Hướng dẫn cách cài đặt chứng chỉ Cross-Sign (Cross-Sign Certificate) trên Windows Server (IIS)
1. Tổng quan
Nhằm đáp ứng các tiêu chuẩn bảo mật mới từ các trình duyệt lớn (Google Chrome, Mozilla Firefox, Apple Safari…), nhà cung cấp chứng chỉ số hàng đầu thế giới Sectigo thực hiện thay đổi Root Certificate cho các chứng chỉ SSL theo lộ trình cụ thể trong năm 2026.
Việc chuyển đổi này có thể gây lỗi cảnh báo bảo mật (“Kết nối không an toàn”, “Chứng chỉ không được tin cậy”) trên một số thiết bị cũ, hệ điều hành cũ hoặc môi trường đặc thù của người dùng truy cập do chưa cập nhật dữ liệu về Root R46 mới.
Chứng chỉ chéo (Cross-Sign Certificate) là gì?
Chứng chỉ chéo là một chứng chỉ sử dụng một chứng chỉ gốc (Root Certificate) cũ, đã được kiểm chứng và tin cậy rộng rãi (USERTrust), đứng ra ký xác thực cho một chứng chỉ gốc mới hơn (Root R46).
Các tổ chức phát hành chứng chỉ (CAs) thường quản lý nhiều Root Certificate khác nhau. Root Certificate càng lâu đời thì càng được phân phối và tin cậy rộng rãi trên các thiết bị, hệ điều hành legacy. CAs phát hành chứng chỉ chéo để đảm bảo tính tương thích tối đa, giúp các thiết bị cũ chưa cập nhật thông tin về Root R46 mới vẫn có thể truy cập website an toàn không gặp lỗi cảnh báo.
Mục tiêu sau khi hoàn thành:
Sau khi thực hiện xong các bước trong tài liệu này, Quý khách sẽ có thể:
- Cài đặt thành công chứng chỉ chéo trên Windows Server.
- Vô hiệu hóa Root tự ký mới gây xung đột (Sectigo Public Server Authentication Root R46/E46).
- Làm mới và liên kết (Bind) chứng chỉ SSL trong IIS để đảm bảo chuỗi chứng chỉ (Certificate Chain) được hoàn thiện đầy đủ.
2. Chuẩn bị trước khi bắt đầu
Trước khi tiến hành, Quý khách cần chuẩn bị các thông tin sau:
- Tài khoản Administrator: Thông tin đăng nhập vào VPS/Server Windows với quyền quản trị cao nhất.
- File chứng chỉ Intermediate/Cross-Sign: File chứng chỉ chéo do nhà cung cấp dịch vụ gửi (thường có định dạng
.crt,.cer, hoặc.p7b). - Quyền truy cập Remote Desktop (RDP): Để đăng nhập và cấu hình trực tiếp trên máy chủ.
3. Các bước cài đặt chi tiết trên Windows
Bước 1: Mở công cụ quản lý chứng chỉ (Microsoft Management Console)
- Trên bàn phím máy chủ, nhấn tổ hợp phím Windows + S để mở hộp thoại Search
- Gõ lệnh
certlm.mscvà nhấn OK

3. Cửa số Certificate Manager tool sẽ được hiển thị.

Bước 2: Import (Nhập) file chứng chỉ chéo (Cross-Sign Certificate)
1. Ở cột cây thư mục bên trái, click đúp chuột để mở rộng mục Certificates (Local Computer).
2. Tìm đến thư mục Intermediate Certification Authorities (Cơ quan chứng nhận trung gian) -> click chuột phải vào thư mục con Certificates bên dưới nó, chọn All Tasks (Mọi tác vụ) -> click Import… (Nhập…).

3. Cửa sổ Certificate Import Wizard xuất hiện, click Next.

4. Click nút Browse… (Duyệt tìm) và chọn đường dẫn đến file chứng chỉ chéo (Cross-Sign) bạn đã chuẩn bị trước ở phần chuẩn bị.

* Mẹo nhỏ: Nếu không nhìn thấy file, hãy chuyển bộ lọc định dạng file ở góc dưới bên phải hộp thoại tìm kiếm thành All Files (*.*).
5. Click Next, đảm bảo rằng chứng chỉ được chọn lưu trữ đúng vào mục Intermediate Certification Authorities và nhấn Next, sau đó chọn Finish.


6. Hệ thống sẽ hiển thị thông báo “The import was successful” (Nhập chứng chỉ thành công), click OK để đóng.

7. Kiểm tra đã có Cross-Sign Certificate Root CA R46 ký bởi USERTrust RSA CA

Bước 3: Vô hiệu hóa Root Certificate tự ký trùng lặp (Conflicting Root)
Đây là bước cực kỳ quan trọng để bắt buộc Windows sử dụng chuỗi chứng chỉ chéo dài hơn thay vì chọn chuỗi ngắn không tương thích.
Lưu ý quan trọng: Không được xóa bất kỳ chứng chỉ gốc nào trong hệ thống. Việc xóa nhầm có thể gây lỗi nghiêm trọng cho các dịch vụ khác của Windows Server. Hãy làm đúng theo hướng dẫn vô hiệu hóa dưới đây.
1. Ở cột cây thư mục bên trái, tìm và mở rộng mục Trusted Root Certification Authorities (Cơ quan chứng nhận gốc đáng tin cậy) -> chọn thư mục Certificates.
2. Tìm chứng chỉ gốc tự ký mới của Sectigo đang gây xung đột (thông thường có tên là Sectigo Public Server Authentication Root R46 hoặc tên Root tương ứng được ghi trong thông tin chứng chỉ mới của bạn).

3. Click chuột phải vào chứng chỉ này và chọn Properties (Thuộc tính).

4. Tại thẻ General (Chung), tìm mục Certificate purposes (Mục đích chứng chỉ).
5. Tích chọn vào mục Disable all purposes for this certificate (Vô hiệu hóa tất cả mục đích của chứng chỉ này).

6. Click nút Apply (Áp dụng) và nhấn OK để lưu lại thiết lập.
7. Kiểm tra thông tin cột Intended Purposes : None

Bước 4: Cập nhật cấu hình trên IIS và Khởi động lại dịch vụ
- Mở trình quản lý IIS Manager (Internet Information Services) trên máy chủ của bạn.
- Chọn website cần cập nhật cấu hình ở danh sách bên trái.
- Tại khung Actions (Hành động) bên phải, click vào mục Bindings… (Liên kết…).
- Chọn cổng HTTPS (thường là Port 443), click nút Edit… (Sửa…).
- Ở mục SSL certificate, chọn lại chứng chỉ SSL của website bạn một lần nữa (việc này giúp IIS nạp lại chuỗi chứng chỉ mới đã được cấu hình chéo).
- Click OK và đóng cửa sổ Bindings.
- Khởi động lại IIS bằng cách click chuột phải vào tên Server trong IIS Manager và chọn Restart.
4. Cách kiểm tra lại sau khi cài đặt
Để đảm bảo các bước trên đã được thực hiện chính xác và chuỗi chứng chỉ chéo hoạt động ổn định:
- Sử dụng công cụ kiểm tra online: Truy cập các trang web kiểm tra SSL uy tín như SSL Labs (ssllabs.com/ssltest/) hoặc DigiCert SSL Installation Diagnostics Tool.
- Nhập tên miền website của bạn để quét.
- Xem kết quả tại mục Certification Paths (Đường dẫn chứng chỉ).
- Nếu đúng: Bạn sẽ thấy chuỗi chứng chỉ kéo dài và kết thúc ở một Root Certificate cũ đáng tin cậy (ví dụ: USERTrust RSA Certification Authority).

- Nếu sai: Chuỗi chứng chỉ vẫn hiển thị đường dẫn ngắn kết thúc trực tiếp ở Root mới của Sectigo (ví dụ: Sectigo Public Server Root R46).

5. Kết luận
Cấu hình chứng chỉ chéo (Cross-Sign Certificate) trên Windows Server (IIS) là giải pháp hữu hiệu để bảo vệ website doanh nghiệp khỏi nguy cơ lỗi cảnh báo bảo mật trên các thiết bị cũ.
Với việc thiết lập đúng chuỗi chứng chỉ (Chain) và vô hiệu hóa các Root Certificate xung đột, Admin có thể tối ưu hóa khả năng tương thích và bảo mật cho dịch vụ.
Hy vọng hướng dẫn này giúp quý khách quản trị hệ thống an toàn và hiệu quả hơn.
Nếu Quý khách gặp khó khăn trong quá trình thao tác, xin vui lòng liên hệ với bộ phận Kỹ thuật của Nhân Hòa qua hệ thống Ticket hoặc Hotline để được hỗ trợ nhanh nhất.

