Certificate Signing Request (CSR) là bắt buộc khi đăng ký chứng chỉ SSL cho website. Vậy hãy cùng HVN Group tìm hiểu bài viết này về hướng dẫn tạo CSR trên Microsoft IIS 5.x hoặc 6.x một cách đơn giản, nhanh chóng ngay hôm nay.
Tổng quan về CSR
CSR chính là bước đầu tiên trong “vòng đời” của chứng chỉ SSL và được xem như một yêu cầu để CA cung cấp chứng chỉ và chữ ký cho đối tượng đăng ký.
CSR là gì?
Certificate Signing Request (CSR) là một khối văn bản được mã hóa mà doanh nghiệp cung cấp cho Cơ quan cấp chứng chỉ (CA) uy tín để đăng ký chứng chỉ SSL/TLS. Tạo CSR là một bước quan trọng trong hành trình làm mới hoặc đăng ký chứng chỉ số của các tổ chức kinh doanh và thường được tạo trên máy chủ nơi chứng chỉ sẽ được cài đặt.
Khi gửi CSR trong quá trình đăng ký certificate, tổ chức kinh doanh buộc phải cung cấp mọi thông tin sẽ xuất hiện trong chứng chỉ, gồm tên thông thường (tên miền), địa phương và quốc gia. CSR cũng có chứa public key – sẽ có trong chứng chỉ và được ký bằng private key tương ứng.
*Lưu ý: Trên nền tảng Microsoft IIS 5x hoặc 6x, khi gia hạn chứng chỉ, tùy chọn tạo CSR mới không phải là tiêu chuẩn trong IIS. Mặc dù không được cung cấp nhưng việc tạo Certificate Signing Request mới là điều cần thiết trong trường hợp private key là kết nối 1024-bit, vì hiện tại bắt buộc phải sử dụng khóa 2048-bit.
Nếu đây là trường hợp private key của bạn, giải pháp tốt nhất là tạo kết nối website tạm thời trong IIS và tạo CSR cho trang web. Chứng chỉ cũng phải được cài đặt kết nối trên trang web. Khi khởi động lại, IIS sẽ tự động chuyển chứng chỉ đến trang web chính xác/đang hoạt động, sau đó trang web tạm thời đó có thể bị xóa.
Thông tin chi tiết về việc tạo CSR
Đối với những tổ chức sử dụng chuẩn mã hóa công khai PKCS10 – một trong những tiêu chuẩn phổ biến nhất cho Certificate Signing Request, người dùng phải cung cấp bản sao chứng chỉ số chưa được ký của mình cho CA. Sau đó, quá trình tạo CSR sẽ được tiến hành bằng cPanel, Exchange, IIS, Java Keytool hoặc OpenSSL.
Các phương pháp này thường tạo CSR ở định dạng PEM dựa trên Base-64, nghĩa là có chứng chỉ X.509 được mã hóa trong văn bản bằng scheme mã hóa Base-64.
Tại thời điểm tạo, hầu hết các máy chủ đều yêu cầu người dùng cung cấp một số thông tin cho mục đích xác thực. Những chi tiết đó bao gồm tên miền đủ điều kiện (FQDN), tên hợp pháp của công ty, địa chỉ email liên hệ, địa chỉ thực và tên của bộ phận sẽ xử lý chứng chỉ. Ngoài ra, người dùng sẽ cần gửi public key cũng như loại và độ dài của khóa đó.
Theo giải thích của GlobalSign, CA cần những bit dữ liệu này để tạo chứng chỉ SSL, sử dụng mật mã bất đối xứng dựa trên cặp khóa: public key và private key tương ứng.
Nội dung khi tạo CSR
Public key được bao gồm trong CSR và được CA sử dụng để tạo chứng chỉ trong khi private key (được giữ riêng lại) sử dụng cho việc ký thông tin có trong CSR. Ngoài public key, Certificate Signing Request có thể chứa các thông tin sau:
Thông tin |
Mô tả |
Ví dụ |
Common Name (CN) |
Là tên miền đủ điều kiện (FQDN) của server cần được bảo mật. |
www.domain.com, *.domain.com, mail.domain.com |
Tên tổ chức/Organization (O) |
Tên hợp pháp của tổ chức, không được viết tắt và phải bao gồm các hậu tố như .Ltd, Inc. |
example.Ltd |
Tên bộ phận/Organizational Unit (OU) |
Bộ phần trong tổ chức có nhiệm vụ xử lý chứng chỉ. |
IT, Tài chính |
Thành phố/Locality (L) |
Thành phố nơi tổ chức tọa lạc. |
Ha Noi |
Province/Region/State (S) |
Tỉnh thành nơi tổ chức tọa lạc và không được viết tắt. |
Ha Noi |
Quốc gia/Country (C) |
Mã ISO gồm 2 chữ cái của quốc gia nơi trụ sở được đặt. |
VN |
Email Address (Mail) |
Địa chỉ liên hệ chính trong tổ chức để trao đổi về các hoạt động liên quan đến chứng chỉ, thường là bộ phận IT. |
itsupport@hvn.vn |
Các bước tạo CSR trên Microsoft IIS 5.x hoặc 6.x
Để tạo CSR trên nền tảng Microsoft IIS 5.x hoặc 6.x (Windows Server 2003) của mình, bạn thực hiện theo các bước cụ thể được nêu dưới đây:
– Bước 1: Thực hiện login vào server với quyền Administrator. Sau đó, từ section Administrative Tools trong Control Panel, bạn nhấp vào chọn Internet Information Service.
– Bước 2: Nhấp chuột phải vào website cần triển khai chứng chỉ SSL >> chọn Properties. Tại tab Directory Security, tiếp tục nhấn vào nút Server Certificate >> nhấp vào Next để tiếp tục.
– Bước 3: Chọn Create a New Certificate >> nhấp vào Next.
*Lưu ý: Để gia hạn chứng chỉ SSL hiện có, hãy chọn vào Renew, Remove or Replace in your certificate và chuyển sang bước 7.
– Bước 4: Nhấp chuột vào mục Prepare the request now, but send it later và nhấn vào nút Next.
– Bước 5: Người dùng tiến hành nhập tên của chứng chỉ số (nên chọn tên giúp có thể gợi nhớ dễ dàng, chẳng hạn Globalsign SSL), chọn bit-length là 2048 và không chọn các check-box.
– Bước 6: Trong mục Organization, người dùng tiến hành nhập tên công ty được ghi trong giấy phép đăng ký kinh doanh mới nhất (nhập chính xác từng ký tự, không ghi tắt). Trong mục Organization Unit, có thể chọn vào IT Department.
– Bước 7: Nhập vào tên miền chính xác của website (ví dụ: www.cer.vn). Bạn cần lưu ý rằng trong lĩnh vực chứng chỉ số, sub.domain.com và www.domain.com được xem là hai domain name khác nhau.
*Lưu ý: Đối với chứng chỉ SSL Wildcard, bạn cần phải thêm biểu tượng dấu hoa thị vào miền phụ (tức là *.domain.com), điều này cho phép số lượng phạm vi phủ sóng không giới hạn ở cấp cụ thể đó.
– Bước 8: Chọn vị trí nơi mà công ty của bạn đã đăng ký kinh doanh. Chẳng hạn, hãy chọn VN cho Country, Ha Noi cho State, Ha Noi cho City nếu công ty của bạn được đăng ký kinh doanh tại TP. Hà Nội, Việt Nam.
– Bước 9: Chọn tên file và đường dẫn sẽ lưu trữ tập tin CSR đã được tạo. Để tránh trùng lặp với các file CSR cũ hiện đang tồn tại trên máy chủ, người dùng nên chọn tên file theo năm, ví dụ certreq2023.txt. Sau đó, bạn nhấn Next để tạo CSR.
*Lưu ý: Khi hoàn thành việc tạo CSR với các bước nêu trên, một “pending request” sẽ được tạo ra trên website. Hãy giữ nguyên trạng thái “pending request” này (tức là không được xóa website này trên IIS hoặc không được tạo lại một CSR khác cho website này, tuy nhiên bạn có thể cập nhật nội dung hoặc mã nguồn của website bình thường). Sau khi nhận được chứng chỉ SSL từ CA, tổ chức của bạn phải cài đặt chứng chỉ vào đúng website đã được sử dụng để tạo ra CSR cho việc đăng ký trước đó.
Tổng kết
Như vậy, bạn đã hoàn thành xong các bước tạo CSR trên Microsoft IIS 5x và 6x. Trong quá trình thực hiện và cài đặt chứng chỉ SSL cho website, nếu gặp vấn đề khó có thể giải quyết, hãy nhanh chóng kết nối với các chuyên gia của HVN – Hệ sinh thái kiến tạo doanh nghiệp 4.0 – thông qua Hotline CSKH: 024.9999.7777 để được hỗ trợ xử lý kịp thời.