PKI là gì? Cơ chế vận hành hệ thống SSL/TLS từ gốc
Cập nhật lần cuối: 22/05/2026
PKI (Public Key Infrastructure) là nền tảng của SSL/TLS, dùng để quản lý khóa mã hóa và chứng chỉ số nhằm xác thực website và bảo mật dữ liệu trên Internet. Bài viết giải thích cơ chế hoạt động của PKI từ key pair, CSR, Certificate Authority đến chuỗi tin cậy và cách trình duyệt xác thực HTTPS.
PKI là gì?
1. PKI là gì?
PKI (Public Key Infrastructure) là hệ thống dùng để quản lý:
- Chứng chỉ số (SSL certificate)
- Cặp khóa công khai và riêng tư
- Cơ chế xác thực danh tính trên Internet
Xem thêm: SSL là gì?
PKI là nền tảng giúp HTTPS hoạt động an toàn trong môi trường Internet hiện đại.
2. PKI giải quyết vấn đề gì?
PKI được thiết kế để giải quyết các vấn đề bảo mật:
- Không xác thực được website thật giả
- Dữ liệu dễ bị nghe lén (MITM attack)
- Không có cơ chế tin cậy giữa client và server
Xem thêm: HTTPS ảnh hưởng SEO như thế nào? Có nên dùng SSL?
Sau khi có PKI:
- Website có danh tính rõ ràng
- Dữ liệu được mã hóa
- Trình duyệt có thể kiểm tra độ tin cậy tự động
Cơ chế vận hành của PKI trong SSL/TLS
Key Pair và CSR
1. Tạo cặp khóa (Key Pair)
PKI bắt đầu bằng việc tạo cặp khóa:
- Private Key: lưu trên server, không chia sẻ
- Public Key: dùng để mã hóa dữ liệu
Xem thêm: Public Key và Private Key là gì?
Hai khóa có quan hệ toán học nhưng không thể suy ngược private key.
2. CSR là gì?
CSR (Certificate Signing Request) là file yêu cầu cấp chứng chỉ gửi đến CA.
CSR chứa:
- Domain name
- Public key
- Thông tin tổ chức
Xem thêm: CSR là gì?
Certificate Authority (CA)
1. CA là gì?
Certificate Authority là tổ chức xác thực và cấp chứng chỉ số trong PKI.
Xem thêm: Certificate Authority là gì?
CA đóng vai trò trung tâm trong hệ thống tin cậy của Internet.
2. CA xác thực như thế nào?
CA kiểm tra:
- Quyền sở hữu domain
- Thông tin doanh nghiệp
- Tính hợp lệ của CSR
3. CA ký chứng chỉ
CA dùng private key để ký certificate:
Certificate = Public Key + Domain + CA Signature
Chữ ký này giúp đảm bảo certificate không bị giả mạo.
Certificate Chain
1. Chuỗi tin cậy là gì?
PKI hoạt động theo mô hình:
- Root CA
- Intermediate CA
- Server Certificate
Xem thêm: Certificate Chain là gì?
2. Trình duyệt tin tưởng như thế nào?
- Root CA được cài sẵn trong browser
- Intermediate CA được ký hợp lệ
- Server certificate được xác thực theo chain
Cách trình duyệt xác thực PKI
1. Nhận certificate từ server
Khi truy cập HTTPS, server gửi certificate về trình duyệt.
2. Kiểm tra chứng chỉ
Trình duyệt kiểm tra:
- CA có hợp lệ không
- Domain có khớp không
- Certificate còn hạn không
- Chain có đầy đủ không
3. Kết quả
- Hợp lệ → thiết lập TLS
- Không hợp lệ → cảnh báo bảo mật
Xem thêm: TLS handshake là gì?
Luồng hoạt động HTTPS thực tế
1. Khởi tạo kết nối
Client gửi request HTTPS đến server.
2. Server trả certificate
Server gửi SSL certificate cho client.
3. Xác thực PKI
Trình duyệt kiểm tra trust chain.
4. TLS handshake
Tạo session key và mã hóa dữ liệu.
Vai trò của PKI trong SSL/TLS
1. Authentication
Xác thực danh tính website.
2. Encryption
Mã hóa dữ liệu truyền tải.
3. Integrity
Đảm bảo dữ liệu không bị thay đổi.
Kết luận
PKI là nền tảng cốt lõi của SSL/TLS, tạo ra hệ thống niềm tin số giúp HTTPS vận hành an toàn trên Internet.
Bạn vẫn chưa biết nên chọn…?
Đừng lo lắng, đội ngũ chuyên gia của chúng tôi luôn sẵn sàng lắng nghe nhu cầu và tư vấn giải pháp bảo mật phù hợp nhất cho website và doanh nghiệp của bạn. Hãy liên hệ ngay để được hỗ trợ nhanh chóng, chính xác và hiệu quả.
Bài viết mới nhất
PKI là gì? Cơ chế vận hành hệ thống SSL/TLS từ gốc Certificate Authority (CA) là gì? Hoạt động như thế nào trong hệ thống SSL/TLS TLS Handshake là gì? Cơ chế tạo kết nối HTTPS an toàn SSL Termination là gì? Nên terminate SSL ở Load Balancer hay Web Server? ERR_SSL_PROTOCOL_ERROR là gì? Cách fix nhanh và triệt đểCó thể bạn quan tâm
