Bài viết này mình sẽ hướng dẫn tạo file CSR để đăng ký SSL bằng cách sử dụng thư viện OpenSSL trên Centos và Ubuntu chỉ trong 3 bước đơn giản.
1. Tạo một thư mục mới chứa các file dùng để đăng ký SSL:
mkdir tạo_một_thư_mục_mới cd tạo_một_thư_mục_mới
2. Tạo một file rsa key:
openssl genrsa -out your_domain.key 2048
3. Tạo file CSR và điền các thông tin cần thiết:
openssl req -new -key your_domain.key -out your_domain.csr
Country Name (2 letter code) [XX]: điền tên nước (chỉ 2 ký tự) State or Province Name (full name) []: điền tên tỉnh/thành phố Locality Name (eg, city) [Default City]: điền tên thành phố Organization Name (eg, company) [Default Company Ltd]: điền tên tổ chức, công ty Organizational Unit Name (eg, section) []: điền tên đơn vị tổ chức Common Name (eg, your name or your server's hostname) []: điền servername hoặc hostname của server Email Address []: điền thông tin email đăng ký
Ví dụ:
Sau khi hoàn thành xong các bước bạn sử dụng lệnh “ls” bên dưới để kiểm tra file CSR đã tạo ra chưa.
ls -alh ./
Bước 4: sử dụng công cụ WinSCP để lấy 2 file key và CSR vừa tạo để đăng ký và cấu hình SSL. Bạn có thể tham khảo bài viết hướng dẫn sử dụng WinSCP tại đây.
SSL là gì?
SSL là viết tắt của từ Secure Sockets Layer, đây là tiêu chuẩn bảo mật, truyền thông mã hoá giữa máy chủ Web server và trình duyệt (Browser). Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn. SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trên toàn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường internet được an toàn.
Cách thức làm việc
Lưu ý: Về tiêu chuẩn và giao thức mã hóa trong SSL nằm ngoài phạm vi bài viết này. Các bạn có thể tham khảo thêm trên Internet.
Điều kiện cần thiết để đăng kí SSL
Chi phí
Đây là vấn đề đầu tiên cần đề cập tới. Bạn cần bỏ ra một khoản để đăng kí SSL, chi phí này nhiều hay ít tùy thuộc vào gói SSL bạn chọn. Tuy nhiên bạn cũng có thể đăng kí SSL miễn phí từ một số tổ chức như: Comodo, RapidSSL…
Đăng kí tên miền
Trước khi có được một giấy chứng nhận SSL bạn phải sở hữu hoặc kiểm soát tên miền bạn muốn đăng kí. Nếu bạn chưa có tên miền, bạn có thể đăng kí với chúng tôi tại đây
Xác nhận tên miền
Đối với quá trình xác nhận tên miền, bạn phải có quyền truy cập vào một trong các địa chỉ email (admin@yourdomain.tld, admin@www.yourdomain.tld…). Cơ quan cấp giấy chứng nhận chứng chỉ SSL thường sẽ xác nhận việc kiểm soát tên miền bằng cách gửi một email trong đó chứa mã xác nhận vào email trên. Bạn phải vào đó để xác nhận việc kiểm soát tên miền của bạn. Một số xác nhận khác cũng có thể sử dụng như HTTP, DNS…
Nếu bạn muốn đăng kí SSL Organization Validation (OV) hoặc Extended Validation (EV) bạn phải xác nhận bạn là chủ sở hữu website và kèm theo một số giấy tờ hành chính khác.
Máy chủ Web
Hãy chắc chắn rằng máy chủ web bạn đang sử dụng hỗ trợ cài đặt SSL. Hầu hết các dịch vụ webserver có thể cài đặt SSL. Nếu bạn đang dùng share hosting, bạn nên liên hệ nhà cung cấp dịch vụ để hỏi xem dịch vụ của họ có cho phép cài đặt SSL trên môi trường share IP hay không? Cài đặt có cần phải mua thêm IP hay không?…
Chọn nhà cung cấp chứng chỉ SSL – Certificate Authority (CA)
Nếu bạn đang phân vân giữa các tổ chức CA, có một vài yếu tố quan trọng để xem xét. Ở mức độ tổng quan, bạn thường chọn CA cung cấp những tính năng bạn muốn mà ở mức giá mà bạn thấy thoải mái. Tuy nhiên, phần này sẽ đề cập tới các tính năng mà hầu hết người mua chứng chỉ SSL cần phải nhận thức, chứ không phải chỉ dựa trên giá cả:
Tổ chức CA
Độ tin cậy: Bạn nên chọn các tổ chức CA uy tín để được đánh giá là đáng tin cậy ở hầu hết các hệ điều hành và các trình duyệt phổ biến. Nếu chứng chỉ SSL của bạn được đăng kí bởi tổ chức CA đáng tin cậy, nó sẽ được đánh giá là đáng tin tưởng. Điều này trái ngược với các chứng chỉ SSL tự cài đặt, nó sẽ đi kèm với một cảnh báo bảo mật cho hầu hết người truy cập website.
Tính tương thích: Hầu hết các CA sẽ nói rằng chứng chỉ của họ tương thích 99% trình duyệt phổ biến. Nhưng bạn sẽ không kiểm tra được điều đó trước khi bạn trả tiền mua nó. Từng hãng sẽ cung cấp danh sách chứng chỉ SSL đáng tin cậy. Ví dụ: Apple cung cấp danh sách SSL đáng tin cậy trên IOS8
Các loại giấy chứng nhận
Các CA cung cấp các gói chứng chỉ SSL khác nhau. Chúng tôi xin miêu tả ngắn về từng loại:
- Single Domain: Sử dụng cho một tên miền duy nhất (example.com). Lưu ý rằng các tên miền con không được áp dụng, chẳng hạn như www.example.com
- Wildcard: Được sử dụng cho một tên miền và tất cả các tên miền con của tên miền đó. Ví dụ: example.com, email.example.com, db.example.com
- Multiple Domain: Được hiểu như một chứng chỉ SAN hoặc UC. Nó được sử dụng cho nhiều tên miền và tên miền con bằng cách bổ xung vào trường Subject Alternative Name. Ví dụ như: example.com; www.example.com và example.net
Ứng với ba chứng chỉ SSL nói trên còn có ba kiểu xác minh, chúng tôi xin được miêu tả bên dưới:
- Domain Validation (DV): Chứng chỉ số xác minh tên miền rất thích hợp với các khách hàng cá nhân, cần trang bị khả năng mã hóa giao dịch ở mức cơ bản nhất với giá rẻ, thời gian triển khai nhanh.
- Organization Validation (OV): Chứng chỉ số có mức xác minh doanh nghiệp là loại chứng chỉ có độ tin cậy cao, do các CA ngoài việc xác minh quyền sở hữu tên miền còn phải xác minh doanh nghiệp đăng ký đang tồn tại và hoạt động bình thường. Tên doanh nghiệp cũng sẽ được hiển thị chi tiết trên chứng chỉ số được cấp.
- Extended Validation (EV): Chứng chỉ số có mức xác minh nâng cao là loại chứng chỉ có độ tin cậy cao nhất, do các CA phải tuân thủ nghiêm ngặt các quy định của tổ chức CA-Browser Forum trong quá trình xác minh doanh nghiệp đăng ký. Khi người dùng Internet truy cập vào các website được trang bị chứng chỉ số EV, thanh địa chỉ của trình duyệt sẽ chuyển sang màu xanh lá cây, đồng thời hiển thị tên doanh nghiệp sở hữu website đó. Điều này gia tăng độ tin cậy của website đó đối với người dùng.
Tham khảo tài liệu của vhost