Hỏi đáp dịch vụ SSL
17/09/2022 09:37 | Luợt xem : 1461
Vâng, bạn có thể add thêm SAN sau khi order đã active.
Khi add thêm tên miền SSL sẽ cần đăng ký lại để cấp Cert mới chứa cả tên miền add thêm
Hỏi: Sau khi tham khảo SSL tại , tôi thấy có rất nhiều loại chứng chỉ SSL và không biết nên lựa chọn loại nào cho phù hợp? Trả lời: Để lựa chọn các loại SSL phù hợp, bạn cần phân tích nhu cầu của mình cũng như các chức năng của từng loại SSL.Dựa trên các tiêu chí dưới đây.
1. Quy mô hoạt động website của bạn được đứng tên bởi tổ chức,doanh nghiệp hay cá nhân ?
- - Nếu hoạt động với tư cách cá nhân bạn chỉ có thể đăng ký SSL với kiểu chứng thực DV (Chứng thực qua Tên Miền).
- - Nếu hoạt động với tư cách tổ chức hoặc doanh nghiệp. Ngoài DV SSL bạn còn có thể đăng ký SSL với các kiểu chứng thực khác như OV SSL hay EV SSL.
2. Mục đích sử dụng SSL? - Bảo mật các trang web thương mại điện tử,ngân hàng điện tử,sàn chứng khoán với các giao dịch có giá trị lớn hay truy xuất các thông tin nhạy cảm. Quý khách chỉ nên sử dụng EV SSL với mức chứng thực mở rộng.Là loại chứng chỉ uy tín nhất,EV SSL có thanh địa chỉ màu xanh chứa thông tin tổ chức và doanh nghiệp.Kèm theo với các mức bảo hiểm lớn lên tới hàng trăm nghìn USD một vụ.
- Bảo mật các trang đăng nhập,đăng ký,thanh toán,webmail và các nhu cầu đơn giản. DV SSL sẽ đáp ứng tốt các nhu cầu cơ bản này.Với thời gian cung cấp và triển khai nhanh chóng gần như ngay lập tức.
Chứng thực tên miền được sở hữu bởi doanh nghiệp hay tổ chức. Nâng cao uy tín của website. OV SSL đáp ứng được các nhu này.EV SSL sẽ là tốt nhất vì nó cung cấp thêm thanh địa chỉ chứng thực màu xanh chứa thông tin tổ chức.Tuy nhiên thời gian triển khai và quy trình chứng thực mất khá nhiều thời gian từ 5-10 ngày.Wildcard SSL là giải pháp tiết kiệm dành cho bạn.Nó có khả năng cung cấp cho không giới hạn subdomain chỉ với một chứng chỉ duy nhất.Wildcard SSL bao gồm 2 kiểu chứng thực là DV và OV.
- Các giải pháp SSL tiết kiệm cho Microsoft® Exchange Server,Lync hoặc Office Communications Server. Wildcard SSL trong trường hợp này sẽ không thể giúp bạn vì nó không hỗ trợ.Khi đó Unified Communications Certificate (UCC) SSL thì có thể. Khác với Wildcard SSL thì UCC SSL không chỉ hỗ trợ cho nhiều tên miền phụ(subdomain) mà còn hỗ trợ cho nhiều tên miền(domain) khác nhau. Một chứng chỉ UCC SSL cơ bản sẽ cung cấp cho bạn 3 tên miền và mỗi tên miền cộng thêm sẽ được tính với chi phí rất nhỏ. UCC SSL bao gồm 2 kiểu chứng thực cho bạn lựa chọn là DV và OV.
Hỏi: CA là gì? Đáp: CA là viết tắt của (Certificate authority) hoặc (Certification authority)là tổ chức cấp phát chứng chỉ kỹ thuật số.
Hỏi: Chứng chỉ số,chứng thực số và chứng thư số thì cái nào là cách gọi đúng? Đáp: Cả 3 cách nói trên đều đúng và nói về dịch vụ (digital certificate).
Hỏi: Chứng chỉ số và chữ ký số là một hay khác nhau? Đáp: Chứng chỉ số và chữ ký số là hai dịch vụ khác nhau hoàn toàn.Tham khảo thêm ở đây.
Hỏi: Chứng chỉ SSL DV là gì? Đáp: DV là viết tắt của (Domain Validated).SSL DV là kiểu chứng chỉ có tốc độ cấp phát nhanh nhất chỉ trong vài phút.Thích hợp với người dùng cá nhân vì chỉ cần chứng thực tên miền bằng cách verify qua email tên miền là xong.
Hỏi: Chứng chỉ SSL OV là gì? Đáp: OV là viết tắt của (Organization Validation). OV SSL dành cho các tổ chức hoặc doanh nghiệp.Ngoài việc xác minh quyền sở hữu tên miền,bạn còn phải chứng thực doanh nghiệp qua các giấy tờ hợp lệ.
Hỏi: Chứng chỉ có chứa tên công ty trên thanh địa chỉ https màu xanh rất nổi bật là loại chứng chỉ gì? Đáp: Là chứng chỉ số SSL EV (Exented Validation) còn gọi là chứng chỉ số với mức xác thực mở rộng.
Hỏi: Chứng chỉ SSL EV là gì? Đáp: EV là viết tắt của (Exented Validation). EV SSL chỉ dành cho các doanh nghiệp hay các tổ chức chính phủ có giấy tờ hợp lệ.Ngoài việc xác minh các giấy phép hoạt động, CA còn phải tuân thủ nghiêm ngặt các quá trình chứng thực tổ chức đang hoạt động và có uy tín. Mỗi EV SSL chỉ được đăng ký tối đa 2 năm, vì sau mỗi 2 năm CA sẽ cần chứng thực lại và chắc chắn doanh nghiệp của bạn vẫn đang hoạt động.
Hỏi: Chứng chỉ Wildcard ssl khác gì so với các chứng chỉ còn lại? Đáp: Wildcard SSL có thể dùng cho không giới hạn tên miền phụ của một tên miền.Nó bao gồm các kiểu chứng thực như DV hay OV nhưng không có Wildcard EV.
Hỏi: UCC SSL là gì? Đáp: UCC là viết tắt của (Unified Communication Certificate). Người ta có thể gọi nó là UC Certificate và chứng chỉ này được thiết kế riêng cho các dịch vụ như Exchange Server hay Office Communications
Hỏi: SAN SSL là gì? Đáp: SAN là viết tắt của (Subject Alternative Name) . Là mua thêm tên miền để tích hợp vào chứng chỉ SSL có sẵn. Ví dụ khi mua Geotrust TrueBusinessID UC/SAN mặc định đã có sẵn 4 SAN . Trong trường hợp này ngoài tên miền chính còn được add thêm 4 tên miền nữa và tổng cộng là bạn được sử dụng 5 tên miền(FQDN) trong một chứng chỉ duy nhất.
Ví dụ khác: khi đăng ký thêm 6 SAN vào Geotrust UC/SAN thì lúc này ta có ((6 SAN+4SAN có sẵn)+1 Domain chính) = 11 Domain.
Hỏi: Tính năng SGC là gì? Đáp: SGC là viết tắt của (Server Gated Cryptography).Là tính năng bảo mật khi so sánh và lựa chọn các loại chứng chỉ số với nhau.SGC hỗ trợ tính tương thích chứng chỉ tới hơn 99,9% trình duyệt web trên thế giới. Các trình duyệt web đã quá cũ có thể sẽ hiển thị lỗi SSL khi vào website của bạn nếu không có tính năng này.
Hỏi: Tôi đăng ký chứng chỉ số EV thất bại do doanh nghiệp của tôi không đáp ứng đủ yêu cầu thì có được hoàn tiền không? Đáp: Có, bạn sẽ được tiền nếu việc đăng ký thất bại.
Hỏi: Tôi đăng ký nhầm chứng chỉ SSL không phù hợp với dịch vụ của mình thì có được đổi lại không? Đáp: Có, trong vòng 30 ngày đầu tiên.Bạn được quyền hủy bỏ hay thay đổi loại chứng chỉ SSL hiện tại.
Hỏi: Tôi đăng ký chứng chỉ SSL cho tên miền A, nay tôi muốn đổi sang tên miền B thì có được không? Đáp: Có, trong vòng 30 ngày đầu bạn được phép đổi lại tên miền.
Hỏi: Tôi làm mất,bị ăn cắp hay muốn cấp lại chứng chỉ với một bản CSR mới thì có được không? Đáp: Trong suốt thời hạn sử dụng chứng chỉ, bạn được phép reissue miễn phí bao nhiêu lần tùy thích.
Hỏi: CSR là gì? Đáp: Khi đăng ký chứng chỉ SSL, bạn cần phải có mã CSR (Certificate Signing Request) chứa tên miền và các thông tin của bạn.
Hỏi: Tôi có thể tạo CSR ở đâu? Đáp: Bạn có thể tạo CSR trong các Control Panel Hosting hay các công cụ website tạo CSR trực tuyến.
Sau khi đăng ký và thanh toán các loại SSL có mức thứng thực tên miền như OV(Tổ Chức) hay EV (Mở Rộng).
Bạn sẽ nhận được Email hướng dẫn, tự động và ngay lập tức.
- Bạn khởi tạo CSR trên máy chủ hoặc trên các Control Panel Hosting với tên miền của bạn.
- Nhập CSR theo như hướng dẫn trong Email.
- Sau khi nhập CSR thành công.Tùy loại SSL mà tổ chức CA sẽ gửi mail xác nhận tới email sở hữu tên miền (trong Whois database). Hoặc gửi tới email tên miền của bạn như [email protected] , [email protected] hay [email protected] .
- Sau khi hoàn tất chứng thực tên miền.CA sẽ gửi tiếp các hướng dẫn để chứng thực tổ chức hoặc doanh nghiệp của bạn.Trong đó yêu cầu quan trọng là các bản scan giấy tờ hoạt động hợp lệ,được chính phủ cấp phát và công nhận.Đối với tổ chức thì yêu cầu có giấy phép hoạt động của chính phủ.Còn đối với Doanh Nghiệp thì phải có giấy phép đăng ký kinh doanh.
- Sau khi CA hoàn tất việc chứng thực(mất từ 5-10 ngày) thì họ sẽ gửi thông tin chứng chỉ SSL cho bạn qua Email.
*Chú ý: đối với Wildcard SSL. Khi tạo CSR thì Common Name (tên miền) bạn phải điền có dấu * ở đầu.Ví dụ tôi đăng ký Wildcard SSL cho tên miền vdata.vn thì tôi sẽ điền Common Name là: *.vtada.vn *CA (Certificate Authority) : là tổ chức quản lý và phát hành chứng chỉ SSL cho người dùng.CA quản lý các nhà cung cấp SSL thứ ba như: Verisign,Comodo,Geotrust,Thawte…
Sau khi đăng ký và thanh toán các loại SSL có mức thứng thực tên miền(DV SSL).Bạn sẽ nhận được Email hướng dẫn, tự động và ngay lập tức.
- Bạn khởi tạo CSR trên máy chủ hoặc trên các Control Panel Hosting với tên miền của bạn.
- Nhập CSR theo như hướng dẫn trong Email.
- Sau khi nhập CSR thành công,tùy loại SSL tổ chức CA sẽ gửi mail xác nhận tới email sở hữu tên miền (trong Whois database). Hoặc gửi tới email tên miền của bạn như [email protected] , [email protected] hay [email protected] .
- Sau khi hoàn tất chứng thực tên miền.
- CA sẽ gửi các thông tin chứng chỉ tới Email của bạn để cài đặt.
*Chú ý: đối với Wildcard SSL. Khi tạo CSR thì Common Name (tên miền) bạn phải điền có dấu * ở đầu.Ví dụ tôi đăng ký Wildcard SSL cho tên miền vtada.vn thì tôi sẽ điền Common Name là: *.vdata.vn *CA (Certificate Authority) : là tổ chức quản lý và phát hành chứng chỉ SSL cho người dùng.CA quản lý các nhà cung cấp SSL thứ ba như: Verisign,Comodo,Geotrust,Thawte…
- Dịch vụ chứng chỉ số SSL khác với dịch vụ chứng thực chữ ký số
- Chứng thư của dịch vụ chứng chỉ số ssl khác với chứng thư của dịch vụ chứng thực chữ ký số.
- Dịch vụ chứng thực chữ ký số tại Việt Nam có chức năng tương tác với cơ quan nhà nước Việt Nam như khai báo thuế hay giao dịch ngân hàng.
- Ví dụ trong nghị định 174/2013/NĐ-CP chỉ cấm sử dụng dịch vụ chữ ký hay chứng thư số của nước ngoài chưa được Việt Nam công nhận chứ không cấp dịch vụ chứng chỉ số SSL nước ngoài như Symantec, Verisign, Geotrust, Comodo hay Thawte
Kết luận: dịch vụ chứng thực chữ ký số không phải là dịch vụ chứng chỉ số SSL.
Bạn có thể tham khảo thêm về chữ ký số dưới đây:
Nghị Định 174/2013/NĐ-CP
http://datafile.chinhphu.vn/file-remote-v2/DownloadServlet?filePath=vbpq/2013/11/174-nd.pdf
Nghị Định Số: 26 /2007/NĐ-CP – Quy định chi tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.
http://mic.gov.vn/vbqppl/Lists/Vn%20bn%20QPPL/DispForm.aspx?ID=7033
Luật Giao Dịch Điện Tử Số: 51/2005/QH11
http://public.rootca.gov.vn/Van%20Ban/Luat%20Giao%20Dich%20Dien%20Tu.doc
Giải thích thêm:
- “Chứng thư số” là một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số của Ngân hàng Nhà nước cấp.
- “Dịch vụ chứng thực chữ ký số” là một loại hình dịch vụ do tổ chức cung cấp dịch vụ chứng thực chữ ký số của Ngân hàng Nhà nước cấp. Dịch vụ chứng thực chữ ký số bao gồm:
- Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao;
- Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao;
- Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;
- Những dịch vụ khác theo quy định của Nghị định chữ ký số.
Chứng chỉ số và chữ ký số là 2 khái niệm khác nhau và nó là 2 sản phẩm riêng biệt.
Từ các phiên bản 11.38 trở lên cPanel đã bắt đầu hỗ trợ SNI (Server Name Indicator).Bạn sẽ được cài đặt SSL ngay trên Hosting sử dụng Share IP mà không cần phải thuê Dedicated IP – Nguồn
Bạn có thể cài đặt SSL từ cPanel hoặc WHM. Ví dụ bạn muốn cài đặt SSL cho tên miền www.vdata.vn của bạn. Thì việc đầu tiên bạn phải mua SSL cho tên miền vdata.vn . Sau đó SSL này có thể được sử dụng cho tên miền www.vdata.vn . Chú ý :Ngoài Wildcard SSL Mỗi SSL chỉ active được cho một tên miền duy nhất, không áp dụng cho các subdomain khác nhau.
Bước 1: Đăng nhập cPanel và click vào nút SSL/TLS Manager
Bước 2: Tại trang SSL/TLS Manager ở mục Certificates (CRT) click vào phần Generate, view, upload, or delete SSL certificates.Bước 3: Bạn có thể tải tập tin .CRT lên hoặc mở nó ra với notepad rồi chép toàn bộ nội dung vào khung Paste your certificate below:
Bước 4: ở trang SSL/TLS Manager click vào nút Setup an SSL certificate to work with your site.
Ở đây bạn lựa chọn SSL để gán vào tên miền của bạn.Tên miền đó phải được add vào host của bạn trước trong 3 dạng sau: Subdomain,Addon và Domain Parked Domain
Mở chứng chỉ Intermediate CA với Notepad rồi sao chép và dán tất cả các nội dung của các file trung gian vào Bundle CA (CABUNDLE) hộp. Bạn có thể tải về các chứng chỉ CA Trung cấp phù hợp với sản phẩm SSL của bạn ở đây.
Bước 5: Bấm nút Install Certificate
Bạn truy cập 1 trong các đường dẫn sau đây và làm theo hướng dẫn để kiểm tra thông tin.
Thawte
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555
RapidSSL
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO9556
GeoTrust
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=SO9557
Quý khách vui lòng thực hiện các bước sau:
- Cung cấp 1 email admin (email này sẽ dùng để quý khách liên hệ với nhà cung cấp ssl về sau nếu cần sinh lại ssl khi thay đổi ip hay server )
- Tạo 1 email dạng: [email protected] (email này sẽ check xác nhận sinh ssl từ nhà cung cấp)
- Sinh CSR theo các công cụ hỗ trợ từ control panel cpanel mà quý khách đang sử dụng hoặc theo các hướng dẫn tại đây: https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=SO6506&actp=LIST&viewlocale=en_US
- Cung cấp CSR cho vtada (check xem đúng csr hay không: https://www.rapidsslonline.com/checkcsr.aspx ), cho biết version và webserivce đang dùng (vd: apache 2, iis6…)
- Xác định chính xác tên miền đăng ký (phân biệt rõ có hoặc không có www): abc.com.vn