Hướng dẫn cài đặt chứng chỉ ssl cho website trong 5 phút

Cài đặt chứng chỉ SSL (SSL/TLS) là bước bắt buộc để website chạy HTTPS, mã hóa dữ liệu giữa người dùng và máy chủ, tránh cảnh báo “Không bảo mật” và tăng độ tin cậy khi đăng nhập, gửi form hoặc thanh toán.

Trong bài này, bạn sẽ có hướng dẫn theo đúng hạ tầng (cPanel, Cloudflare, VPS Nginx/Apache, IIS) và checklist sau cài để ép HTTP → HTTPS, xử lý mixed content và giữ ổn định SEO.

Chứng chỉ SSL là gì?

Theo Kaspersky, chứng chỉ SSL là một chứng chỉ số dùng để xác thực danh tính của một website và kích hoạt kết nối được mã hóa. SSL là viết tắt của Secure Sockets Layer, một giao thức bảo mật tạo ra liên kết được mã hóa giữa máy chủ web và trình duyệt.

SSL bao gồm 2 giao thức con đó là SSL Record (xác định định dạng truyền dữ liệu) và SSL Handshake (trao đổi thông tin giữa server và client khi lần đầu thiết lập kết nối SSL).

Các công ty và tổ chức cần cài đặt chứng chỉ SSL cho website để bảo mật giao dịch trực tuyến và giữ cho thông tin khách hàng được riêng tư, an toàn.

SSL giúp bảo vệ các kết nối Internet và ngăn chặn tội phạm mạng đọc hoặc chỉnh sửa dữ liệu được truyền giữa hai hệ thống. Khi bạn thấy biểu tượng ổ khóa bên cạnh địa chỉ website trên thanh trình duyệt, điều đó có nghĩa là website đang được SSL bảo vệ.

Kể từ khi xuất hiện khoảng 25 năm trước, SSL đã có nhiều phiên bản khác nhau và tất cả đều từng gặp vấn đề về bảo mật. Sau đó, một phiên bản được cải tiến và đổi tên là TLS (Transport Layer Security) – đây là giao thức vẫn đang được dùng hiện nay. Tuy nhiên, tên gọi SSL đã quá quen thuộc, nên ngay cả phiên bản mới này cũng thường được gọi là SSL.

Nếu bạn mua SSL trả phí như GeoTrust, Sectigo, DigiCert thì làm theo luồng này

Chuẩn bị: CSR, KEY, CABUNDLE là gì

CSR là file yêu cầu cấp chứng chỉ, tạo trên máy chủ cho đúng tên miền.
KEY là private key đi kèm CSR, phải giữ đúng vì sai KEY là cài không chạy.
CABUNDLE là chứng chỉ trung gian, thiếu CABUNDLE hay gây lỗi chuỗi tin cậy dù đã cài CRT.

Đầu vào bạn cần có

• CRT hoặc Certificate
• KEY hoặc Private Key
• CABUNDLE hoặc CA Bundle

Xác thực domain DCV: Email, DNS, HTTP file

DCV là bước xác minh bạn kiểm soát tên miền trước khi phát hành SSL.

• Email: nhanh nếu bạn nhận được mail quản trị tên miền
• DNS: ổn định nhất nếu bạn chỉnh được DNS, phù hợp cả khi web chưa chạy
• HTTP file: nhanh nếu web đang chạy và bạn upload file vào webroot được

Cài trên cPanel, DirectAdmin, Plesk, IIS

Nguyên tắc chung là cài đủ 3 thành phần KEY, CRT, CABUNDLE, sau đó mới cấu hình ép HTTPS.

• cPanel: vào SSL TLS, dán CRT, KEY, CABUNDLE, kích hoạt cho domain
• DirectAdmin: vào SSL Certificates, dán KEY trước, rồi CRT, rồi CABUNDLE
• Plesk: vào SSL TLS Certificates, nhập KEY, CRT, CA certificate, rồi bật SSL trong Hosting Settings
• IIS: import chứng chỉ có private key, bind https port 443 cho site và đúng host name

Re issue khi đổi hosting hoặc thêm SAN

Bạn cần re issue khi đổi server, mất KEY, hoặc muốn thêm www, subdomain, domain phụ theo SAN.
Luồng chuẩn là tạo CSR mới trên máy chủ đang dùng, hoàn tất DCV nếu được yêu cầu, tải bộ chứng chỉ mới và cài lại đủ KEY, CRT, CABUNDLE.

Kiểm tra nhanh sau khi cài

• Không cảnh báo, không lỗi chuỗi chứng chỉ
• Truy cập https không bị vòng lặp chuyển hướng
• Có 301 từ http sang https và thống nhất www hoặc không www

Chọn đúng cách cài SSL

Bạn thuộc trường hợp nào?

• Bạn dùng hosting có cPanel/DirectAdmin/Plesk → ưu tiên AutoSSL/Let’s Encrypt hoặc dán CRT/KEY trong panel.
• Bạn dùng Cloudflare → bật SSL/TLS trong Cloudflare, chọn mode đúng để tránh vòng lặp redirect.
• Bạn dùng VPS Linux (Nginx/Apache) → dùng Certbot để cấp chứng chỉ và tự gia hạn.
• Bạn dùng Windows Server (IIS) → import PFX và binding HTTPS trong IIS.
• Bạn dùng WordPress → sau khi có SSL, cần cấu hình URL/redirect và xử lý mixed content (plugin hoặc thủ công).

Cài đặt chứng chỉ SSL trên DirectAdmin

Phù hợp khi website của bạn đang chạy hosting có DirectAdmin và bạn cần cài SSL thủ công hoặc dùng Let’s Encrypt.

Đầu vào cần có

• CRT hoặc Certificate

• KEY hoặc Private Key

• CABUNDLE hoặc CA Bundle, Intermediate

• Hoặc Let’s Encrypt nếu hosting hỗ trợ

Các bước thực hiện

1. Đăng nhập DirectAdmin, vào Account Manager, chọn SSL Certificates

2. Chọn mục dán chứng chỉ thủ công, thường là Paste a pre generated certificate and key

3. Dán Private Key vào ô Private Key

4. Dán Certificate vào ô Certificate

5. Dán CA Bundle vào ô CA Root Certificate nếu có

6. Lưu cấu hình, sau đó kiểm tra truy cập https trên domain chính và www

Nếu  bạn còn chưa cấu hình được hãy xem ngay hướng dẫn cài đặt SSL trên DirectAdmin của BKNS

Lưu ý
Nếu bạn bật ép HTTPS ở DirectAdmin thì không nên ép thêm ở plugin WordPress hoặc file cấu hình web server, để tránh vòng lặp chuyển hướng.

Cài đặt chứng chỉ SSL trên Plesk

Cùng tìm hiểu hướng dẫn cài đặt SSL cho hosting Plesk Windows đơn giản nhất:

Đầu vào cần có

• CRT hoặc Certificate, file chứng chỉ tên miền
• KEY hoặc Private Key
• CABUNDLE hoặc CA Bundle, Intermediate Certificate
• Hoặc Let’s Encrypt extension trong Plesk

Các bước thực hiện

1. Đăng nhập Plesk, vào Websites and Domains, chọn SSL TLS Certificates
2. Chọn Add SSL TLS Certificate hoặc chọn một certificate hiện có để chỉnh sửa
3. Dán hoặc tải lên Private Key vào phần Private key
4. Dán hoặc tải lên Certificate vào phần Certificate
5. Dán hoặc tải lên CA Certificate, Intermediate vào phần CA certificate nếu có
6. Bấm Save, sau đó quay lại Websites and Domains, mở Hosting Settings
7. Tại mục Security, chọn chứng chỉ vừa cài cho domain, bật SSL TLS support và bật Permanent SEO safe 301 redirect from HTTP to HTTPS nếu cần

Gợi ý nhanh

• Nếu dùng Let’s Encrypt, vào Extensions, cài Let’s Encrypt, sau đó chọn domain và bấm Get it free
• Khi bật redirect 301 trong Plesk, tránh bật thêm redirect trùng lặp ở plugin hoặc file cấu hình web server để không dính vòng lặp

Tầm quan trọng khi cài đặt chứng chỉ SSL cho website

Như đã nói ở phần trước, chứng chỉ SSL mang đến nhiều lợi ích vô cùng to lớn cho cả người truy cập web lẫn người quản lý web. Dưới đây sẽ là một số lợi ích cụ thể của chứng chỉ SSL:

• Giúp mã hoá thông tin tốt hơn, tránh bị đánh cắp bởi hacker.
• Hầu hết các trang web có SSL tốt thường được tin cậy và đánh giá cao bởi khách hàng, đối tác.
• Giúp hoạt động nhận thông tin từ thẻ tín dụng (thẻ VISA) diễn ra một cách nhanh chóng. Bởi những trang web muốn làm được điều này cần vượt qua những tiêu chuẩn cực kì nghiêm ngặt.
• Đối với SEO, HTTP + SSL sẽ giúp trang web của bạn được đánh giá xếp hạng cao bởi Google. Từ đó website của bạn sẽ được nhiều lượt truy cập hơn.

Với rất nhiều lợi ích, bạn hãy chắc chắn phải cài đặt chứng chỉ SSL cho trang web của mình nhé.

5 Cách cài đặt chứng chỉ ssl mới nhất 2026

Cách 1: Cài SSL trên hosting cPanel (nhanh nhất)

AutoSSL/Let’s Encrypt (khuyến nghị nếu hosting hỗ trợ)

Hướng dẫn cài đặt SSL trên hosting cPanel đơn giản nhất

• Vào cPanel/DirectAdmin → Security → SSL/TLS Status hoặc Let’s Encrypt SSL
• Chọn domain → Run AutoSSL / Issue → chờ vài phút để hệ thống cấp và cài.

Cài thủ công trong cPanel (khi bạn có CRT/KEY/CABUNDLE)

Theo luồng “Manage SSL Sites”:

• Đăng nhập cPanel → SSL/TLS
• Manage SSL Sites
  Chọn đúng domain

Dán:

• Certificate (CRT)
• Private Key (KEY)
• CA Bundle (CABUNDLE)
• Nhấn Install Certificate để hoàn tất.

Cách 2: Cài SSL qua Cloudflare (phù hợp nếu bạn đã dùng CDN/WAF)

Để cài SSL trên Cloudflare bạn cần :

Bước 1: Trỏ nameserver về Cloudflare

• Thêm domain vào Cloudflare
• Đổi nameserver tại nơi quản lý tên miền theo Cloudflare cung cấp
• Chờ DNS cập nhật

Bước 2: Kiểm tra DNS và Proxy

• Vào DNS trong Cloudflare
• Bật Proxy cho bản ghi gốc và www, biểu tượng đám mây cam
• Đảm bảo domain trỏ đúng IP máy chủ

Bước 3: Chọn SSL mode đúng tình huống

Vào SSL/TLS và chọn 1 chế độ

• Full strict
  Dùng khi máy chủ gốc có chứng chỉ hợp lệ như Let’s Encrypt hoặc Cloudflare Origin Certificate. Đây là lựa chọn ưu tiên
• Full
  Dùng khi máy chủ gốc có SSL nhưng chưa đạt strict. Chạy ổn trước, rồi nâng lên Full strict
• Flexible
  Chỉ dùng tạm khi máy chủ gốc chưa có SSL. Dễ gây vòng lặp nếu máy chủ gốc cũng ép HTTPS

Bước 4: Bật Always Use HTTPS

• SSL/TLS, Edge Certificates
• Bật Always Use HTTPS để ép HTTP sang HTTPS
• Có thể bật Automatic HTTPS Rewrites để giảm lỗi link HTTP cũ và mixed content

Bước 5: Sửa lỗi Redirect loop, ERR_TOO_MANY_REDIRECTS

Làm theo thứ tự

1. Nếu đang Flexible, chuyển sang Full hoặc Full strict
2. Kiểm tra máy chủ gốc có đang ép HTTPS không, ví dụ .htaccess, Nginx, plugin WordPress
3. Chỉ giữ một lớp ép HTTPS, ưu tiên Cloudflare, tắt phần trùng lặp trên máy chủ gốc khi cần
4. Xóa cache, thử lại ở cửa sổ ẩn danh

Bước 6: Khi nào dùng Cloudflare Origin Certificate

• Dùng khi muốn Full strict nhưng máy chủ gốc chưa có chứng chỉ phù hợp
• Cài Origin Certificate và Private Key lên máy chủ gốc
• Sau đó đặt SSL mode là Full strict

Cách 3: Cài SSL trên VPS Linux (Nginx/Apache) bằng Certbot

 

Đây là cách cài đặt SSL Nginx “chuẩn vận hành” vì tự gia hạn.

Cấp và cấu hình tự động (phổ biến nhất)

• SSH vào VPS
• Cài Certbot và plugin tương ứng (Nginx hoặc Apache)
• Chạy (ví dụ):

sudo certbot --nginx

# hoặc

sudo certbot --apache

Làm theo hướng dẫn để chọn domain và (nếu có) bật redirect HTTPS tự động.

Nếu bạn cần cấu hình Nginx thủ công

Cấu hình thủ công thường cần đặt đúng đường dẫn certificate/key và đảm bảo chain (intermediate) đầy đủ.

Cách 4: Cài SSL trên Windows Server (IIS)

Hướng dẫn cài đặt SSL cho IIS trên Windows Server trong giây lát:

Luồng chuẩn là PFX → Import → Bindings:

1. Chuyển đổi bộ chứng chỉ sang .PFX
2. IIS → Server Certificates → Import PFX
3. Website → Bindings… → thêm https/443 và chọn chứng chỉ
4. Kiểm tra truy cập HTTPS và biểu tượng ổ khóa.

Cách 5: Website WordPress sau khi có SSL 

Nếu WordPress vẫn tải ảnh/JS/CSS qua HTTP, trình duyệt sẽ báo Mixed Content.

Hai hướng:

• Dùng plugin (ví dụ Really Simple SSL / Force SSL) để ép HTTPS và sửa liên kết.
• Hoặc sửa thủ công: cập nhật URL trong database và kiểm tra các link hard-code.

Checklist “bắt buộc” sau khi cài SSL để không tụt SEO

1. Chọn phiên bản chuẩn của site

Chọn 1 phiên bản duy nhất:

• https://domain.com hoặc
• https://www.domain.com

2. Redirect 301 toàn site: HTTP → HTTPS (và www/non-www)

Apache (.htaccess) – mẫu cơ bản:

RewriteEngine On

RewriteCond %{HTTPS} off [OR]

RewriteCond %{HTTP_HOST} ^www\.example\.com$ [NC]

RewriteRule ^ https://example.com%{REQUEST_URI} [L,R=301]

Nginx – mẫu cơ bản:

server {

listen 80;

server_name example.com www.example.com;

return 301 https://example.com$request_uri;

}

3. Cập nhật canonical + sitemap + robots

• Canonical phải là HTTPS
• Sitemap xuất bản URL HTTPS
• Robots không chặn nhầm

4. Sửa mixed content

• Tìm và thay thế URL HTTP trong template/nội dung
• Với WordPress: kiểm tra theme, plugin cache, CDN URL

5. Cập nhật Search Console/Analytics

• Thêm property HTTPS
• Gửi sitemap mới

6. Kiểm tra chain/intermediate

Nếu browser báo không tin cậy, thường do thiếu CA bundle / intermediate chain.

7. Chỉ bật HSTS khi bạn chắc chắn 100% HTTPS ổn định

HSTS bật sai có thể “khóa” trình duyệt vào HTTPS khi site chưa cấu hình chuẩn.

Lỗi thường gặp và cách xử lý nhanh

Lỗi 1: Mixed Content (biểu tượng ổ khóa không hiển thị “an toàn”)

Nguyên nhân: còn tài nguyên tải qua HTTP.
Cách xử lý: quét link HTTP → thay bằng HTTPS; WordPress dùng plugin hoặc sửa DB.

Lỗi 2: Redirect loop (ERR_TOO_MANY_REDIRECTS)

Thường gặp khi Cloudflare để Flexible nhưng origin cũng ép HTTPS (xung đột). Cách xử lý: đưa về Full/Full (Strict) và thống nhất cơ chế redirect.

Lỗi 3: Chứng chỉ “không khớp tên miền”

Bạn cài cert cho www nhưng truy cập non-www (hoặc ngược lại) mà cert không có SAN tương ứng. Giải pháp: cấp lại cert có đủ SAN hoặc dùng wildcard.

Lỗi 4: Trình duyệt báo không tin cậy (chain thiếu)

Cài thiếu intermediate/CA bundle. Nếu cài thủ công, kiểm tra bạn đã dán CABUNDLE đúng chưa (cPanel).

cài SSL đúng không chỉ là “cài chứng chỉ” mà còn phải hoàn tất redirect 301 HTTP → HTTPS, chuẩn hóa canonical/sitemap, sửa mixed content và kiểm tra certificate chain. Làm đủ các bước trong checklist là cách nhanh nhất để website lên HTTPS ổn định, không lỗi vòng lặp và hạn chế rủi ro tụt SEO.