Chứng chỉ SSL là một ‘tài liệu’ điện tử được sử dụng để liên kết với khóa bảo mật, thông tin nhận dạng của trang web (chẳng hạn như tên, vị trí, v.v.) bằng chữ ký số. Các ‘tài liệu’ được cấp bởi một nhà cung cấp chứng chỉ như GlobalSign, Verisign, GoDaddy, Comodo, Thawte, ….
Trong bài này, chúng tôi sẽ giới thiệu cách tạo chứng chỉ SSL tự ký và gán nó cho một miền trong Apache. Chứng chỉ SSL tự ký sẽ thêm bảo mật vào tên miền cho mục đích thử nghiệm nhưng không thể xác minh bởi nhà cung cấp chứng chỉ của bên thứ ba. Do đó, chúng có thể dẫn đến cảnh báo trình duyệt web .
1. Kiểm tra
Bước này nhằm mục đích tạo chứng chỉ SSL tự ký và gán nó cho một tên miền trong Apache.
Bước 1: Xem các mô đun Apache được tải, tải SSL nếu cần thiết. Để kiểm tra chúng đã sẵn sàng chưa có thể dùng lệnh.
apachectl -M | grep ssl
Kết quả câu lệnh trên:
ssl_module (shared)
Nếu nó không được tải, thì có thể là mod_ssl chưa được cài đặt. cài đặt mod_ssl:
yum -y install mod_ssl
Và bây giờ chúng tôi sẽ khởi động lại Apache:
service httpd restart
Bước 2: Thiết lập môi trường và tạo chứng chỉ SSL tự ký
Tạo một thư mục để lưu trữ chứng chỉ và khóa máy chủ:
mkdir /etc/httpd/ssl
Tạo SSL thông qua OpenSSL bằng lệnh sau:
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/apache.key -out /etc/httpd/ssl/apache.crt
Lệnh trên sẽ tạo ra một 2048 khóa riêng 64-bit và CSR và đặt các tệp đó vào thư mục mới. Đầu ra của lệnh trên sẽ yêu cầu trả lời một vài câu hỏi:
Generating a 2048 bit RSA private key
………………………………………………..+++
……………..+++
writing new private key to ‘/etc/httpd/ssl/apache.key’
—–
—–
Tên quốc gia [XX]:
Tên tiểu bang hoặc tên tỉnh (tên đầy đủ) []:
Tên địa phương
Tên tổ chức
Tên đơn vị tổ chức web
Tên chung KB
Địa chỉ email
Bước 3: Thêm chứng chỉ SSL tự ký vào Apache
Giờ đây, private key và CSR được liên kết đã được tạo, chúng ta cần chỉnh sửa tệp cấu hình SSL cho Apache:
vim /etc/httpd/conf.d/ssl.conf
Tìm phần:
VirtualHost _default_: 443
Và thêm cấu hình Virtual Host sau trên dòng tiếp theo:
ServerName abcd.com:443
Hãy đảm bảo thay thế abcd.com bằng tên miền hoặc địa chỉ IP máy chủ cho Máy chủ ảo của bạn.
Xác minh rằng các biến sau được đặt trong cùng một tệp:
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/apache.crt
SSLCertificateKeyFile /etc/httpd/ssl/apache.key
Sau đó thoát và lưu tệp bằng lệnh : wq .
Bước 4: Khởi động lại Apache
Sau đó khởi động lại Apache một lần nữa:
service httpd restart
Leave a Reply