Hướng dẫn cài đặt chứng chỉ ssl cho website trong 5 phút

Cài đặt chứng chỉ SSL (SSL/TLS) là bước bắt buộc để website chạy HTTPS, mã hóa dữ liệu giữa người dùng và máy chủ, tránh cảnh báo “Không bảo mật” và tăng độ tin cậy khi đăng nhập, gửi form hoặc thanh toán.

Trong bài này, bạn sẽ có hướng dẫn theo đúng hạ tầng (cPanel, Cloudflare, VPS Nginx/Apache, IIS) và checklist sau cài để ép HTTP → HTTPS, xử lý mixed content và giữ ổn định SEO.

Bạn đang dùng hạ tầng nào? Chọn 1 nhánh để làm ngay

• Hosting cPanel → làm theo mục “cPanel”.
• Hosting DirectAdmin → làm theo mục “DirectAdmin”.
• Hosting Plesk → làm theo mục “Plesk”.
• Đang dùng Cloudflare (CDN/WAF) → làm theo mục “Cloudflare”.
• VPS Linux (Nginx/Apache) → làm theo mục “VPS (Certbot)”.
• Windows Server (IIS) → làm theo mục “IIS”.
• WordPress → làm theo mục “WordPress (sau khi có HTTPS)”.

Lưu ý quan trọng nhất để tránh lỗi “quá nhiều chuyển hướng”: chỉ giữ một nơi ép HTTP → HTTPS (panel hoặc Cloudflare hoặc cấu hình web server hoặc plugin). Bật trùng là nguyên nhân phổ biến nhất gây vòng lặp.

Chứng chỉ SSL là gì?

Theo Kaspersky, chứng chỉ SSL là một chứng chỉ số dùng để xác thực danh tính của một website và kích hoạt kết nối được mã hóa. SSL là viết tắt của Secure Sockets Layer, một giao thức bảo mật tạo ra liên kết được mã hóa giữa máy chủ web và trình duyệt.

SSL bao gồm 2 giao thức con đó là SSL Record (xác định định dạng truyền dữ liệu) và SSL Handshake (trao đổi thông tin giữa server và client khi lần đầu thiết lập kết nối SSL).

Các công ty và tổ chức cần cài đặt chứng chỉ SSL cho website để bảo mật giao dịch trực tuyến và giữ cho thông tin khách hàng được riêng tư, an toàn.

SSL giúp bảo vệ các kết nối Internet và ngăn chặn tội phạm mạng đọc hoặc chỉnh sửa dữ liệu được truyền giữa hai hệ thống. Khi bạn thấy biểu tượng ổ khóa bên cạnh địa chỉ website trên thanh trình duyệt, điều đó có nghĩa là website đang được SSL bảo vệ.

Kể từ khi xuất hiện khoảng 25 năm trước, SSL đã có nhiều phiên bản khác nhau và tất cả đều từng gặp vấn đề về bảo mật. Sau đó, một phiên bản được cải tiến và đổi tên là TLS (Transport Layer Security) – đây là giao thức vẫn đang được dùng hiện nay. Tuy nhiên, tên gọi SSL đã quá quen thuộc, nên ngay cả phiên bản mới này cũng thường được gọi là SSL.

Nên dùng SSL miễn phí hay trả phí?

• Miễn phí (thường dùng Let’s Encrypt): phù hợp blog, website giới thiệu, landing page, website doanh nghiệp nhỏ ưu điểm là dễ triển khai và có thể tự gia hạn nếu cấu hình đúng.
• Trả phí (DV/OV/EV tùy nhà cung cấp): phù hợp khi bạn cần hồ sơ xác minh doanh nghiệp, quy trình cấp phát theo giấy tờ, hoặc yêu cầu nội bộ/đối tác về loại chứng chỉ.
• Nhiều tên miền/subdomain: cân nhắc loại có nhiều SAN hoặc wildcard để tránh tình trạng truy cập www/non-www bị báo “không khớp tên miền”.
• Nếu bạn dùng Cloudflare: cần hiểu có 2 đoạn kết nối: trình duyệt ↔ Cloudflare và Cloudflare ↔ máy chủ gốc. Chọn chế độ sai dễ phát sinh lỗi chuyển hướng hoặc lỗi bắt tay

Nếu bạn mua SSL trả phí như GeoTrust, Sectigo, DigiCert thì làm theo luồng này

Chuẩn bị: CSR, KEY, CABUNDLE là gì

CSR là file yêu cầu cấp chứng chỉ, tạo trên máy chủ cho đúng tên miền.
KEY là private key đi kèm CSR, phải giữ đúng vì sai KEY là cài không chạy.
CABUNDLE là chứng chỉ trung gian, thiếu CABUNDLE hay gây lỗi chuỗi tin cậy dù đã cài CRT.

Đầu vào bạn cần có

• CRT hoặc Certificate
• KEY hoặc Private Key
• CABUNDLE hoặc CA Bundle

Xác thực domain DCV: Email, DNS, HTTP file

DCV là bước xác minh bạn kiểm soát tên miền trước khi phát hành SSL.

• Email: nhanh nếu bạn nhận được mail quản trị tên miền
• DNS: ổn định nhất nếu bạn chỉnh được DNS, phù hợp cả khi web chưa chạy
• HTTP file: nhanh nếu web đang chạy và bạn upload file vào webroot được

Cài trên cPanel, DirectAdmin, Plesk, IIS

Nguyên tắc chung là cài đủ 3 thành phần KEY, CRT, CABUNDLE, sau đó mới cấu hình ép HTTPS.

• cPanel: vào SSL TLS, dán CRT, KEY, CABUNDLE, kích hoạt cho domain
• DirectAdmin: vào SSL Certificates, dán KEY trước, rồi CRT, rồi CABUNDLE
• Plesk: vào SSL TLS Certificates, nhập KEY, CRT, CA certificate, rồi bật SSL trong Hosting Settings
• IIS: import chứng chỉ có private key, bind https port 443 cho site và đúng host name

Re issue khi đổi hosting hoặc thêm SAN

Bạn cần re issue khi đổi server, mất KEY, hoặc muốn thêm www, subdomain, domain phụ theo SAN.
Luồng chuẩn là tạo CSR mới trên máy chủ đang dùng, hoàn tất DCV nếu được yêu cầu, tải bộ chứng chỉ mới và cài lại đủ KEY, CRT, CABUNDLE.

Kiểm tra nhanh sau khi cài

• Không cảnh báo, không lỗi chuỗi chứng chỉ
• Truy cập https không bị vòng lặp chuyển hướng
• Có 301 từ http sang https và thống nhất www hoặc không www

Hướng dẫn cài SSL theo đúng hạ tầng 

Hosting cPanel

Nếu có AutoSSL/Let’s Encrypt: vào Security → SSL/TLS Status (hoặc Let’s Encrypt) → chọn domain → Run AutoSSL/Issue → chờ báo thành công.

Nếu cài thủ công: vào SSL/TLS → Manage SSL Sites → chọn domain → dán Certificate (CRT), Private Key (KEY), CA Bundle → Install.

Lưu ý: nếu đã bật chuyển sang HTTPS trong cPanel thì đừng bật thêm ở plugin hoặc Cloudflare.

Hosting DirectAdmin

1. Đăng nhập DirectAdmin → Account Manager → SSL Certificates.
2. Chọn mục cài thủ công (thường là Paste a pre-generated certificate and key).
3. Dán Private Key vào ô Private Key.
4. Dán Certificate (CRT) vào ô Certificate.
5. Dán CA Bundle (nếu có) vào CA Root Certificate.
6. Lưu lại và thử mở https trên domain chính + www.

Lưu ý: nếu DirectAdmin có tùy chọn ép HTTPS, chỉ dùng một nơi để ép. Nếu bạn còn chưa cấu hình được hãy xem ngay hướng dẫn cài đặt SSL trên DirectAdmin của BKNS

Hosting Plesk

Cùng tìm hiểu hướng dẫn cài đặt SSL cho hosting Plesk Windows đơn giản nhất:

1. Đăng nhập Plesk → Websites and Domains → SSL/TLS Certificates.
2. Thêm mới hoặc chỉnh sửa chứng chỉ đang có.
3. Tải lên/dán Private Key vào phần Private key.
4. Tải lên/dán Certificate vào phần Certificate.
5. Tải lên/dán CA certificate (Intermediate) nếu có.
6. Save → quay lại Hosting Settings → bật HTTPS cho website.

Lưu ý: nếu Plesk bật chuyển HTTP sang HTTPS rồi thì không bật thêm ở Cloudflare/plugin.

Cloudflare (đang dùng CDN/WAF)

Để cài SSL trên Cloudflare bạn cần thực hiện  các bước sau:

1. Trỏ nameserver về Cloudflare và chờ DNS cập nhật.
2. Trong DNS, bật Proxy (đám mây cam) cho bản ghi gốc và www nếu bạn muốn Cloudflare đứng giữa.
3. Vào SSL/TLS và chọn chế độ:

• Full (Strict): ưu tiên khi máy chủ gốc có chứng chỉ hợp lệ.
• Full: dùng tạm nếu máy chủ gốc có SSL nhưng chưa “strict”.
• Flexible: chỉ dùng khi máy chủ gốc chưa có SSL nếu máy chủ gốc cũng ép HTTPS thì rất dễ bị vòng lặp.

Nếu bạn muốn Cloudflare là nơi ép HTTP → HTTPS: bật Always Use HTTPS và tắt ép HTTPS ở những nơi khác.

VPS Linux (Nginx/Apache) – dùng Certbot

Đây là cách cài đặt SSL Nginx “chuẩn vận hành” vì tự gia hạn”

SSH vào VPS và chạy đúng lệnh theo web server:

sudo certbot --nginx

sudo certbot --apache

Sau đó kiểm tra mở https, và đảm bảo chỉ có một nơi ép HTTP → HTTPS.

Khuyến nghị: chạy thử gia hạn để chắc chắn không “đứt” sau này: sudo certbot renew --dry-run

Windows Server (IIS)

Hướng dẫn cài đặt SSL cho IIS trên Windows Server trong giây lát:

Luồng chuẩn: chuẩn bị file .PFX (có chứng chỉ + private key) → Import → Bindings.

1. Mở IIS → Server Certificates → Import PFX.
2. Vào website → Bindings… → thêm https/443 và chọn chứng chỉ vừa import.
3. Nếu có nhiều site, nhớ chọn đúng Host name để tránh gắn nhầm.

WordPress (sau khi đã có HTTPS)

• Cách nhanh: dùng plugin chuyển sang https và quét các tài nguyên còn tải qua http.
• Cách chắc: cập nhật URL website trong cài đặt, rồi kiểm tra lại theme/plugin/nội dung cũ có link http “cứng” không.

Lưu ý: sửa xong hãy xóa cache (plugin cache/CDN/trình duyệt) rồi kiểm tra lại bằng cửa sổ ẩn danh.

Tầm quan trọng khi cài đặt chứng chỉ SSL cho website

Như đã nói ở phần trước, chứng chỉ SSL mang đến nhiều lợi ích vô cùng to lớn cho cả người truy cập web lẫn người quản lý web. Dưới đây sẽ là một số lợi ích cụ thể của chứng chỉ SSL:

• Giúp mã hoá thông tin tốt hơn, tránh bị đánh cắp bởi hacker.
• Hầu hết các trang web có SSL tốt thường được tin cậy và đánh giá cao bởi khách hàng, đối tác.
• Giúp hoạt động nhận thông tin từ thẻ tín dụng (thẻ VISA) diễn ra một cách nhanh chóng. Bởi những trang web muốn làm được điều này cần vượt qua những tiêu chuẩn cực kì nghiêm ngặt.
• Đối với SEO, HTTP + SSL sẽ giúp trang web của bạn được đánh giá xếp hạng cao bởi Google. Từ đó website của bạn sẽ được nhiều lượt truy cập hơn.

Với rất nhiều lợi ích, bạn hãy chắc chắn phải cài đặt chứng chỉ SSL cho trang web của mình nhé.

Checklist “bắt buộc” sau khi cài SSL để không tụt SEO

1. Chọn phiên bản chuẩn của site

Chọn 1 phiên bản duy nhất:

• https://domain.com hoặc
• https://www.domain.com

2. Redirect 301 toàn site: HTTP → HTTPS (và www/non-www)

Apache (.htaccess) – mẫu cơ bản:

RewriteEngine On

RewriteCond %{HTTPS} off [OR]

RewriteCond %{HTTP_HOST} ^www\.example\.com$ [NC]

RewriteRule ^ https://example.com%{REQUEST_URI} [L,R=301]

Nginx – mẫu cơ bản:

server {

listen 80;

server_name example.com www.example.com;

return 301 https://example.com$request_uri;

}

3. Cập nhật canonical + sitemap + robots

• Canonical phải là HTTPS
• Sitemap xuất bản URL HTTPS
• Robots không chặn nhầm

4. Sửa mixed content

• Tìm và thay thế URL HTTP trong template/nội dung
• Với WordPress: kiểm tra theme, plugin cache, CDN URL

5. Cập nhật Search Console/Analytics

• Thêm property HTTPS
• Gửi sitemap mới

6. Kiểm tra chain/intermediate

Nếu browser báo không tin cậy, thường do thiếu CA bundle / intermediate chain.

7. Chỉ bật HSTS khi bạn chắc chắn 100% HTTPS ổn định

HSTS bật sai có thể “khóa” trình duyệt vào HTTPS khi site chưa cấu hình chuẩn.

Lỗi thường gặp và cách xử lý nhanh

Lỗi 1: Mixed Content (biểu tượng ổ khóa không hiển thị “an toàn”)

Nguyên nhân: còn tài nguyên tải qua HTTP.
Cách xử lý: quét link HTTP → thay bằng HTTPS WordPress dùng plugin hoặc sửa DB.

Lỗi 2: Redirect loop (ERR_TOO_MANY_REDIRECTS)

Thường gặp khi Cloudflare để Flexible nhưng origin cũng ép HTTPS (xung đột). Cách xử lý: đưa về Full/Full (Strict) và thống nhất cơ chế redirect.

Lỗi 3: Chứng chỉ “không khớp tên miền”

Bạn cài cert cho www nhưng truy cập non-www (hoặc ngược lại) mà cert không có SAN tương ứng. Giải pháp: cấp lại cert có đủ SAN hoặc dùng wildcard.

Lỗi 4: Trình duyệt báo không tin cậy (chain thiếu)

Cài thiếu intermediate/CA bundle. Nếu cài thủ công, kiểm tra bạn đã dán CABUNDLE đúng chưa (cPanel).

cài SSL đúng không chỉ là “cài chứng chỉ” mà còn phải hoàn tất redirect 301 HTTP → HTTPS, chuẩn hóa canonical/sitemap, sửa mixed content và kiểm tra certificate chain. Làm đủ các bước trong checklist là cách nhanh nhất để website lên HTTPS ổn định, không lỗi vòng lặp và hạn chế rủi ro tụt SEO.