Quản lý PKI ServBay (ServBay CA)

Trong phát triển Web hiện đại, việc sử dụng HTTPS để đảm bảo an toàn cho quá trình truyền dữ liệu là vô cùng quan trọng, kể cả trong môi trường phát triển nội bộ. ServBay tích hợp một hạ tầng khóa công khai (PKI) và cơ quan cấp chứng chỉ (CA) cục bộ, gọi là ServBay CA, cho phép bạn cấp các chứng chỉ SSL/TLS đáng tin cậy cho các website nội bộ của mình, giúp loại bỏ cảnh báo bảo mật từ trình duyệt và mô phỏng môi trường HTTPS sản xuất ngay tại máy tính cá nhân.

Bài viết này sẽ hướng dẫn chi tiết cách quản lý chứng chỉ gốc cục bộ ServBay User CA - ECC Root do ServBay CA tạo ra trên hệ điều hành macOS, cũng như các cách xử lý các lỗi liên quan đến chứng chỉ của ServBay CA.

ServBay CA là gì?

ServBay CA là cơ quan cấp chứng chỉ do ServBay phát triển, hướng tới phục vụ môi trường phát triển nội bộ. Công cụ này cho phép bạn cấp nhiều loại chứng chỉ an toàn cho các website nội bộ được cấu hình trong ServBay (trước đây gọi là "host"), bao gồm nhưng không giới hạn ở:

• Chứng chỉ tên miền (TLS/SSL) dùng cho kết nối HTTPS nội bộ.
• Chứng chỉ ký email (S/MIME) .
• Chứng chỉ ký tài liệu (PDF).
• Chứng chỉ ký mã nguồn (Code/Software).

Trong quá trình cài đặt ServBay, một CA cục bộ với chứng chỉ gốc mang tên ServBay User CA - ECC Root sẽ được tự động tạo và thêm vào chuỗi khóa hệ thống macOS của bạn, đồng thời được đánh dấu là đáng tin cậy, giúp các chứng chỉ do nó cấp phát đều được hệ thống công nhận.

Hình 1: Giao diện quản lý chứng chỉ của ServBay

Đăng ký chứng chỉ SSL do ServBay CA cấp phát

ServBay CA có thể cấp nhiều loại chứng chỉ phục vụ nhu cầu phát triển nội bộ. Bạn có thể tham khảo các tài liệu sau để biết cách đăng ký và sử dụng các chứng chỉ này:

• Cách đăng ký và sử dụng chứng chỉ tên miền SSL
• Cách đăng ký và sử dụng chứng chỉ ký email S/MIME
• Cách đăng ký và sử dụng chứng chỉ ký tài liệu
• Cách đăng ký và sử dụng chứng chỉ ký mã nguồn

Gia hạn chứng chỉ SSL do ServBay CA cấp phát

Chứng chỉ do ServBay CA cấp có thời hạn mặc định là 800 ngày. Nếu chứng chỉ của bạn sắp hết hạn hoặc đã hết hạn, bạn có thể dễ dàng gia hạn ngay trên giao diện ServBay.

Trên giao diện quản lý chứng chỉ, hãy tìm chứng chỉ bạn muốn gia hạn và nhấn vào nút làm mới (thường là biểu tượng mũi tên xoay vòng) bên phải chứng chỉ đó. ServBay sẽ tự động cấp lại một chứng chỉ mới với hiệu lực 800 ngày cho bạn.

Hình 2: Nút gia hạn chứng chỉ

Xuất chứng chỉ SSL do ServBay CA cấp phát

Đôi khi bạn cần xuất chứng chỉ do ServBay CA cấp (ví dụ để sử dụng trên thiết bị khác, máy ảo hoặc ứng dụng chuyên biệt).

Trên giao diện quản lý chứng chỉ, nhấn nút Xuất bên phải của chứng chỉ muốn xuất. ServBay sẽ đóng gói chứng chỉ cùng khóa riêng vào một tệp .zip để bạn tải về.

Hình 3: Nút xuất chứng chỉ

Xóa chứng chỉ SSL do ServBay CA cấp phát

Nếu bạn không còn nhu cầu sử dụng một chứng chỉ nào đó, bạn có thể xóa nó đi.

Trên giao diện quản lý chứng chỉ, nhấn vào nút Xóa bên phải của chứng chỉ.

Lưu ý: Không thể xóa trực tiếp chứng chỉ đang được sử dụng bởi một website được cấu hình trong ServBay (trước đây gọi là "host"). Bạn cần tháo liên kết chứng chỉ khỏi website trước, sau đó mới có thể xóa chứng chỉ đó.

Hình 4: Nút xóa chứng chỉ

Làm thế nào để tìm ServBay CA trong Chuỗi khóa trên macOS?

Chứng chỉ gốc ServBay User CA - ECC Root do ServBay CA cấp được cài đặt trong chuỗi khóa hệ thống của macOS. Bạn có thể sử dụng công cụ 'Chuỗi khóa' để kiểm tra và quản lý chứng chỉ này.

Các bước tra cứu cụ thể như sau:

1. Mở ứng dụng 'Chuỗi khóa' (Keychain Access). Có thể nhanh chóng tìm bằng tìm kiếm Spotlight (Cmd + Space rồi nhập Keychain Access).
2. Ở thanh bên trái vùng "Chuỗi khóa", chọn mục Hệ thống. Chứng chỉ gốc của ServBay CA thường được cài tại đây.
3. Ở góc trên bên phải, nhập ServBay User CA - ECC Root vào ô tìm kiếm.
4. Tìm chứng chỉ trong kết quả. Nhấp đúp vào chứng chỉ để xem chi tiết và xác nhận rằng nó đã được đánh dấu là "Tin cậy".

Hình 5: Tìm ServBay CA trong Chuỗi khóa trên macOS

Khắc phục lỗi chứng chỉ ở website nội bộ

Khi truy cập website nội bộ cấu hình bởi ServBay, nếu trình duyệt báo lỗi chứng chỉ (ví dụ "Kết nối của bạn không riêng tư" hoặc "NET::ERR_CERT_AUTHORITY_INVALID"), thường là do chứng chỉ gốc của ServBay CA chưa được cài đặt đầy đủ/trust, hoặc chứng chỉ trang web có vấn đề.

Dưới đây là một số phương án xử lý thông thường:

Cài đặt lại chứng chỉ gốc ServBay CA

Nếu chứng chỉ gốc ServBay CA trong chuỗi khóa hệ thống bị thiếu/hỏng/chưa được tin cậy, hãy thử cài đặt lại nó.

1. Mở ứng dụng ServBay.
2. Vào bảng quản trị của ServBay.
3. Trong bảng quản trị, chuyển sang tab Phần mềm (Packages).
4. Trong danh sách phần mềm, tìm và nhấp vào mục ServBay Root CA.
5. Nhấn nút Cài đặt lại ServBay Root CA. ServBay sẽ loại bỏ chứng chỉ gốc cũ (nếu có) và cài đặt lại ServBay User CA - ECC Root vào chuỗi khóa hệ thống, đồng thời xác lập là tin cậy. Làm theo hướng dẫn và nhập mật khẩu quản trị khi được yêu cầu.

Hình 6: Cài đặt lại ServBay Root CA

Cấp lại tất cả chứng chỉ ServBay User

Trong một số trường hợp đặc biệt (như sự cố tại ServBay CA, mất file chứng chỉ, chứng chỉ chain lỗi...), bạn có thể chọn cấp lại tất cả chứng chỉ do ServBay CA cấp phát.

Tại giao diện quản lý ServBay Root CA, nhấn nút Tạo lại tất cả chứng chỉ ServBay User. Thao tác này sẽ xóa toàn bộ các chứng chỉ hiện tại do ServBay CA cấp và tự động tạo/cấp mới dựa theo website bạn cấu hình trên ServBay.

Chú ý quan trọng: Thao tác này sẽ làm thay đổi chứng chỉ SSL của toàn bộ website sử dụng ServBay CA. Nếu từng xuất/chia sẻ chứng chỉ này (ví dụ dùng cho thiết bị di động), bạn cần xuất và chia sẻ lại chứng chỉ mới để đảm bảo không gián đoạn dịch vụ.

Hình 7: Cấp lại tất cả chứng chỉ ServBay User

Bước kiểm tra bổ sung:

• Kiểm tra cấu hình website: Đảm bảo website đang trỏ về đúng file chứng chỉ do ServBay CA cấp.
• Xóa bộ nhớ cache trình duyệt: Đôi khi trình duyệt lưu thông tin chứng chỉ cũ. Thử xóa cache hoặc sử dụng chế độ duyệt ẩn.
• Tình trạng tin cậy hệ thống: Kiểm tra lại trong Chuỗi khóa xem chứng chỉ ServBay User CA - ECC Root đã được đánh dấu là “Luôn tin cậy” chưa. Nhấp đúp vào chứng chỉ, mở rộng phần “Tin cậy” và đảm bảo tất cả lựa chọn là “Luôn tin cậy”.

Tổng kết

ServBay CA là một công cụ mạnh mẽ hỗ trợ phát triển web nội bộ do ServBay cung cấp, giúp đơn giản hóa quá trình triển khai HTTPS trên macOS. Thông qua các phương pháp hướng dẫn trong bài viết, bạn có thể dễ dàng quản lý chứng chỉ SSL do ServBay CA cấp bao gồm Đăng ký, Gia hạn, Xuất, Xóa, và chủ động xử lý, khắc phục sự cố về chứng chỉ. Việc cấu hình và quản lý ServBay CA đúng cách sẽ giúp bạn xây dựng quy trình phát triển nội bộ an toàn và sát thực tế sản xuất hơn.