Cách tạo CSR cho APACHE/NGINX với OPENSSL

Cách tạo CSR cho APACHE/NGINX với OPENSSL

1. Tóm tắt qua các bước cần thực hiện?

Trước hết, hãy tóm tắt các bước để chứng chỉ hoạt động trên máy chủ của bạn:

  • Tạo CSR (yêu cầu ký chứng chỉ) và cặp mã khóa riêng trên máy chủ.
  • Áp dụng mã CSR đã tạo để kích hoạt chứng chỉ đã mua ở bên cung cấp chứng chỉ SSL của bạn.
  •  Xác thực chứng chỉ bên Tổ chức phát hành chứng chỉ hoặc phía nhà cung cấp chứng chỉ (tùy thuộc vào loại chứng chỉ và CA / nhà cung cấp của bạn).
  • Cài đặt chứng chỉ trên máy chủ.

Ngoài ra còn có một số loại chứng chỉ bạn nên biết:

  1. Chứng chỉ xác thực miền (DV). Các chứng chỉ được sử dụng phổ biến nhất sẽ chỉ hiển thị tên miền, thời hạn hiệu lực và tên CA trong đó.
  2. Chứng chỉ xác nhận tổ chức (OV). Chúng khó lấy hơn một chút và sẽ hiển thị thông tin chi tiết về tổ chức của bạn cũng như tất cả các tính năng của chứng chỉ DV. Bạn phải có một công ty đã đăng ký hợp pháp và thực hiện quy trình gọi lại với Tổ chức phát hành chứng chỉ để được cấp chứng chỉ.
  3. Chứng chỉ xác thực mở rộng (EV). Những chứng chỉ này phức tạp nhất để có được và những chứng chỉ duy nhất sẽ hiển thị thanh màu xanh lá cây trước tên miền của bạn trong thanh địa chỉ của trình duyệt. Bạn cần có một tổ chức đã đăng ký hợp pháp và cung cấp một số tài liệu cho CA.

Nghe thì có vẻ phức tạp nhưng thực ra không khó lắm. Đầu tiên bạn cần kết nối với VPS của mình qua SSH. Sau đó, truy cập thư mục chính của bạn bằng lệnh này:

cd ~

Tiếp theo, chạy lệnh sau để tạo CSR và các tệp khóa cá nhân:

openssl req -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

Ở đây yourdomain.csr là viết tắt của tệp CSR của bạn và yourdomain.key là viết tắt của tệp khóa cá nhân.

Khi lệnh được thực thi, bạn sẽ được hỏi một số câu hỏi. Dưới đây là các câu trả lời ví dụ:

Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:New York
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Own Company
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:yourdomain.com
Email Address []:mail@yourdomain.com

Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []:
An optional company name []:

Đối với tên thông dụng của chứng chỉ, bạn cần sử dụng chính xác tên miền đủ điều kiện mà bạn muốn bảo mật với chứng chỉ. Không sử dụng tên đầy đủ của bạn hoặc tên tổ chức của bạn, chỉ nên sử dụng tên miền.

Để mở CSR, bạn có thể sử dụng bất kỳ trình soạn thảo văn bản:

nano yourdomain.csr

hoặc

cat yourdomain.csr

Chọn toàn bộ mã có -----BEGIN CERTIFICATE REQUEST-----và -----END CERTIFICATE REQUEST-----gửi nó đến CA / nhà cung cấp chứng chỉ của bạn để kích hoạt chứng chỉ.

>> Nhấn CTRL + X để đóng trình chỉnh sửa nano.

Đây là toàn bộ quá trình nhận CSR và khóa được tạo để kích hoạt chứng chỉ. Sau khi bạn có chứng chỉ, hãy làm theo hướng dẫn để cài đặt chứng chỉ trên máy chủ web Apache hoặc Nginx.

Be the first to comment

Leave a Reply

Your email address will not be published.


*