Cách đăng ký và sử dụng chứng chỉ SSL cho tên miền

Trong phát triển Web hiện đại, việc kích hoạt HTTPS (bảo vệ bằng chứng chỉ SSL/TLS) cho website ngày càng trở nên quan trọng, kể cả trên môi trường phát triển địa phương. ServBay mang đến cách quản lý và áp dụng chứng chỉ SSL tiện lợi, giúp bạn mô phỏng môi trường sản xuất, kiểm thử các tính năng bảo mật và đảm bảo hoạt động phát triển địa phương diễn ra suôn sẻ.

Tài liệu này sẽ hướng dẫn bạn cách đăng ký, phân bổ và quản lý chứng chỉ SSL/TLS trong ServBay.

Giới thiệu về chứng chỉ SSL/TLS cho tên miền

Chứng chỉ SSL/TLS là một loại chứng chỉ số giúp xác thực danh tính máy chủ và mã hóa dữ liệu truyền giữa máy khách (như trình duyệt) và máy chủ. Sau khi cài đặt chứng chỉ SSL, địa chỉ website sẽ chuyển từ http:// sang https://, đồng thời xuất hiện biểu tượng ổ khóa trên thanh địa chỉ trình duyệt, khẳng định kết nối đã được mã hóa và an toàn.

Tại sao sử dụng HTTPS trong phát triển địa phương?

• Mô phỏng môi trường sản xuất: Nhiều môi trường sản xuất yêu cầu HTTPS bắt buộc. Dùng HTTPS trên môi trường phát triển giúp mô phỏng sát thực tế, giảm bớt rủi ro không ngờ khi triển khai.
• Kiểm thử tính năng bảo mật: Một số tính năng của trình duyệt hiện đại (như Service Workers, Web Authentication, Geolocation API,...) chỉ hoạt động trong môi trường an toàn (HTTPS). Dùng HTTPS địa phương giúp kiểm thử nhanh các tính năng này.
• Tránh cảnh báo nội dung hỗn hợp: Nếu website chạy HTTPS nhưng lại tải tài nguyên từ nguồn HTTP (ảnh, JavaScript, CSS), trình duyệt sẽ cảnh báo nội dung hỗn hợp. Dùng HTTPS nội bộ giúp phát hiện và sửa lỗi sớm.
• Hỗ trợ HTTP/2 và QUIC: Các giao thức hiện đại này thường yêu cầu kết nối qua HTTPS.

Đăng ký chứng chỉ SSL thông qua ServBay

ServBay hỗ trợ hai cách đăng ký chứng chỉ SSL chính: phát hành chứng chỉ nội bộ bởi CA (Certificate Authority) tích hợp của ServBay và đăng ký chứng chỉ tin cậy công cộng thông qua giao thức ACME (ví dụ Let's Encrypt).

Điều kiện cần thiết

• Đã cài đặt và chạy ServBay.
• Đã tạo và cấu hình website trên ServBay cần áp dụng SSL.
• Nếu đăng ký chứng chỉ công cộng thông qua ACME, bạn cần sử dụng phương pháp xác thực DNS.

Bước: Truy cập bảng quản lý chứng chỉ SSL

Trong ứng dụng ServBay, nhấn vào “SSL Certificates” ở thanh bên để vào giao diện quản lý chứng chỉ.

Cách 1: Sử dụng ServBay CA để phát hành chứng chỉ tin cậy nội bộ

ServBay CA là tổ chức phát hành chứng chỉ (CA) tích hợp sẵn của ServBay. Chứng chỉ do ServBay CA phát hành chỉ tin cậy trên các thiết bị đã thiết lập tin cậy ServBay CA. Cách này đặc biệt phù hợp với môi trường phát triển địa phương vì bạn có thể dễ dàng cài đặt và tin tưởng ServBay CA trên thiết bị của mình.

1. Nhấn nút thêm mới: Tại trang “SSL Certificates”, nhấn nút “+” ở góc trên bên phải.
2. Nhập thông tin chứng chỉ: Trong trang “Request Certificate”:
   • Common Name (Tên phổ biến): Đặt một tên mô tả dễ nhớ cho chứng chỉ, ví dụ ServBay Demo Website Cert.
   • Usage Purpose (Mục đích sử dụng): Chọn mục đích sử dụng, thông thường là TLS/SSL.
   • Request Method (Phương pháp đăng ký): Chọn ServBay CA.
   • Issuer (Tổ chức phát hành): Chọn ServBay User CA. ServBay cung cấp CA ở cấp độ người dùng để phát hành chứng chỉ nội bộ.
   • Algorithm (Thuật toán): Chọn thuật toán mã hóa, khuyến khích dùng ECC hiện đại và hiệu quả. Nếu cần tương thích rộng (hệ thống cũ), có thể chọn RSA.
   • Key Length (Độ dài khóa): Chọn độ dài khóa. ECC được khuyên là 384; RSA là 2048 hoặc 4096. Độ dài lớn hơn thì an toàn hơn nhưng sẽ tăng chi phí tính toán.
   • Domain (Tên miền): 【Quan trọng】 Nhập danh sách tên miền bạn muốn bảo vệ, sẽ được thêm vào trường Subject Alternative Names (SANs) của chứng chỉ. Cho phát triển địa phương, bạn dùng miền .servbay.demo (ví dụ servbay.demo, myproject.servbay.demo) hoặc các miền đã cấu hình trong file hosts hoặc trên ServBay. Hỗ trợ wildcard như *.servbay.demo. Nhiều tên miền, hãy phân tách bằng dấu phẩy.
3. Nhấn nút “Request”: Xác nhận thông tin và nhấn “Request” ở cuối trang.

ServBay sẽ dùng ServBay User CA phát hành chứng chỉ cho bạn và ngay lập tức thêm vào danh sách quản lý.

(Ảnh minh họa giao diện đăng ký ServBay CA)

Cách thiết lập tin cậy ServBay User CA?

Để trình duyệt và các ứng dụng tin tưởng vào chứng chỉ do ServBay CA phát hành, bạn phải cài đặt và thiết lập tin cậy gốc cho ServBay User CA trong hệ điều hành. Thông thường, ServBay sẽ tự động cài và thiết lập tin cậy khi cài đặt, hoặc bạn có thể tìm tùy chọn này trong phần “Cài đặt” của ServBay. Sau khi thiết lập xong, các chứng chỉ do ServBay CA phát hành (ví dụ cho miền .servbay.demo hoặc miền tùy chỉnh) sẽ không còn cảnh báo “không tin cậy” trên thiết bị.

Cách 2: Đăng ký chứng chỉ công cộng tin cậy qua ACME (Let's Encrypt)

ACME (Automated Certificate Management Environment) là giao thức tự động hóa phổ biến dùng để liên kết với các CA công cộng như Let's Encrypt, giúp đăng ký và quản lý chứng chỉ SSL miễn phí. Chứng chỉ đăng ký qua cách này mặc định được các trình duyệt và thiết bị chính thống chấp nhận.

1. Nhấn nút thêm mới: Tại trang “SSL Certificates”, nhấn nút “+” ở góc trên bên phải.
2. Nhập thông tin chứng chỉ: Trong trang “Request Certificate”:
   • Common Name (Tên phổ biến): Đặt tên nhận diện.
   • Usage Purpose (Mục đích sử dụng): Chọn TLS/SSL.
   • Request Method (Phương pháp đăng ký): Chọn ACME.
   • Issuer (Tổ chức phát hành): Chọn một CA công cộng như Let's Encrypt, ZeroSSL hoặc Google Trust Services (thông qua ServBay liên kết với CA này).
   • Algorithm (Thuật toán): Khuyên dùng ECC.
   • Key Length (Độ dài khóa): Chọn độ dài phù hợp.
   • Domain (Tên miền): 【Quan trọng】 Nhập danh sách tên miền công cộng bạn muốn đăng ký chứng chỉ — bạn phải sở hữu quyền quản lý các tên miền đó. ServBay sẽ xác thực quyền sở hữu bằng giao thức ACME. Nhiều tên miền phân tách bằng dấu phẩy, hỗ trợ wildcard (lưu ý: wildcard cần xác thực DNS).
   • Email (Email): Nhập email hợp lệ — yêu cầu của ACME để gửi thông báo hết hạn chứng chỉ.
   • DNS Provider (Nhà cung cấp DNS): Chọn dịch vụ quản lý DNS của tên miền công cộng, để tự động thêm record xác thực khi đăng ký chứng chỉ.
3. Nhấn nút “Request”: Xác nhận lại thông tin và nhấn “Request” ở cuối trang.

ServBay sẽ tự động khởi động quy trình ACME, liên kết với CA đã chọn, xác thực quyền sở hữu tên miền và tiến hành đăng ký chứng chỉ. Thời gian hoàn tất phụ thuộc vào phương pháp xác thực và mạng. Khi thành công, chứng chỉ sẽ được thêm vào danh sách.

Gia hạn tự động của chứng chỉ ACME:

Các chứng chỉ đăng ký qua ACME thường có thời hạn ngắn (vd, Let's Encrypt là 90 ngày). ServBay sẽ tự động quản lý việc gia hạn này; bạn không cần thao tác thủ công.

Phân bổ và sử dụng chứng chỉ

Sau khi đăng ký xong chứng chỉ SSL, bạn phải phân bổ chứng chỉ cho website cụ thể trên ServBay để kích hoạt truy cập HTTPS cho website đó.

1. Truy cập quản lý website: Nhấn “Websites” ở thanh bên ServBay để vào danh sách websites.
2. Chỉnh sửa website mục tiêu: Tìm website muốn áp dụng SSL và nhấn vào.
3. Cấu hình SSL: Trong trang cấu hình website, tìm khu vực liên quan tới SSL/HTTPS.
4. Kích hoạt HTTPS và chọn chứng chỉ: Tick chọn dùng HTTPS. Ở phần chọn chứng chỉ (nếu dùng ACME), hãy chọn chứng chỉ vừa đăng ký. Danh sách sẽ hiện Common Name và các miền liên quan.
5. Lưu cấu hình: Nhấn lưu lại thay đổi.

Sau khi lưu, ServBay sẽ tự động nạp lại cấu hình máy chủ web (ví dụ Caddy, Apache hoặc Nginx) để chứng chỉ SSL mới có hiệu lực. Giờ đây bạn có thể truy cập website thông qua https://tên-miền-của-bạn.

Quản lý chứng chỉ

Trong bảng "SSL Certificates", bạn có thể quản lý toàn bộ chứng chỉ đã đăng ký.

Gia hạn chứng chỉ

• Chứng chỉ ServBay CA: Thời hạn thường dài (800 ngày). Trước khi hết hạn, tìm chứng chỉ cần gia hạn, nhấn vào biểu tượng gia hạn (thường là icon làm mới hoặc lặp lại) để gia hạn thủ công. Mỗi lần gia hạn, thời hạn sẽ kéo dài thêm 800 ngày từ thời điểm hiện tại.
• Chứng chỉ ACME: Được ServBay tự động quản lý việc gia hạn, bạn không cần thao tác gì thêm.

Xuất chứng chỉ

Bạn có thể xuất chứng chỉ SSL đã đăng ký (đôi khi cần thiết để dùng cùng chứng chỉ cho thiết bị/dịch vụ khác, miễn là thiết bị đó cũng tin cậy ServBay CA).

1. Vào bảng quản lý SSL Certificates.
2. Tìm chứng chỉ cần xuất.
3. Nhấn nút thao tác: Chọn icon xuất chứng chỉ bên phải (thường là mũi tên sang phải➡️).
4. Chọn thư mục lưu: Trong hộp thoại lưu file hiện ra, chọn nơi muốn lưu gói chứng chỉ sau khi xuất.
5. Phân phối chứng chỉ: Gói xuất sẽ là file ZIP chứa chứng chỉ (.crt hoặc .cer), file private key (.key) và file CA chain liên quan. Bạn có thể phân phối/cài đặt chúng khi cần.

Xóa chứng chỉ

Nếu không còn cần thiết, bạn có thể xóa chứng chỉ.

1. Vào bảng quản lý chứng chỉ SSL.
2. Tìm chứng chỉ cần xóa.
3. Nhấn nút thao tác: Chọn icon thùng rác ở bên phải chứng chỉ.
4. Xác nhận xóa: Trong hộp thoại xác nhận hiện ra, nhấn xác nhận xóa. Chú ý: Xóa chứng chỉ là hành động không thể hoàn tác. Nếu chứng chỉ này đang được website sử dụng, bạn phải chỉ định chứng chỉ khác hoặc tắt HTTPS cho website đó trước để tránh website bị ngừng truy cập.

Câu hỏi thường gặp (FAQ)

H: Vì sao tôi dùng chứng chỉ do ServBay CA phát hành mà trình duyệt vẫn báo “không tin cậy”?

Đ: Chứng chỉ ServBay CA mặc định không được hệ điều hành hoặc trình duyệt tin cậy. Bạn cần cài đặt và thiết lập tin cậy chứng chỉ gốc ServBay User CA trên thiết bị phát triển. Hãy kiểm tra mục cài đặt hoặc tài liệu của ServBay để biết cách thiết lập.

H: Tôi đăng ký chứng chỉ ACME (Let's Encrypt) nhưng bị lỗi, phải làm sao?

Đ: Lỗi ACME chủ yếu do không xác thực được quyền sở hữu tên miền.

• Nếu sử dụng xác thực kiểu dns-01, hãy kiểm tra record TXT bạn thêm vào hệ thống DNS đã đúng và đã cập nhật hoàn toàn (có thể cần chờ để DNS cập nhật). Kiểm tra logs của ServBay để biết nguyên nhân chi tiết.

H: Tôi có thể đăng ký một chứng chỉ cho nhiều tên miền trên ServBay không?

Đ: Có. Khi đăng ký, bạn có thể nhập nhiều tên miền ở trường "Domain" (phân tách bằng dấu phẩy), tạo thành chứng chỉ kiểu SANs bao gồm tất cả các miền đó.

H: ServBay hỗ trợ những máy chủ Web nào? Cấu hình chứng chỉ có dùng chung không?

Đ: ServBay hỗ trợ Caddy, Apache, Nginx và các máy chủ Web phổ biến. Quản lý SSL của ServBay được thiết kế đồng nhất, chứng chỉ có thể áp dụng cho bất kỳ website nào do ServBay quản lý và sẽ được cấu hình tự động cho máy chủ web bên dưới.

Tổng kết

ServBay mang đến khả năng quản lý chứng chỉ SSL mạnh mẽ, dễ sử dụng cho môi trường phát triển địa phương. Thông qua ServBay CA, bạn có thể phát hành nhanh chứng chỉ tin cậy cho miền nội bộ, thuận tiện cho việc phát triển và kiểm thử HTTPS. Tích hợp ACME cho phép bạn trực tiếp đăng ký và quản lý chứng chỉ công cộng Let's Encrypt, ZeroSSL, Google Trust Services ngay trong ServBay. Nắm vững các tính năng này sẽ giúp bạn xây dựng ứng dụng Web hiện đại, an toàn hơn.

Nếu gặp khó khăn khi đăng ký hay sử dụng chứng chỉ, hãy tham khảo tài liệu chính thức hoặc cộng đồng ServBay để được hỗ trợ thêm.