêu cầu chứng chỉ ở định dạng PFX (chứa cả chứng chỉ và khóa riêng tư) để có thể Import.
5.1. Chuyển đổi sang định dạng PFX:
Bạn cần sử dụng công cụ OpenSSL (thường đã có sẵn trên các máy chủ Linux/macOS hoặc cần cài thêm trên Windows) hoặc một công cụ chuyển đổi PFX online uy tín.
Lệnh OpenSSL để tạo PFX:
openssl pkcs12 -export -out example.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crtKhi chạy lệnh, bạn sẽ được yêu cầu đặt một mật khẩu cho file PFX. Hãy ghi nhớ mật khẩu này.
Tham khảo: Hướng dẫn tạo file PFX từ chứng chỉ SSL
5.2. Import chứng chỉ vào IIS:
- Mở IIS Manager trên server.
- Chọn Server Name (tên máy chủ) ở cột Connections.
- Nhấp đúp vào Server Certificates (dưới Security).
- Chọn Import… (ở cột Actions).
- Duyệt đến file .pfx vừa tạo và nhập mật khẩu PFX đã đặt ở bước trên. Nhấn OK.
5.3. Gán chứng chỉ cho Website (Binding):
- Trong IIS Manager, mở rộng Sites và chọn website của bạn.
- Chọn Bindings… (ở cột Actions).
- Nhấn Add… để thêm Binding HTTPS mới:
- Type: https
- IP address: Chọn địa chỉ IP hoặc All Unassigned.
- Port: 443
- SSL certificate: Chọn tên chứng chỉ bạn vừa Import.
- Nhấn OK để lưu.
- Áp dụng Redirect (Tùy chọn): Để buộc truy cập qua HTTPS, bạn cần cấu hình redirect từ HTTP sang HTTPS (có thể dùng module URL Rewrite hoặc cấu hình trong file web.config).
Kiểm tra kết quả và xử lý lỗi phổ biến
Kiểm tra kết quả
- Truy cập trực tiếp: Mở trình duyệt và truy cập website bằng HTTPS (ví dụ:
https://example-02.vietnix.xyz). Nếu bạn thấy biểu tượng ổ khóa an toàn trên thanh địa chỉ, quá trình cài đặt đã thành công.
- Sử dụng công cụ online: Dùng các trang web như https://www.sslshopper.com/ssl-checker.html để kiểm tra chi tiết cấu hình SSL, đảm bảo chuỗi chứng chỉ (certificate chain) đã đầy đủ và hợp lệ.
Xử lý lỗi phổ biến
| Lỗi | Nguyên nhân | Cách khắc phục |
|---|---|---|
| 404/Không truy cập được file challenge | Port 80 bị chặn hoặc đường dẫn file sai. | Mở Port 80 trong Windows Firewall. Kiểm tra lại đường dẫn webroot\.well-known\pki-validation\ đã chính xác chưa. Thêm MIME Type cho file không có phần mở rộng trong IIS. |
| Lỗi khi Import PFX | Sai mật khẩu PFX hoặc file PFX bị hỏng. | Kiểm tra lại mật khẩu đã đặt cho file PFX. Đảm bảo file PFX được tạo đúng từ 3 file .crt, .key, .ca_bundle. |
| SSL không hiển thị ổ khóa | Mixed content (trang HTTPS gọi tài nguyên HTTP). | Kiểm tra Source Code, chuyển tất cả tài nguyên (ảnh, CSS, JS) sang HTTPS. |
| HTTPS không hoạt động | Chưa gán Binding hoặc gán sai chứng chỉ. | Vào IIS Bindings, đảm bảo có Binding HTTPS 443 và chọn đúng chứng chỉ đã Import. |
Như vậy, bạn đã hoàn tất việc cài đặt SSL miễn phí từ ZeroSSL trên web server IIS, giúp website của bạn trở nên an toàn và chuyên nghiệp hơn. Việc mã hóa kết nối không chỉ bảo vệ dữ liệu truyền tải giữa người dùng và máy chủ mà còn là một tín hiệu tin cậy quan trọng. Hãy nhớ rằng chứng chỉ miễn phí của ZeroSSL có thời hạn 90 ngày, vì vậy bạn cần lên kế hoạch gia hạn trước khi hết hạn để đảm bảo website hoạt động liên tục và không bị gián đoạn. Nếu còn điều gì thắc mắc, bạn có thể liên hệ kỹ thuật Vietnix để được hỗ trợ.
VIETNIX – DỊCH VỤ HOSTING, VPS TỐC ĐỘ CAO, ỔN ĐỊNH, BẢO MẬT
- Địa chỉ: 265 Hồng Lạc, Phường Bảy Hiền, Thành Phố Hồ Chí Minh
- Điện thoại: 1800 1093
- Email liên hệ: sales@vietnix.com.vn
- Website: https://vietnix.vn/
