Hướng Dẫn Sử Dụng DigiCert Certificate Utility for Windows: Công Cụ ''Cứu Cánh'' Cho IT Admin

Đơn giản hóa toàn diện quy trình quản lý, khởi tạo và khắc phục sự cố chứng chỉ SSL/TLS & Code Signing trên môi trường Windows.

DigiCert Certificate Utility cho Windows là một tiện ích hoàn toàn miễn phí, dạng portable (không cần cài đặt) được phát triển chính thức bởi DigiCert. Công cụ này được xem là "trợ thủ đắc lực" không thể thiếu đối với các quản trị viên hệ thống (IT Admins), đặc biệt là những ai đang quản trị máy chủ Windows (như IIS hay Microsoft Exchange), giúp tự động hóa và đơn giản hóa các thao tác xử lý chứng chỉ phức tạp.

Yêu Cầu Ban Đầu

• Tải xuống: Bạn có thể tải trực tiếp file DigiCertUtil.exe từ trang chủ của DigiCert.
• Chạy ứng dụng: Công cụ không yêu cầu cài đặt vào hệ thống. Bạn chỉ cần click đúp vào file .exe để mở giao diện (Khuyến nghị: Click chuột phải > Chọn Run as administrator để công cụ có đầy đủ quyền thao tác).

Các Tính Năng & Hướng Dẫn Thao Tác Chính

1. Khởi tạo mã yêu cầu chứng chỉ (Generate CSR)

Thay vì phải vật lộn với các dòng lệnh phức tạp, công cụ này cho phép bạn tạo mã CSR chuẩn xác chỉ với vài cú click chuột:

• Mở ứng dụng, tại menu bên trái, chọn mục SSL (hoặc Code Signing tùy vào mục đích sử dụng).
• Nhấn vào nút Create CSR (nằm ở góc trên cùng bên phải).
• Điền đầy đủ thông tin biểu mẫu:
  • Certificate Type: Chọn chuẩn SSL hoặc Code Signing.
  • Common Name (CN): Tên miền chính cần bảo mật (Ví dụ: digitrust.vn hoặc mail.digitrust.vn).
  • Subject Alternative Names (SANs): Điền các tên miền phụ nếu bạn đang đăng ký dòng chứng chỉ Multi-Domain.
  • Organization (O), City (L), State (S), Country (C): Khai báo thông tin pháp lý của doanh nghiệp.
  • Key Size: Chọn độ dài khóa bảo mật (Khuyến nghị chuẩn 2048 hoặc 4096).
• Nhấn Generate. Sau đó, sao chép toàn bộ đoạn mã CSR (bao gồm cả dòng -----BEGIN NEW CERTIFICATE REQUEST-----) để gửi cho đơn vị cấp phát chứng chỉ.

2. Cài đặt chứng chỉ (Install Certificate)

Sau khi chứng chỉ được cấp phát, bạn sẽ nhận được một tệp (thường có định dạng .cer, .crt hoặc .p7b).

• Tải tệp chứng chỉ về máy chủ Windows của bạn.
• Mở tiện ích DigiCert Utility, điều hướng vào mục SSL.
• Nhấn Import và trỏ đường dẫn tới tệp chứng chỉ vừa tải.
• Tiện ích sẽ tự động dò tìm và ghép nối chứng chỉ này với Private Key (Khóa riêng tư) đã được tạo cùng CSR ở bước 1.
• Bạn có thể đặt tên gợi nhớ (Friendly Name) và nhấn Finish. Chứng chỉ lúc này đã được tích hợp an toàn vào kho lưu trữ (Certificate Store) của Windows, sẵn sàng để gán cho dịch vụ IIS hoặc Exchange.

3. Sao lưu và Xuất chứng chỉ (Export Certificate)

Đây là tính năng "cứu mạng" khi bạn cần di dời chứng chỉ sang một máy chủ khác hoặc thực hiện sao lưu dự phòng:

• Chọn chứng chỉ cần xuất trong danh sách (Lưu ý: Chứng chỉ phải có biểu tượng chiếc chìa khóa bên cạnh - biểu thị rằng nó đang chứa Private Key).
• Nhấn Export Certificate.
• Lựa chọn định dạng xuất file:
  • File .pfx: Lựa chọn tối ưu nếu bạn muốn chuyển sang một máy chủ Windows khác hoặc backup toàn bộ cấu hình.
  • File .pem: Phù hợp nếu bạn muốn tách riêng Private Key và Certificate để cài đặt cho các máy chủ Linux (Apache/Nginx).
• Đặt mật khẩu bảo vệ (bắt buộc đối với định dạng PFX) và lưu file an toàn.

4. Khắc phục sự cố (Repair Certificate Trust / Private Key)

Một trong những lỗi gây đau đầu nhất cho IT Admin là cài chứng chỉ thành công nhưng hệ thống báo "mất dấu" Private Key (Private Key Missing).

• Click chọn chứng chỉ đang bị lỗi (chứng chỉ không có hình chiếc chìa khóa bên cạnh).
• Nhấn vào nút có biểu tượng cờ lê: Repair Certificate.
• Công cụ sẽ tự động rà quét sâu vào hệ thống để tìm kiếm và "hàn gắn" lại Private Key bị mồ côi (orphaned key) vào đúng chứng chỉ của nó.

5. Ký mã phần mềm (Code Signing)

Nếu doanh nghiệp của bạn cung cấp các phần mềm hoặc ứng dụng, công cụ này hỗ trợ đóng dấu chữ ký điện tử trực tiếp lên các tệp thực thi (.exe, .dll, .cab...).

• Chuyển sang thẻ Code Signing ở menu bên trái.
• Chọn chứng chỉ ký mã (Code Signing Certificate) hợp lệ của bạn.
• Nhấn Sign Files, duyệt chọn các tệp cần ký và thêm URL máy chủ thời gian thực (Timestamp URL) – Ví dụ: http://timestamp.digicert.com.
• Nhấn Sign để hoàn tất quá trình đóng dấu phần mềm.

Mẹo từ chuyên gia DigiTrust:

Nếu bạn đang quản trị hệ thống Microsoft Exchange, chúng tôi đặc biệt khuyên bạn nên sử dụng công cụ này để tạo CSR thay vì dùng Exchange Management Shell. Việc này giúp loại bỏ hoàn toàn các rủi ro sai sót do gõ nhầm mã lệnh, đồng thời giúp lưu trữ Private Key an toàn và tập trung hơn trên môi trường Windows.