Sơ đồ trang
Khi bạn cài đặt SSL (Secure Sockets Layer) cho website để bảo mật dữ liệu và hiển thị biểu tượng ổ khóa trên trình duyệt, hai thành phần quan trọng cần được chú ý là Certificate (Chứng chỉ SSL) và Private Key (Khóa riêng).
Hai thứ này phải “khớp” với nhau thì SSL mới hoạt động đúng. Vậy “khớp” nghĩa là gì và tại sao điều này quan trọng? Hãy cùng tìm hiểu một cách đơn giản nhé!
Certificate và Private Key là gì?
- Certificate (Chứng chỉ SSL): Đây là một tệp chứa thông tin công khai về website của bạn (như tên miền, tổ chức) và được cấp bởi một nhà cung cấp uy tín (CA – Certificate Authority). Nó giống như một “chứng minh thư” công khai để trình duyệt và người dùng tin tưởng website.
- Private Key (Khóa riêng): Đây là một tệp bí mật đi kèm với Certificate. Nó được tạo ra cùng lúc với yêu cầu cấp chứng chỉ (CSR – Certificate Signing Request) và dùng để mã hóa dữ liệu. Chỉ server của bạn mới có quyền sở hữu khóa này.
Hai thứ này hoạt động như một cặp chìa khóa: Certificate là khóa công khai để mã hóa dữ liệu, còn Private Key là khóa bí mật để giải mã. Nếu chúng không khớp, dữ liệu không thể được xử lý đúng cách, và website sẽ báo lỗi SSL.
Tại sao Certificate và Private Key phải khớp?
Khi bạn gửi yêu cầu cấp Certificate (CSR), hệ thống sẽ tạo ra một cặp khóa: Public Key (được gửi kèm CSR) và Private Key (lưu lại trên máy chủ của bạn).
Nhà cung cấp CA dùng Public Key để tạo Certificate. Sau đó, khi cài đặt SSL, server của bạn cần dùng đúng Private Key tương ứng với Certificate để “mở khóa” và giao tiếp an toàn với trình duyệt.
Nếu Private Key không khớp với Certificate (ví dụ: bạn dùng nhầm khóa từ một lần tạo CSR khác), server sẽ không thể giải mã dữ liệu, dẫn đến lỗi như “SSL handshake failure” hoặc “NET::ERR_CERT_AUTHORITY_INVALID”.
Làm sao để kiểm tra Certificate và Private Key có khớp không?
Có 1 số cách để kiêm tra Certificate và Private Key có khớp không, trong bài này tôi hướng dẫn bạn 2 cách để check rất đơn giản.
1. Check thông qua website hỗ trợ
Truy cập vào website sslshopper hoặc sslchecker
Sau đó bạn có thể nhập vào Certificate và Private Key vào 2 ô tương ứng để test, ví dụ như ảnh dưới là thành công (Certificate và Private Key khớp nhau)
The certificate and private key match!
Certificate Hash:
57bd70bc0a84971b2f53eedef1434259d7ea6b0ef771cab03eca4b12c6da6906
Key Hash:
57bd70bc0a84971b2f53eedef1434259d7ea6b0ef771cab03eca4b12c6da6906
và nếu như ảnh sau thì không khớp
OpenSSL để kiểm tra
Bạn có thể dùng công cụ như OpenSSL để kiểm tra.
Sau khi vào server qua SSH, bạn sẽ sử dụng công cụ OpenSSL (thường đã được cài sẵn trên các server Linux) để so sánh Certificate và Private Key.
Kiểm tra Certificate:
openssl x509 -noout -modulus -in /đường/dẫn/đến/yourdomain.crt
Ví dụ:
openssl x509 -noout -modulus -in /etc/ssl/certs/yourdomain.crt
Lệnh này sẽ trả về một chuỗi mã hóa dài (modulus).
Kiểm tra Private Key:
openssl rsa -noout -modulus -in /đường/dẫn/đến/yourdomain.key
Ví dụ:
openssl rsa -noout -modulus -in /etc/ssl/private/yourdomain.key
Lệnh này cũng trả về một chuỗi modulus.
So sánh kết quả: Nếu cả hai chuỗi modulus giống nhau hoàn toàn, thì Certificate và Private Key khớp với nhau. Nếu khác, có nghĩa là chúng không thuộc về cùng một cặp.
Xử lý lỗi nếu không khớp
Nếu modulus không khớp, kiểm tra xem bạn có đang dùng đúng tệp không. Có thể bạn đã nhầm lẫn giữa nhiều tệp Certificate hoặc Private Key.
Nếu mất Private Key hoặc dùng nhầm, bạn cần:
Tạo lại CSR (Certificate Signing Request) bằng lệnh:
openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
Gửi CSR mới cho nhà cung cấp CA để xin cấp lại Certificate.
Kết luận
Việc đảm bảo Certificate và Private Key khớp nhau là bước quan trọng để SSL hoạt động trơn tru.
Hãy nghĩ đơn giản: Certificate là “mặt tiền” công khai, còn Private Key là “chìa khóa” bí mật – chỉ khi chúng là một cặp hoàn hảo, website của bạn mới được bảo mật và đáng tin cậy. Nếu bạn gặp vấn đề, đừng ngần ngại dùng công cụ kiểm tra hoặc liên hệ nhà cung cấp SSL để được hỗ trợ nhé!
