Những lưu ý khi đăng ký sử dụng chứng thư SSL

Khai báo thông tin đầy đủ và chính xác ngay từ bước đầu là vô cùng quan trọng trong việc đăng ký chứng thư SSL, bởi nếu chỉ một sai sót nhỏ cũng có thể dẫn đến việc đăng ký chứng thư SSL thất bại hoặc thời gian chờ cấp phát sẽ phát sinh rất lâu.

Nhằm giúp bạn tránh mất nhiều thời gian và những phiền phức không đáng có trong quá trình đăng ký sử dụng SSL, chúng tôi xin nêu những lưu ý cần thiết sau đây:

Trước tiên, bạn cần hiểu rỏ về Quy trình đăng ký SSL.

Quy trình đăng ký SSL

Bước 1: Chọn gói SSL theo nhu cầu của bạn.
Các gói SSL tại Mắt Bão: GeoTrust SSL, Comodo SSL, Symantec.
Lưu ý: Symantec chỉ cấp phát chứng thư SSL loại OV (Organization Validation SSL) và EV (Extended Validation SSL), không cấp phát chứng thư SSL loại DV (Domain Validated).

Bước 2: Nhân viên kinh doanh Mắt Bão sẽ liên hệ bạn để tư vấn những thông tin cần thiết và hướng dẫn thanh toán.
Bước 3: Bạn thanh toán 100% giá trị của gói SSL.
Bước 4: Tạo mã CSR/ Private Key.
Có nhiều cách để tạo tập tin CSR, bạn có thể tạo CSR từ IIS, chạy lệnh (command line) thông qua openSSL, keytool, IIS,… hoặc tạo CSR từ các Control Panel (cPanel, Plesk, DirectAdmin, VestaCP, …) hay đơn giản hơn bạn có thể sử dụng công cụ CSR Generate của Mắt Bão tại đây để thực hiện nhanh chóng (và dễ dàng hơn, vì có hướng dẫn cụ thể trong lúc nhập thông tin).

Bước 5: Tạo Email xác thực và khai báo thông tin.
• Địa chỉ Email xác thực: Nhà cấp phát SSL (CA) sẽ chỉ gửi mail Approve về 1 trong 5 địa chỉ Email theo tên miền chính đăng ký SSL sau đây:

admin@domain.tld (mặc định – thường dùng)
administrator@domain.tld
postmaster@domain.tld
hostmaster@domain.tld
webmaster@domain.tld

  • Địa chỉ Email xác thực tạo ra phải trùng với địa chỉ Email đã khai báo khi tạo mã CSR (bước 4).
  • Bạn phải chắc chắn rằng địa chỉ email xác thực đang tồn tại và có thể Gửi/ Nhận tốt trong suốt quá trình đăng ký chứng thư SSL, bởi nhà cấp phát SSL (CA) sẽ gửi yêu cầu xác minh đến địa chỉ Email này để bạn xác nhận (Approve). Ngoài ra, đây cũng là Email để bạn nhận tập tin CRT từ nhà cấp phát SSL sau khi xác minh thông tin thành công.
  • Nếu bạn chưa có địa chỉ email xác thực bạn phải tạo ra để sử dụng.

• Khai báo thông tin Doanh nghiệp/ Tổ chức: Bạn chỉ thực hiện việc này nếu SSL mà bạn đăng ký là loại OV (Organization Validation SSL) hoặc EV (Extended Validation SSL). Nếu bạn chưa từng khai báo thông tin, bạn phải khai báo thông tin Doanh nghiệp/ Tổ chức theo đúng thông tin đã đăng ký trên giấy phép kinh doanh. Cách thực hiện như sau:

  • Đối với GeoTrust SSLSymantec SSL: Bạn khai báo thông tin doanh nghiệp trên: Trang Vàng.
  • Đối với Comodo SSL: Bạn khai báo thông tin doanh nghiệp trên trang: Dun & Bradstreet.
  • Vui lòng xem hướng dẫn cách khai báo thông tin Doanh nghiệp tại đây.

Bước 6: Kích hoạt dịch vụ trên https://id.matbao.net
Sau khi bạn thanh toán đơn hàng tại bước 3, dịch vụ chứng thư SSL của bạn đã tồn tại nhưng đang ở trạng thái chưa được kích hoạt. Để kích hoạt dịch vụ SSL, bạn đăng nhập vào https://id.matbao.net, chọn mục Dịch vụ » Dịch vụ SSL đã thanh toán:

Sau khi Click vào Kích hoạt, một cửa sổ xuất hiện cho phép bạn nhập mã CSR (đã tạo tại bước 4). Bạn có thể Copy và Paste vào ô nhập CSR, sau đó thoát chuột ra khỏi ô nhập để hệ thống tiến hành kiểm tra.

Nếu mã CSR hợp lệ, bạn tiến hành chọn địa chỉ Email xác thực bên dưới ô nhập.
Xin đặc biệt lưu ý: Địa chỉ Email bạn chọn tại đây phải trùng với địa chỉ Email mà bạn đã khai báo khi tạo CSR (bước 4) và cũng là địa chỉ Email bạn đã tạo ra tại bước 5. Đây là địa chỉ Email dùng để “Approve” cũng như nhận tập tin CRT sau này.

Sau khi hoàn tất, bạn click Kích hoạt để hệ thống gửi yêu cầu đề nghị cấp phát SSL đến nhà cung cấp SSL (CA). Lúc này, trạng thái của dịch vụ sẽ chuyển sang PENDING và bây giờ công việc của bạn là chờ Approve khi nhận được mail từ nhà cung cấp SSL gửi đến địa chỉ Email mà bạn đã khai báo trên (trong vòng 48h).

Bước 7: Nhà cấp phát SSL xác minh thông tin qua Email/ Điện thoại. Bạn xác nhận thông tin với nhà cấp phát SSL.
Tại bước này, bạn phải làm việc trực tiếp với nhà cấp phát SSL (CA chỉ xác minh thông tin của người đăng ký – không phải với Mắt Bão). Theo đó, nhà cấp phát SSL sẽ phải tiến hành xác minh Doanh nghiệp/ Tổ chức nếu SSL bạn đăng ký là SSL loại OV (Organization Validation SSL) hoặc EV (Extended Validation SSL). Bạn phải hợp tác và tuân thủ các bước xác minh thông tin Doanh nghiệp/ Tổ chức.

Các hình thức CA liên hệ đến bạn để xác minh thông tin:
• Địa chỉ Email xác thực: Chính là địa chỉ Email mà bạn đã khai báo trên.
• Trang web thông tin Doanh nghiệp/ Tổ chức: Là các trang web mà bạn đã khai báo thông tin Doanh nghiệp/ Tổ chức (Trang Vàng hoặc trang Dun & Bradstreet).
• Điện thoại: Nhiều khả năng một số nhà cung cấp SSL sẽ liên hệ trực tiếp đến bạn qua số điện thoại của Doanh nghiệp đã khai báo và trao đổi bằng tiếng Anh.
Do khác múi giờ nên rất có thể bạn sẽ phải trao đổi vào ban đêm.
Các tổ chức cấp phát SSL (CA) không làm việc vào các ngày Thứ Bảy, Chủ nhật trong tuần.

Bước 7: Nhà cung cấp SSL cấp phát chứng nhận SSL cho bạn sau khi xác minh hoàn tất.
Ngay sau khi nhà cung cấp SSL cấp phát chứng nhận SSL cho bạn, bạn kiểm tra Email sẽ nhận được các tập tin: CRT, CA.

Bước 8: Bạn cài đặt SSL sau khi đã có đủ các tập tin: CRT, CA, Private Key.
Lưu ý: Để cài đặt SSL trên máy chủ, bạn bắt buộc phải có đủ 3 tập tin mã CRT, CA, Private Key.

Những lưu ý cần thiết khi đăng ký SSL

• Bạn phải chắc chắn rằng tên miền đăng ký SSL đang hoạt động, không bị khoá, tạm ngưng, hết hạn, …

Địa chỉ Email xác thực: Bắt buộc phải tồn tại và đang sử dụng để Gửi/ Nhận được tốt. Đây là Email dùng để xác minh thông tin mà nhà cấp phát SSL (CA) gửi đến bạn và cũng là Email để bạn nhận tập tin CRT sau khi xác minh hoàn tất. Do đó, ngay sau khi tạo CSR bạn phải tạo địa chỉ Email này. Nhà cấp phát SSL (CA) chỉ chấp nhận 1 trong 5 địa chỉ Email sau đây:

admin@domain.tld (mặc định – thường dùng)
administrator@domain.tld
postmaster@domain.tld
hostmaster@domain.tld
webmaster@domain.tld

• Khi kích hoạt dịch vụ SSL trên trang https://id.matbao.net, tại cửa sổ kiểm tra CSR, địa chỉ Email xác thực bạn chọn phải trùng với địa chỉ Email mà bạn đã khai báo khi tạo CSR (bước 4 trong quy trình) và cũng là địa chỉ Email bạn đã tạo ra (bước 5 trong quy trình). Đây là địa chỉ Email dùng để “Approve” cũng như nhận tập tin CRT sau này.

• Bạn phải thường xuyên kiểm tra Email xác thực để xác nhận thông tin từ CA trong suốt quá trình đăng ký SSL.

• Nếu SSL bạn đăng ký là SSL loại OV (Organization Validation SSL) hoặc EV (Extended Validation SSL), bạn cần lưu ý những điều sau đây:

  • Khi tạo mã CSR, những thông tin nhập vào phải cẩn thận và chính xác. Đặc biệt lưu ý các trường: Tên miền (Common Name), Tên Doanh nghiệp/ Tổ chức, Quốc gia, Tỉnh/ Thành Phố, Quận/ Huyện phải khớp 100% so với thông tin đã đăng ký trên trang thông tin doanh nghiệp hoặc trên giấy phép kinh doanh.
  • Đối với GeoTrust SSLSymantec SSL, bạn khai báo thông tin doanh nghiệp trên: Trang Vàng. Thông tin Doanh nghiệp/ Tổ chức bạn khai báo phải trùng khớp 100% so với thông tin đã đăng ký trên trang thông tin doanh nghiệp hoặc trên giấy phép kinh doanh.
  • Đối với Comodo SSL, bạn khai báo thông tin doanh nghiệp trên trang: Dun & Bradstreet. Thông tin Doanh nghiệp/ Tổ chức bạn khai báo phải trùng khớp 100% so với thông tin đã đăng ký trên trang thông tin doanh nghiệp hoặc trên giấy phép kinh doanh.
  • Trong quá trình xác minh thông tin Doanh nghiệp/ Tổ chức, rất có khả năng một số nhà cung cấp SSL sẽ liên hệ trực tiếp đến bạn qua số điện thoại của Doanh nghiệp đã khai báo và trao đổi bằng tiếng Anh. Bạn lưu ý đừng bỏ qua những cuộc gọi quan trọng này nhé.
  • Do khác múi giờ nên rất có thể bạn sẽ phải trao đổi vào ban đêm. Các tổ chức cấp phát SSL (CA) không làm việc vào các ngày Thứ Bảy, Chủ nhật trong tuần.
  • Bạn có thể liên hệ với nhân viên Kinh doanh của Mắt Bão để được hỗ trợ hẹn giờ trong giờ làm việc với tổ chức cấp phát SSL (CA).

• Quá trình đăng ký SSL nhanh hay lâu hơn tùy thuộc vào việc khai báo thông tin, xác minh thông tin giữa bạn và CA, chưa kể đến việc CA không làm việc vào Thứ Bảy/ Chủ nhật cũng như khác múi giờ làm việc giữa các quốc gia.

• Bạn phải cất giữ mã Private Key cẩn thận vì đó là chìa khóa của SSL, Private Key sẽ được dùng đến để cài đặt lên máy chủ cùng với mã CRT sau này.

• Một số khách hàng sau khi nhận tập tin CRT chỉ cài đặt CRT, Private Key mà không cài đặt mã CA. Điều này dẫn đến việc một số phiên bản trình duyệt, ứng dụng hoặc Hệ điều hành không chứng thực SSL được. Do vậy, khi cài đặt SSL trên máy chủ bạn phải import đủ 3 mã: CRT, Private Key và cả mã CA nữa nhé. Mã CA có thể được nhà cung cấp SSL gửi về cho bạn cùng với tập tin CRT hoặc bạn cũng có thể tải về tại website chính thức của nhà cung cấp SSL. Mã CA của mỗi nhà cung cấp SSL là khác nhau.

• Công cụ tạo CSR của Mắt Bão sẽ giúp bạn dễ dàng hơn trong việc nhập thông tin khởi tạo CSR với hướng dẫn chi tiết trong lúc nhập. Bạn có thể truy cập để thực hiện tại đây.

• Bạn không thể nâng cấp một UCC/SAN SSL để có được thêm nhiều tên miền cho một chứng chỉ SSL đã được cấp phát. Nếu bạn muốn thêm tên miền, bạn có thể mua thêm một chứng chỉ SSL mới hoặc phải huỷ SSL hiện tại, sau đó khai báo lại thông tin và đăng ký SSL lại từ đầu.

• Trong vòng 48h kể từ sau khi bạn kích hoạt dịch vụ SSL trên trang https://id.matbao.net, vì một lý do gì đó, nếu Email xác thực của bạn không nhận được mail xác minh từ nhà cung cấp SSL (CA) gửi về. Bạn phải kiểm tra lại địa chỉ Email xác thực đã tạo ra chưa và có Gửi/ Nhận được mail hay không. Nếu không, bạn vui lòng gửi yêu cầu đến Mắt Bão để chúng tôi kiểm tra cho bạn, trong yêu cầu bạn vui lòng nêu rỏ tên miền đăng ký SSL, địa chỉ Email xác thực không nhận được mail từ nhà cung cấp SSL.

• Tham khảo thêm: Những câu hỏi thường gặp liên quan đến chứng thư SSLChính sách về Chứng thư số SSL.

Các khái niệm cần biết về chứng thư SSL

• DV SSL (Domain Validation SSL): Là loại chứng thư SSL dành cho các khách hàng cá nhân và chỉ yêu cầu xác minh quyền sở hữu tên miền. Website của bạn được mã hoá an toàn khi trao đổi dữ liệu trên internet. Dấu hiệu nhận biết: Hiển thị một ổ khóa nhỏ màu xanh và tiền tố HTTPS trong thanh trình duyệt của khách truy cập, cho biết họ đang ở trên một trang được mã hóa an toàn bảo mật.

• OV SSL (Organization Validation SSL): Là loại chứng thư SSL dành cho Doanh nghiệp/ Tổ chức có độ tin cậy cao. Ngoài việc xác minh quyền sở hữu tên miền, các tổ chức cấp phát SSL còn phải xác minh Doanh nghiệp/ Tổ chức đăng ký SSL đang hoạt động và đang sở hữu website theo tên miền cần đăng ký SSL. Website được mã hoá an toàn khi trao đổi dữ liệu trên internet. Dấu hiệu nhận biết: Hiển thị một ổ khóa nhỏ màu xanh và tiền tố HTTPS trong thanh trình duyệt của khách truy cập, cho biết họ đang ở trên một trang được mã hóa an toàn bảo mật.

• EV SSL (Extended Validation SSL): Là loại chứng thư SSL có độ tin cậy cao nhất và được rà soát pháp lý kỹ càng chỉ dành cho Doanh nghiệp/ Tổ chức đang hoạt động hợp pháp. Với chứng thư EV SSL, Doanh nghiệp/ Tổ chức phải tuân thủ các bước xác minh rất nghiêm ngặt của các tổ chức cấp phát SSL theo quy định của tổ chức CAB (CA/Browser Forum). Website được mã hoá an toàn khi trao đổi dữ liệu trên internet. Điều đặc biệt và cũng là khác biệt của EV SSL đó là xuất hiện thanh địa chỉ màu xanh rất nổi bật hiển thị đầy đủ thông tin của Doanh nghiệp/ Tổ chức, điều này sẽ làm tăng độ tin tưởng của người dùng khi truy cập vào website của Doanh nghiệp/ Tổ chức đó.
Mỗi EV SSL chỉ được đăng ký tối đa 2 năm, vì cứ mỗi 2 năm các tổ chức cấp phát SSL sẽ cần phải chứng thực lại để chắc chắn rằng Doanh nghiệp/ Tổ chức vẫn đang hoạt động.

• Wildcard SSL: Là loại chứng thư dành cho các website có nhu cầu sử dụng cho nhiều tên miền con khác nhau (còn gọi là subdomain). Ví dụ: forum.domain.tld, blog.domain.tld, shop.domain.tld, … Wildcard SSL có thể bảo mật cho không giới hạn tên miền con với chỉ một chứng thư SSL duy nhất.
Lưu ý: Wildcard chỉ được cấp phát cho DV SSL và OV SSL. Không có Wildcard cho EV SSL, đây là quy định của tổ chức CAB (CA/Browser Forum).

• UCC/SAN SSL (Unified Communication Certificate/ Subject Alternative Name SSL): Là sử dụng nhiều tên miền khác nhau trong cùng 1 chứng thư SSL duy nhất. UCC SSL, SAN SSL, Mutil-Domain SSL, UC Certificate, UC/SAN SSL hay UCC/SAN SSL tất cả đều là một khái niệm, chỉ là cách gọi khác nhau mà thôi.
Ví dụ: Khi bạn mua SSL có bảo mật thêm website (SANs) thì mặc định bạn đã có sẵn 4 SAN và như vậy bạn sẽ được bảo mật cho 5 tên miền khác nhau (bao gồm 4 tên miền theo 4 SAN + tên miền chính) chỉ trong một chứng thư SSL duy nhất.

• CA (Certificate Authority): Là tổ chức cấp phát chứng chỉ SSL. Có thể kể đến như: GeoTrust, Comodo, Symantec, …

• CAB (CA/Browser Forum): CAB còn được gọi là Diễn đàn CA / Browser là tổ chức bao gồm các tổ chức cấp phát chứng chỉ SSL và các nhà cung cấp phần mềm trình duyệt Internet như: Microsoft (Microsoft Edge và Internet Explorer), Apple (Safari), Mozilla (Firefox), Google (Chrome), Opera và Qihoo 360 (360 Secure Browser).
Chức năng của tổ chức CAB chủ yếu quản lý và đưa ra các tiêu chuẩn EV SSL nhằm cải thiện an ninh cho các giao dịch Internet và tạo ra một phương pháp trực quan hơn để hiển thị các trang web để an toàn nhất cho người dùng Internet.

• Trang đăng ký thông tin doanh nghiệp (GOV): Website: www.dangkykinhdoanh.gov.vn. Là trang khai báo và lưu trữ thông tin Doanh nghiệp/ Tổ chức hợp pháp, khi các Doanh nghiệp/ Tổ chức đăng ký hoạt động kinh doanh đều đã có thông tin trên trang này trừ trường hợp doanh nghiệp trực thuộc các bộ và ban ngành của chính phủ Việt Nam.

• CSR (Certificate Signing Request): Khi đăng ký chứng thư SSL, bạn cần phải có mã CSR (Certificate Signing Request), đây là những thông tin bạn khai báo và đã được mã hoá.

• CRT (Certificate): Là tập tin do các tổ chức cấp phát SSL (CA) cung cấp sau khi đã hoàn tất quá trình xác minh thông tin… tập tin CRT chứa mã chứng thư được CA cấp phát cho người đăng ký sử dụng SSL dựa trên những thông tin được khai báo trong CSR và đã được xác minh.
Bạn cần phải có đủ 3 tập tin CRT, CA root và Private Key để có thể cài đặt SSL trên máy chủ.

• CA Root: Là tập tin do các tổ chức cấp phát SSL (CA) cung cấp cùng với tập tin CRT hoặc bạn có thể tải về trên trang web chính thức của các tổ chức cấp phát SSL, mã CA của mỗi nhà cung cấp SSL là khác nhau. Đây là tập tin hỗ trợ đảm bảo tính tương thích chứng thực SSL cho các phiên bản trình duyệt, ứng dụng hoặc hệ điều hành, bởi có thể một số phiên bản trình duyệt hoặc hệ điều hành không thể xác thực SSL.

Cài đặt SSL

Để cài đặt SSL trên máy chủ, bạn bắt buộc phải có đủ 3 tập tin mã CRT, CA, Private Key. Sau đây, chúng tôi xin chia sẻ một số hướng dẫn cài đặt SSL phổ biến nhất:

• Hướng dẫn cài đặt SSL trên cPanel
• Hướng dẫn cài đặt SSL trên Plesk
• Hướng dẫn cài đặt SSL trên DirectAdmin
• Hướng dẫn cài đặt SSL trên VestaCP
• Hướng dẫn cài đặt SSL với Tomcat
• Hướng dẫn cài đặt SSL trên máy chủ CentOS với Apache
• Hướng dẫn cài đặt SSL trên máy chủ Ubuntu với Apache
• Hướng dẫn cài đặt SSL trên IIS 8 & 10
• Hướng dẫn cài đặt SSL trên MDaemon
• Hướng dẫn cài đặt SSL cho Exchange 2013
• Hướng dẫn Chuyển hướng HTTP sang HTTPS