1. Lỗi Err SSL Key Usage Incompatible là gì?
Lỗi Err SSL Key Usage Incompatible thường xuất hiện khi trình duyệt không thể xác thực chứng chỉ SSL của một trang web do các vấn đề liên quan đến cách sử dụng khóa trong chứng chỉ.
Dưới đây là hình ảnh lỗi của lỗi này:

2. Nguyên nhân gây ra lỗi Err SSL Key Usage Incompatible?
- Chứng chỉ SSL đã hết hạn hoặc không hợp lệ
- Chứng chỉ SSL được cấu hình sai
- Chuyển hướng trang web
3. Cách fix lỗi Err SSL Key Usage Incompatible?
Cách 1:
– Đầu tiên ta cần Tạo chứng chỉ tự ký đáng tin cậy – các bạn chạy Windows PowerShell. Sau đó nhập lệnh sau:
New-SelfSignedCertificate -Type Custom -DnsName “server”, “server.domain.local”,’192.168.0.1′ -KeyUsage “DigitalSignature”,”KeyEncipherment”,”KeyAgreement” -KeyAlgorithm RSA -KeyLength 4096 -CertStoreLocation “cert:\CurrentUser\My” -FriendlyName “EkranSelfSignedCert” -NotAfter (Get-Date).AddMonths(36) -Subject “EkranCA”
Trong đó các tham số sau trong lệnh được định nghĩa như sau:
- DnsName: Chỉ định tất cả các tên được sử dụng cho máy chủ, tức là tên máy chủ, tên miền và địa chỉ IP.
- KeyLength : Bạn có thể sử dụng độ dài ít nhất là 2048, nhưng một số trình duyệt sẽ hiển thị cảnh báo nếu KeyLength nhỏ hơn 4096.
- CertLocation : Nơi chứng chỉ sẽ được lưu trữ khi được tạo (các tùy chọn khả dụng duy nhất là ” LocalMachine\My ” hoặc ” CurrentUser\My “).
- FriendlyName : Được sử dụng để chỉ định tên thân thiện cho chứng chỉ mới được tạo.
- NotAfter : Chỉ định ngày hết hạn của chứng chỉ.
– Khi lệnh được thực thi, bạn sẽ thấy thông tin sau trong PowerShell:
– Xuất Chứng chỉ tự ký đáng tin cậy:
Để xuất chứng chỉ , hãy thực hiện như sau:
- Nhấn Windows+R và nhập ” mmc ” vào cửa sổ Run mở ra, sau đó nhấn Enter.
- Trong cửa sổ Kiểm soát tài khoản người dùng mở ra, hãy nhấp vào Có.
- Trong cửa sổ Console , chọn File > Add/Remove Snap-in.
Trong cửa sổ Thêm hoặc Xóa Snap-in mở ra, chọn Chứng chỉ , rồi nhấp vào nút Add.
Trong cửa sổ bổ sung Chứng chỉ mở ra, chọn My user account >> Next.
Click Certificates – Current User > Personal > Certificates.
Nhấp chuột phải vào chứng chỉ của bạn và chọn tùy chọn All Tasks > Export
Trên trang Welcome to the Certificate Export Wizard >> Next.
Trên trang Export Private Key, chọn tùy chọn Yes, Eport the private key>> Next.
Trên trang Export File Format, tích chọn các phần sau rồi >> nhấp vào Next.
- Include all certificates in the certification path if possible
- Export all extended properties
- Enable certificate privacy
Trên trang Security , nhập (và xác nhận) mật khẩu cho chứng chỉ, sau đó nhấp vào Next.
Trên trang File to Export, hãy nhấp vào Browse và chọn vị trí mà chứng chỉ sẽ được xuất đến, nhập tên cho chứng chỉ, sau đó nhấp vào Next
Ở trang cuối cùng của Trình hướng dẫn xuất chứng chỉ, hãy nhấp vào Kết thúc để hoàn tất việc xuất chứng chỉ.
Tiếp theo ta Thêm Chứng chỉ tự ký đáng tin cậy vào Chứng chỉ đáng tin cậy:
Để thêm chứng chỉ vào Trusted Root Certification Authorities , hãy thực hiện như sau:
- Mở thư mục chứa chứng chỉ đã được xuất ra.
- Nhấp chuột phải vào chứng chỉ và chọn tùy chọn Install PFX
- Trên trang Welcome to the Certificate Import Wizard, hãy chọn Local Machine , rồi nhấp vào Next.
– Trên trang File to Import, nhấp vào Next.
Trên trang Bảo vệ khóa riêng tư , nhập mật khẩu chứng chỉ, sau đó nhấp vào Tiếp theo.
Trên trang Private key protection, nhập mật khẩu chứng chỉ, sau đó nhấp vào Tiếp theo .
Chọn tùy chọn Place all certificates in the following storeau đó chọn Trusted Root Certification Authorities và nhấp vào Next.
Trên trang cuối cùng của Trình hướng dẫn nhập chứng chỉ, hãy nhấp vào Kết thúc để hoàn tất việc nhập chứng chỉ. Trong thông báo xác nhận, nhấp vào OK .
Để sử dụng chứng chỉ , hãy thực hiện như sau:
- Mở Internet information Services (IIS) Manager.
- Trong Connections chọn Server Certificates
Sau đó chọn import như hình ảnh bên dưới:
Trong cửa sổ bật lên hãy chọn chứng chỉ của bạn, nhập mật khẩu, sau đó nhấp vào OK .
Trong phần connect (bên trái), hãy mở rộng phần máy tính đích, sau đó mở rộng nút Site bên dưới và chọn Default Web Site để mở Default Web Site Home
Trong Actions (bên phải), nhấp vào Bindings để mở cửa sổ Site Bindings.
Nhấp đúp vào bản ghi https.
Trong cửa sổ Edit Site Binding mở ra, hãy kiểm tra xem Type có phải là https không và chọn chứng chỉ EkranSelfCert mới nhập của bạn trong trường chứng chỉ SSL .
Trong cửa sổ Site Bindings , nhấp vào Close và Internet Information Services sẽ được cấu hình đầy đủ.
Khởi động lại trình duyệt Chrome và sau đó bạn sẽ có thể mở Công cụ quản lý.
Cách 2:
Bạn có thể thử một cách khác đó là:
Bạn có thể sử dụng lệnh sau trên máy chủ để xem thông tin về chứng chỉ SSL:
openssl x509 -in /path/to/your/certificate.crt -text -noout
Kiểm tra phần Key Usage và Extended Key Usage. Đảm bảo rằng nó có các mục sau:
- Key Usage:
Digital Signature
,Key Encipherment
- Extended Key Usage:
Server Authentication
Tạo một yêu cầu chứng chỉ mới (CSR):
- Nếu chứng chỉ không có các thuộc tính đúng, bạn sẽ cần tạo một CSR mới. Sử dụng lệnh sau: openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr
- Bạn sẽ được yêu cầu nhập thông tin về tổ chức và miền của bạn.
Đăng ký chứng chỉ SSL mới:
- Sử dụng CSR vừa tạo để đăng ký một chứng chỉ SSL mới từ nhà cung cấp chứng chỉ của bạn.
Cài đặt chứng chỉ SSL mới:
Sau khi nhận được chứng chỉ SSL mới, bạn cần cài đặt nó trên máy chủ. Nếu bạn sử dụng Apache, bạn có thể làm như sau:
Mở tệp cấu hình SSL của Apache (thường là ssl.conf
hoặc httpd.conf
):
Cập nhật các chỉ dẫn sau để trỏ đến tệp chứng chỉ và khóa riêng: SSLCertificateFile /path/to/your/certificate.crt SSLCertificateKeyFile /path/to/your/private.key SSLCertificateChainFile /path/to/your/chainfile.pem
Khởi động lại máy chủ web:
Khởi động lại Apache hoặc Nginx để áp dụng các thay đổi:
sudo systemctl restart httpd # Đối với Apache sudo systemctl restart nginx # Đối với Nginx
Kiểm tra lại trang web: Mở trình duyệt và truy cập vào trang web của bạn để xác minh rằng lỗi đã được khắc phục.
4. Kết luận:
Trên đây là bài viết của mình về “Cách fix lỗi Err SSL Key Usage Incompatible?” Chúc các bạn sẽ Fix lỗi thành công với bài viết bên trên của mình.