Hướng dẫn cấu hình SSL Let's Encrypt nhiều Website IIS bằng Win-ACME (Windows Server 2025)
Áp dụng cho: Windows Server 2025 + IIS + Let's Encrypt + Win-ACME 2.2.9

Giới thiệu

Trong nhiều hệ thống doanh nghiệp, trên một máy chủ IIS thường chạy nhiều Website khác nhau:

• admin.cloudx.com.vn
• demo.cloudx.com.vn
• jst.cloudx.com.vn
• jtst.cloudx.com.vn

Nếu mỗi Website sử dụng một SSL riêng thì sẽ phát sinh nhiều Renewal, khó quản lý và dễ quên gia hạn.

Giải pháp tốt nhất là sử dụng một chứng chỉ SAN (Subject Alternative Name) chứa toàn bộ tên miền.

Ưu điểm:

• Chỉ có 01 Certificate
• Chỉ có 01 Renewal
• Gia hạn tự động cho tất cả Website
• IIS tự cập nhật Certificate
• Quản lý đơn giản hơn rất nhiều

Môi trường triển khai

• Windows Server 2025
• IIS
• Win-ACME 2.2.9.1701
• Let's Encrypt
• Certificate SAN

Danh sách Website

admin.uthcm.org
demo.uthcm.org
jst.uthcm.org
jtst.uthcm.org

Bước 1. Mở Win-ACME

Chạy Command Prompt với quyền Administrator.

wacs.exe

Chọn

A
Manage renewals

Bước 2. Chỉnh Renewal hiện có

Chọn

E
Edit renewal

Sau đó

1
Source

Bước 3. Chọn nguồn từ IIS

1
Read bindings from IIS

Bước 4. Quét toàn bộ Website

Tại màn hình

Site identifier(s)

chỉ cần nhấn

Enter

Win-ACME sẽ quét toàn bộ Website IIS.

Bước 5. Chọn tất cả Binding

A
Pick all bindings

Kết quả

admin.uthcm.org
demo.uthcm.org
jst.uthcm.org
jtst.uthcm.org

Bước 6. Chọn Main Host

Có thể chọn bất kỳ.

Ví dụ

admin.uthcm.org

Certificate sẽ có

CN=admin.uthcm.org

Các tên miền còn lại sẽ nằm trong SAN.

Bước 7. Friendly Name

Có thể để mặc định

[IIS] (any site), (any host)

hoặc đặt tên riêng

Ví dụ

UTHCM Multi Domain SSL

Bước 8. Chọn kiểu Certificate

Chọn

4
Single Certificate

Đây là bước quan trọng nhất.

Không chọn

Separate certificate per domain
Separate certificate per host
Separate certificate per IIS site

Bước 9. Chọn phương thức xác thực

2
HTTP Self Hosting

Win-ACME sẽ tự khởi tạo HTTP Challenge.

Bước 10. Chọn loại Key

2
RSA

RSA tương thích tốt nhất với IIS.

Bước 11. Lưu Certificate

4
Windows Certificate Store

Tiếp theo

1
WebHosting

Bước 12. Không lưu thêm nơi khác

5
No additional store

Bước 13. Cập nhật IIS

1
Create or update bindings

Sau đó

Create new bindings in different site?

NO

Chỉ cần nhập

n

hoặc

Enter

Đây là bước rất nhiều người chọn nhầm.

Nếu chọn YES, Win-ACME sẽ hỏi Website nào sẽ tạo Binding mới.

Trong trường hợp Website đã có HTTPS Binding thì hoàn toàn không cần.

Bước 14. Không thêm Installation khác

3
No additional installation

Bước 15. Task Scheduler

Win-ACME sẽ tạo lại Scheduled Task.

Do you want to specify the user?

No

Kết quả

Win-ACME sẽ hiển thị

Certificate created

và

Next renewal due after ...

Ví dụ

Next renewal due after 2026/8/24
Certificate created

Log thành công

Updating existing https binding admin.uthcm.org:443
Updating existing https binding demo.uthcm.org:443
Updating existing https binding jst.uthcm.org:443
Updating existing https binding jtst.uthcm.org:443

Điều này chứng tỏ Certificate đã được cập nhật cho toàn bộ Website.

Scheduled Task

Win-ACME tự tạo

win-acme renew

Ví dụ

Start

09:00

Random Delay

4 giờ

Task này sẽ tự động kiểm tra và gia hạn.

Không cần thao tác thủ công.

Sau khi hoàn thành

Trong IIS

Bindings

HTTPS

Tất cả Website sẽ dùng cùng một Certificate.

Ưu điểm của mô hình này

✔ Chỉ 1 Certificate

✔ Chỉ 1 Renewal

✔ Tự động gia hạn

✔ IIS tự cập nhật Binding

✔ Không phải Import Certificate thủ công

✔ Dễ mở rộng khi thêm Website mới

✔ Giảm đáng kể công việc quản trị

Cách thêm Domain mới sau này

Ví dụ thêm

api.uthcm.org

Chỉ cần

Manage Renewals

↓

Edit

↓

Source

↓

Read bindings from IIS

↓

Chọn tất cả Website

↓

Single Certificate

Win-ACME sẽ tự xin lại Certificate chứa thêm SAN mới.

Không cần tạo Renewal mới.

Kết luận

Đối với hệ thống IIS chạy nhiều Website trên cùng một máy chủ, việc sử dụng một chứng chỉ SAN duy nhất kết hợp với Win-ACME là phương án triển khai tối ưu. Cách làm này giúp giảm số lượng chứng chỉ cần quản lý, tự động hóa hoàn toàn quá trình gia hạn và đảm bảo tất cả Website luôn sử dụng chứng chỉ mới nhất mà không cần thao tác thủ công.

Đây cũng là mô hình mà CloudX khuyến nghị áp dụng cho các hệ thống Windows Server vận hành nhiều website cùng lúc nhằm nâng cao hiệu quả quản trị và giảm thiểu rủi ro hết hạn chứng chỉ SSL.

Hệ thống cũng tự động gia hạn

Deleting existing task win-acme renew (acme-v02.api.letsencrypt.org) from Windows Task Scheduler.

Adding Task Scheduler entry with the following settings

- Name win-acme renew (acme-v02.api.letsencrypt.org)
- Path C:\Tools\win-acme
- Command wacs.exe --renew --baseuri "https://acme-v02.api.letsencrypt.org/"

=> Win-acme đã xóa Task cũ và tạo lại Task mới.

Có ngày gia hạn tiếp theo

Next renewal due after 2026/8/24

Chúc các bạn thành công

 

• • 30/06/2026