Hướng dẫn sửa lỗi SSL tự ký trên Outlook, Thunderbird

Đôi khi bạn có thể gặp phải lỗi SSL tự ký trên Outlook, Thunderbird do ứng dụng email không tin tưởng chứng chỉ SSL mặc định. Bài viết này sẽ hướng dẫn bạn cách khắc phục lỗi này để có thể kết nối email một cách suôn sẻ và an toàn trên các ứng dụng này.

Những điểm chính

• Hướng dẫn chi tiết cách khắc phục lỗi SSL tự ký trên Outlook, Thunderbird bằng phương pháp tự động cho CyberPanel v1.9.4 trở lên và sửa lỗi thủ công cho các phiên bản cũ hơn.
• Biết đến Vietnix là nhà cung cấp VPS hiệu suất vượt trội.
• Giải đáp một số câu hỏi thường gặp liên quan đến lỗi SSL tự ký trên Outlook Thunderbird.

Nguyên nhân gây lỗi SSL tự ký trên Outlook và Thunderbird

Lỗi SSL tự ký trên Outlook Thunderbird xảy ra khi máy chủ email sử dụng chứng chỉ SSL chưa được cấp phát bởi một Tổ chức Chứng thực (CA) đáng tin cậy. Thay vào đó, chứng chỉ này được tạo ra và ký bởi chính máy chủ (hoặc người quản trị máy chủ).

Khi gặp lỗi này, các ứng dụng email như Outlook và Thunderbird sẽ không tin tưởng chứng chỉ đó vì không có bên thứ ba đáng tin cậy nào xác nhận tính hợp lệ của nó. Điều này dẫn đến việc hiển thị cảnh báo bảo mật, hỏi bạn có muốn tiếp tục kết nối hay không.

VPS NVME – Ổ CỨNG VÀ CPU THẾ HỆ MỚI

Khả năng xử lý siêu khủng với ổ cứng NVMe và CPU Platinum

Cách 1: Sửa lỗi tự động (Từ CyberPanel v1.9.4 trở lên)

Từ phiên bản CyberPanel v1.9.4, khi bạn tạo một website, CyberPanel sẽ tự động tạo mail.domain.com như một tên miền con và cấp phát chứng chỉ SSL (thường là Let’s Encrypt) cho tên miền này. Sau đó, CyberPanel sẽ tự động chỉnh sửa tập tin /etc/dovecot/dovecot.conf và thêm nội dung như sau:

local_name mail.domain.com {
  ssl_cert = </etc/letsencrypt/live/mail.domain.com/fullchain.pem
  ssl_key = </etc/letsencrypt/live/mail.domain.com/privkey.pem
}

Sau khi thêm, CyberPanel sẽ tự động khởi động lại dịch vụ dovecot. Cách làm này sẽ giúp loại bỏ lỗi SSL trên cả Outlook và Thunderbird cho các cài đặt mới.

Cách 2: Setup thủ công

Nếu đang sử dụng một số phiên bản CyberPanel cũ hơn hoặc đã tạo trang web trước khi nâng cấp lên v1.9.4, bạn có thể cần thực hiện cấu hình thủ công. Trước tiên, hãy đảm bảo bạn đã tạo mail.domain.com làm tên miền con cho tên miền chính của mình và đã cấp SSL cho tên miền này (thường bằng Let’s Encrypt thông qua CyberPanel). Sau đó, thực hiện các bước sau:

Bước 1: Vô hiệu hóa chứng chỉ SSL tự ký mặc định của Postfix

Đầu tiên bạn sử dụng lệnh vi (hoặc trình soạn thảo tùy chọn) để mở file cấu hình chính của Postfix:

sudo vi  /etc/postfix/main.cf 

Sau đó bạn tìm và comment (thêm # vào đầu dòng) ở hai dòng sau để vô hiệu hóa chứng chỉ SSL tự ký mặc định của Postfix:

# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem 
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem

Bước 2: Thêm chứng chỉ Let’s Encrypt vào Postfix

Sau khi comment các dòng trên, bạn thêm các dòng sau vào cuối file, đảm bảo thay thế YourPrimaryMailServerDomain bằng tên miền mail chính của bạn (ví dụ: mail.yourdomain.com):

smtpd_tls_chain_files = /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem, 
/etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

Bước 3: Thêm hỗ trợ SNI cho Postfix

Để hỗ trợ SNI (Server Name Indication) và cho phép nhiều chứng chỉ SSL trên một địa chỉ IP, bạn cần thêm các dòng sau vào cuối file /etc/postfix/main.cf:

# cung cấp map sẽ được sử dụng khi hỗ trợ SNI được bật
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

Sau tất cả các bước trên, phần liên quan đến SSL trong file /etc/postfix/main.cf của bạn sẽ trông giống như sau:

# smtpd_tls_cert_file = /etc/pki/dovecot/certs/dovecot.pem
# smtpd_tls_key_file = /etc/pki/dovecot/private/dovecot.pem

# cung cấp chứng chỉ chính cho máy chủ, được sử dụng cho các kết nối đi
smtpd_tls_chain_files =
/etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem,
/etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
# provide the map to be used when SNI support is enabled
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

Bước 4: Tạo file /etc/postfix/vmail_ssl.map mới

Bạn tạo một file mới có tên vmail_ssl.map trong thư mục /etc/postfix:

sudo vi /etc/postfix/vmail_ssl.map

Chỉnh sửa file này để thêm thông tin chứng chỉ SSL của tên miền mail chính của bạn vào danh sách (nhớ thay thế mail.yourprimarymailserverdomain.com bằng tên miền mail thực tế):

mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem

Nếu bạn có nhiều tên miền mail cần hỗ trợ SNI SSL, hãy thêm chúng vào mỗi dòng trong tệp vmail_ssl.map theo cấu trúc tương tự:

mail.yourprimarymailserverdomain.com /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yourprimarymailserverdomain.com/fullchain.pem
mail.yoursecondarymailserverdomain.com /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/privkey.pem /etc/letsencrypt/live/mail.yoursecondarymailserverdomain.com/fullchain.pem

Bước 5: Thêm cấu hình SSL vào Dovecot

Bạn sử dụng vi để mở file cấu hình của Dovecot:

sudo vi /etc/dovecot/dovecot.conf

Thêm đoạn code sau vào cuối tệp, thay thế mail.domain.com bằng tên miền mail của bạn:

local_name mail.domain.com {
  ssl_cert = </etc/letsencrypt/live/mail.domain.com/fullchain.pem
  ssl_key = </etc/letsencrypt/live/mail.domain.com/privkey.pem
}

Bước 6: Biên dịch lại postmap với SNI

Bạn thực hiện lệnh sau để biên dịch lại map cho Postfix và áp dụng cấu hình SNI mới:

postmap -F hash:/etc/postfix/vmail_ssl.map

Bước 7: Khởi động lại Postfix và Dovecot

Cuối cùng, bạn khởi động lại dịch vụ Postfix để các thay đổi có hiệu lực:

 systemctl restart postfix

Đồng thời khởi động lại dịch vụ Dovecot để đảm bảo chứng chỉ SSL mới được tải:

systemctl restart dovecot

Sau khi hoàn tất tất cả các bước trên, hãy thử kết nối lại bằng ứng dụng email (Outlook/Thunderbird) và bạn sẽ không còn thấy lỗi SSL tự ký nữa.

Trải nghiệm hiệu suất vượt trội với VPS Vietnix

Vietnix mang đến giải pháp VPS hiệu suất cao, là nền tảng vững chắc cho sự thành công của doanh nghiệp tại Việt Nam. Với hơn 13 năm kinh nghiệm, Vietnix đã phục vụ hơn 100.000 khách hàng. Hệ thống của Vietnix được đầu tư mạnh mẽ với 100% ổ cứng SSD NVMe tốc độ cao và công nghệ ảo hóa hiện đại, giúp tăng tốc độ xử lý và truy xuất dữ liệu vượt trội. Đặc biệt, đội ngũ kỹ thuật chuyên môn cao của Vietnix luôn túc trực 24/7, sẵn sàng giải quyết mọi vấn đề của khách hàng

Thông tin liên hệ:

• Hotline: 18001093.
• Email: sales@vietnix.com.vn.
• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh.
• Website: https://vietnix.vn/.

Hy vọng với những hướng dẫn chi tiết trên, bạn đã khắc phục thành công lỗi SSL tự ký trên Outlook Thunderbird khi sử dụng email với CyberPanel. Việc đảm bảo kết nối email an toàn bằng SSL/TLS là cực kỳ quan trọng trong thời đại số hiện nay. Để tìm hiểu thêm các tính năng khác trên CyberPanel, bạn có thể xem một số bài sau: