Hướng dẫn import PFX vào máy chủ Windows

Để import bộ chứng thư số SSL chuẩn PKCS12 (có đuôi .pfx hoặc .p12) vào máy chủ Windows Server, bạn cần thực hiện theo các bước sau:

  1. Đăng nhập vào Windows với quyền quản trị.
  2. Từ màn hình Desktop, mở Command Prompt và chạy lệnh mmc:

– Trên Windows 2003, 2008: Nhấn Start, chọn Run và gõ vào mmc và nhấn ENTER

– Trên Windows 2012: Nhấn Start , chọn ô Start Search, gõ vào mmc và nhấn ENTER

  1. Từ màn hình mmc, chọn FileAdd/Remove Snap-in

z

  1. Trong màn hình tiếp theo chọn Certificatesvà nhấn nút Add.

x

  1. Chọn Computer accounttrong màn hình tiếp theo và nhấn Next.

c

6. Trong màn hình tiếp theo, chọn Local computer và nhấn Finish

v

  1. Trong khung bên phải, kiểm tra lại xem mụcCertificatesđã được thêm vào chưa. Sau đó nhấn OK.

b

  1. Từ màn hình Certificate Snap-in, nhấp chuột phải vào mục Personal và chọn All Tasks > Import

n

  1. NhấnNext.

m

  1. NhấnBrowsevà trỏ đến vị trí lưu file PFX trên server, sau đó nhấn Next.

a

  1. Nhập vào mật khẩu bảo vệ của file PFX. Chọn mụcInclude all extended properties.Lưu ý: Nếu bạn muốn cho phép export khóa riêng của chứng thư số này về sau, bạn cần chọn mục Mark this key as exportable. Trong trường hợp bạn có nhiều máy chủ, bạn chỉ nên cho phép export khóa riêng từ một máy chủ chính để gia tăng khả năng bảo mật.

d

  1. ChọnPlace all certificates in the followiing store. Đảm bảo bạn đã chọnPersonal trong mục Certificate store. Nhấn Next.

d

  1. NhấnFinish.

d

  1. Lúc này, chứng thư số sẽ xuất hiện trong mụcPersonalCertificates. Bạn cũng sẽ thấy chứng thư số này xuất hiện khi Binding SSL cho website trong IIS.

d

Lưu ý: Trong trường hợp bạn đang sử dụng chứng thư số Wildcard và muốn chia sẻ chứng thư số này cho nhiều website khác nhau trên máy chủ, bạn cần lưu ý cột Friendly Name trong màn hình phía trên. Bạn cần đảm bảo có dấu * ở đầu. Ví dụ: “*.Globalsign SSL2016“.

Bạn có thể thay đổi Friendly Name bằng cách nhấp chuột phải vào chứng thư số và chọn Properties.

d

Sau khi import PFX thành công vào máy chủ, bạn có thể binding SSL cho các website trên IIS theo hướng dẫn tại đây:

Trong trường hợp bạn sở hữu một chứng thư số SAN hoặc Wildcard, bạn có thể binding chứng thư số này cho nhiều website trên cùng một máy chủ. Lưu ý: Mỗi địa chỉ IP chỉ có thể binding một chứng thư số trên một port. Trong trường hợp bạn có nhiều chứng thư số trên một máy chủ, bạn cần trang bị thêm số địa chỉ IP tương ứng hoặc binding trên các port khác nhau (Lưu ý này không áp dụng với các máy chủ thế hệ mới như Windows Server 2012 có hỗ trợ SNI).

Giả sử trên máy chủ đã tồn tại một bộ chứng thư số SSL hợp lệ, bạn thực hiện lần lượt theo các bước sau đây để binding SSL cho website:

IIS6.x
IIS7.x/8.x

Trên IIS6:

Nhấp chuột phải vào website cần binding và chọn Properties.

d

Chọn tab Directory Security. Trong mục Secure communications nhấn vào nút Server Certificate.

d

Trong màn hình tiếp theo nhấn Next.

d

Trong màn hình tiếp theo chọn Assign an existing certificate và nhấn Next.

d

Trong màn hình tiếp theo, chọn chứng thư số mà bạn muốn sử dụng cho website này. Sau đó nhấn Next.

d

Trong màn hình tiếp theo, chọn port mà bạn muốn sử dụng cho website này (443 hoặc 8443,…). Sau đó nhấn Next.

d

Xác nhận lại thông tin trong màn hình tiếp theo và nhấn Next.

d

Nhấn Finish trong màn hình tiếp theo.

d

Bạn có thể nhấn nút View Certificate để kiểm tra lại thông tin chứng thư số trong màn hình tiếp theo.

d

Bạn có thể thay đổi port cho SSL tại tab Web Site.

d

Bạn đã binding SSL thành công cho website.

Trên IIS 7.x/8.x

Chọn website cần binding SSL, sau đó nhấn chọn mục Bindings… ở menu bên phải.

 

d

Trong màn hình tiếp theo nhấn nút Add.

d

Trong màn hình tiếp theo, chọn https trong mục Type, chọn chứng thư số mà bạn muốn sử dụng trong mục SSL certificate. Sau đó nhấn OK.

d

Lúc này trong danh sách Site Bindings sẽ xuất hiện thêm một record https. Nhấn Close.

d

Bạn đã hoàn tất binding SSL cho website.