Cài đặt mod_ssl
Để có thể cài chứng chỉ SSL cho Apache thì trước tiên bạn cần cài thêmmod_ssl của Apache với lệnh sau:
|
01 |
yum install mod_ssl |
Tạo thư mục lưu chứng chỉ
Bây giờ bạn hãy tạo một thư mục để lưu các file chứng chỉ SSL vào để bước cuối ta có thể dễ dàng gắn vào VirtualHost nhé, mình khuyến khích là tạo trong thư mục /etc/httpd cho dễ quản lý, ví dụ mình sẽ tạo một folder tên là /etc/httpd/ssl.|
01 |
mkdir /etc/httpd/ssl |
Tạo Server Private Key
Trước tiên chúng ta sẽ cần tạo ra một Server Private Key cho server mà bạn cần cài đặt và kích hoạt SSL, mỗi server chỉ cần một Server Private Key là đủ. Bây giờ mình muốn tạo server private key mang tênvietteldc.com.vn.key thì sẽ dùng lệnh sau để tạo, nhớ là lưu trong thư mục lưu chứng chỉ đã tạo ở trên nhé.
|
01 |
openssl genrsa -out /etc/httpd/ssl/vietteldc.com.vn.key 2048 |
[root@tpssl public]# openssl genrsa -out /etc/httpd/ssl/vietteldc.com.vn.key 2048 Generating RSA private key, 2048 bit long modulus .......................................+++ ....+++ e is 65537 (0x10001) [root@tpssl public]#
Tạo CSR Key
Ở bước này sẽ khá quan trọng và nó sẽ quyết định xem chứng chỉ SSL của bạn đã mua có thể chạy được trên server hay không. Do cuối cùng ta phải cần một file tên là .crt để kích hoạt SSL cho website nên ta sẽ cần tạo một CSR Key (Certificate Signing Request) để tạo ra một chuỗi mã hóa đặc biệt nhằm gửi yêu cầu xác thực chứng chỉ SSL cho domain mà mình cần thiết lập, hay nói đúng hơn là sau khi bạn gửi CSR Key đến nhà cung cấp, họ sẽ cấp cho bạn một file CRT phù hợp với CSR của bạn. Mỗi domain sẽ có một CSR riêng biệt nên bạn sẽ cần làm lại bước này nếu sau này muốn xác thực cho các domain khác trên cùng server. Và mỗi khi chuyển server, bạn cũng cần tạo một CSR Key mới. Ví dụ trên server của mình đã có một file Server Private Key tên là /etc/httpd/ssl/vietteldc.com.vn.key và mình muốn tạo thêm một file tên CSR là /etc/httpd/ssl/vietteldc.com.vn.csr thì sẽ viết lệnh như sau:|
01 |
openssl req -new -key /etc/httpd/ssl/vietteldc.com.vn.key -out /etc/httpd/ssl/thachpham.me.csr |
- Country Name (2 letter code) [XX]: Mã quốc gia, đối với Việt Nam là VN.
- State or Province Name (full name) []: Tên tỉnh thành
- Locality Name (eg, city) [Default City]: Tên thành phố/quận huyện
- Organization Name (eg, company) [Default Company Ltd]: Tên công ty, doanh nghiệp
- Organizational Unit Name (eg, section) []: Lĩnh vực hoạt động
- Common Name (eg, your name or your server’s hostname) []: Domain của website cần chứng thực (vd: thachpham.com, không chứa www)
- Email Address []: Địa chỉ Email
Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []:
An optional company name []:Và đây là mẫu điền của mình:
Country Name (2 letter code) [XX]:VN State or Province Name (full name) []:HCM Locality Name (eg, city) [Default City]:HCM Organization Name (eg, company) [Default Company Ltd]:Viettel DC Organizational Unit Name (eg, section) []:Blogging Common Name (eg, your name or your server's hostname) []:Vietteldc.com.vn Email Address []:contact@thachpham.com
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:Nếu nó không hỏi gì nữa thì bạn đã tạo xong, bây giờ bạn đã có một cái CSR Key được lưu trong file .csr, đó là key mà chúng ta sẽ sử dụng để kích hoạt chứng chỉ SSL tại nơi mà bạn đã mua.
|
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20 |
[root@tpssl public]# cat /etc/httpd/ssl/vietteldc.com.vn.csr-----BEGIN CERTIFICATE REQUEST-----MIIC6TCCAdECAQAwgaMxCzAJBgNVBAYTAlZOMRgwFgYDVQQIDA9CYSBSaWEgVnVuZyBUYXUxETAPBgNVBAcMCFZ1bmcgVGF1MRcwFQYDVQQKDA5UaGFjaCBQaGFtIEJsbzERMA8GA1UECwwIQmxvZ2dpbmcxFTATBgNVBAMMDHRoYWNocGhhbS5tZTEkMCIGCSqGSIb3DQEJARYVY29udGFjdEB0aGFjaHBoYW0uY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvISp/HFv2b3ARGIMOEbe+fEVjaX+9BUp8dlvEJyk3vrZGF5EH0Iti7W3bHFH+h+SUylRlJp7uUwrfN4CUDz6I0OjfNU2YPDkaxiggNndKHENZY6CV6FogJOscQgTtixUMUv7GljE6ofY3h/F7ckFcuR2mwhzx0z5vwaRA4K0rJG+zfSyWcdjvtP9QROlvRBeecFWcx3bLVpfpwhHrbeX1fssozlY9eT92wVovukunoowA6gxulV2dKVbx4n5aNoCKbksxlfPJ6InrGTtL2tyjE6d5Hgbdjr/zafb+sDYcTOMllLFD1zT03NBu5sJVjj3ybfHVSFVxXEw0wjdHAY+MwIDAQABoAAwDQYJKoZIhvcNAQEFBQADggEBABLAMG3XV2w28XfAIWezv+3BjZqRgypp9ebJZ8InCy4Q1NUHVz4WAgfhHkMrjDojf9Za33a/KE6KZYre5iANAjGvQDkE0/XLV5JyAMYFTairEbC81HIZUPxWXTv+OeIkykm2ZjN7qB8Y0Y9jQFMIxbp6HgBjYRRMGkpdOemfQ4psKEqUUK2fL0TR4PrniiodkgiHYc+xpggCbYFQLaG59EyA4cQZJpDhew7I9UKcRLnfQoHWwIJ1wWcMzqUsIWYxvr6M+mgFnBQf4BvWlqPCFzwEMvZgzhpkWD/AVDBovTjydM81t/JGRywWqdfgneavoUZmtWPUJz+MV7GPZCRWYkk=-----END CERTIFICATE REQUEST-----[root@tpssl public]# |
Kích hoạt SSL cho Apache
Kích hoạt xong nó sẽ gửi qua email nhận key một bộ key chứng thực SSL, giải nén ra bạn sẽ được một file .crt và một file .ca-bundle, hãy upload tất cả vào thư mục /etc/httpd/ssl. Sau đó mở tập tin /etc/httpd/conf.d/ssl.conf lên và tìm cặp thẻ <VirtualHost _default_:443>..........</VirtualHost> rồi xóa đi và chèn đoạn này vào:
|
01
02
03
04
05
06
07
08
09
10 |
<VirtualHost *:443>DocumentRoot "/home/dichvuwordpress/public"ServerName vietteldc.com.vn:443SSLEngine onSSLCertificateFile /etc/httpd/ssl/vietteldc.com.vn.crtSSLCertificateKeyFile /etc/httpd/ssl/vietteldc.com.vn.keyCustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"</VirtualHost> |
DocumentRoot: Đường dẫn tới thư mục lưu website.ServerName: Domain của website, nhớ gõ thêm số port 443 vào đuôi.SSLCertificateFile: Đường dẫn file .crt vừa upload.SSLCertficateKeyFile: Đường dẫn file .key đã tạo ở bước đầu.
|
01 |
service httpd restart |