Cài đặt mod_ssl
Để có thể cài chứng chỉ SSL cho Apache thì trước tiên bạn cần cài thêm mod_ssl
của Apache với lệnh sau:
01
|
yum install mod_ssl |
Tạo thư mục lưu chứng chỉ
Bây giờ bạn hãy tạo một thư mục để lưu các file chứng chỉ SSL vào để bước cuối ta có thể dễ dàng gắn vào VirtualHost nhé, mình khuyến khích là tạo trong thư mục /etc/httpd cho dễ quản lý, ví dụ mình sẽ tạo một folder tên là /etc/httpd/ssl.
01
|
mkdir /etc/httpd/ssl |
Tạo Server Private Key
Trước tiên chúng ta sẽ cần tạo ra một Server Private Key cho server mà bạn cần cài đặt và kích hoạt SSL, mỗi server chỉ cần một Server Private Key là đủ.
Bây giờ mình muốn tạo server private key mang tên vietteldc.com.vn
.key
thì sẽ dùng lệnh sau để tạo, nhớ là lưu trong thư mục lưu chứng chỉ đã tạo ở trên nhé.
01
|
openssl genrsa -out /etc/httpd/ssl/vietteldc.com.vn .key 2048 |
Thông báo sau khi tạo xong.
[root@tpssl public]# openssl genrsa -out /etc/httpd/ssl/vietteldc.com.vn.key 2048 Generating RSA private key, 2048 bit long modulus .......................................+++ ....+++ e is 65537 (0x10001) [root@tpssl public]#
Tạo CSR Key
Ở bước này sẽ khá quan trọng và nó sẽ quyết định xem chứng chỉ SSL của bạn đã mua có thể chạy được trên server hay không.
Do cuối cùng ta phải cần một file tên là .crt để kích hoạt SSL cho website nên ta sẽ cần tạo một CSR Key (Certificate Signing Request) để tạo ra một chuỗi mã hóa đặc biệt nhằm gửi yêu cầu xác thực chứng chỉ SSL cho domain mà mình cần thiết lập, hay nói đúng hơn là sau khi bạn gửi CSR Key đến nhà cung cấp, họ sẽ cấp cho bạn một file CRT phù hợp với CSR của bạn.
Mỗi domain sẽ có một CSR riêng biệt nên bạn sẽ cần làm lại bước này nếu sau này muốn xác thực cho các domain khác trên cùng server. Và mỗi khi chuyển server, bạn cũng cần tạo một CSR Key mới.
Ví dụ trên server của mình đã có một file Server Private Key tên là /etc/httpd/ssl/vietteldc.com.vn.key và mình muốn tạo thêm một file tên CSR là /etc/httpd/ssl/vietteldc.com.vn.csr thì sẽ viết lệnh như sau:
01
|
openssl req -new -key /etc/httpd/ssl/vietteldc.com.vn .key -out /etc/httpd/ssl/thachpham .me.csr |
Và bây giờ, bạn sẽ nhập các thông tin sau (gõ không dấu). Bạn điền từ từ, nếu điền sai hãy ấn Ctrl + X (hoặc Ctrl + C, Ctrl + Z) rồi chạy lại lệnh trên để điền lại.
- Country Name (2 letter code) [XX]: Mã quốc gia, đối với Việt Nam là VN.
- State or Province Name (full name) []: Tên tỉnh thành
- Locality Name (eg, city) [Default City]: Tên thành phố/quận huyện
- Organization Name (eg, company) [Default Company Ltd]: Tên công ty, doanh nghiệp
- Organizational Unit Name (eg, section) []: Lĩnh vực hoạt động
- Common Name (eg, your name or your server’s hostname) []: Domain của website cần chứng thực (vd: thachpham.com, không chứa www)
- Email Address []: Địa chỉ Email
Và 2 cái extra này bạn không cần nhập mà cứ Enter thôi.
Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []:
An optional company name []:
Và đây là mẫu điền của mình:
Country Name (2 letter code) [XX]:VN State or Province Name (full name) []:HCM Locality Name (eg, city) [Default City]:HCM Organization Name (eg, company) [Default Company Ltd]:Viettel DC Organizational Unit Name (eg, section) []:Blogging Common Name (eg, your name or your server's hostname) []:Vietteldc.com.vn Email Address []:contact@thachpham.com
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:
Nếu nó không hỏi gì nữa thì bạn đã tạo xong, bây giờ bạn đã có một cái CSR Key được lưu trong file .csr, đó là key mà chúng ta sẽ sử dụng để kích hoạt chứng chỉ SSL tại nơi mà bạn đã mua.
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
|
[root@tpssl public] # cat /etc/httpd/ssl/vietteldc.com.vn.csr -----BEGIN CERTIFICATE REQUEST----- MIIC6TCCAdECAQAwgaMxCzAJBgNVBAYTAlZOMRgwFgYDVQQIDA9CYSBSaWEgVnVu ZyBUYXUxETAPBgNVBAcMCFZ1bmcgVGF1MRcwFQYDVQQKDA5UaGFjaCBQaGFtIEJs bzERMA8GA1UECwwIQmxvZ2dpbmcxFTATBgNVBAMMDHRoYWNocGhhbS5tZTEkMCIG CSqGSIb3DQEJARYVY29udGFjdEB0aGFjaHBoYW0uY29tMIIBIjANBgkqhkiG9w0B AQEFAAOCAQ8AMIIBCgKCAQEAvISp /HFv2b3ARGIMOEbe +fEVjaX+9BUp8dlvEJyk 3vrZGF5EH0Iti7W3bHFH+h+SUylRlJp7uUwrfN4CUDz6I0OjfNU2YPDkaxiggNnd KHENZY6CV6FogJOscQgTtixUMUv7GljE6ofY3h /F7ckFcuR2mwhzx0z5vwaRA4K0 rJG+zfSyWcdjvtP9QROlvRBeecFWcx3bLVpfpwhHrbeX1fssozlY9eT92wVovuku noowA6gxulV2dKVbx4n5aNoCKbksxlfPJ6InrGTtL2tyjE6d5Hgbdjr /zafb +sDY cTOMllLFD1zT03NBu5sJVjj3ybfHVSFVxXEw0wjdHAY+MwIDAQABoAAwDQYJKoZI hvcNAQEFBQADggEBABLAMG3XV2w28XfAIWezv+3BjZqRgypp9ebJZ8InCy4Q1NUH Vz4WAgfhHkMrjDojf9Za33a /KE6KZYre5iANAjGvQDkE0/XLV5JyAMYFTairEbC8 1HIZUPxWXTv+OeIkykm2ZjN7qB8Y0Y9jQFMIxbp6HgBjYRRMGkpdOemfQ4psKEqU UK2fL0TR4PrniiodkgiHYc+xpggCbYFQLaG59EyA4cQZJpDhew7I9UKcRLnfQoHW wIJ1wWcMzqUsIWYxvr6M+mgFnBQf4BvWlqPCFzwEMvZgzhpkWD /AVDBovTjydM81 t /JGRywWqdfgneavoUZmtWPUJz +MV7GPZCRWYkk= -----END CERTIFICATE REQUEST----- [root@tpssl public] # |
Kích hoạt SSL cho Apache
Kích hoạt xong nó sẽ gửi qua email nhận key một bộ key chứng thực SSL, giải nén ra bạn sẽ được một file .crt và một file .ca-bundle, hãy upload tất cả vào thư mục /etc/httpd/ssl. Sau đó mở tập tin /etc/httpd/conf.d/ssl.conf lên và tìm cặp thẻ <VirtualHost _default_:443>..........</VirtualHost>
rồi xóa đi và chèn đoạn này vào:
01
02
03
04
05
06
07
08
09
10
|
<VirtualHost *:443> DocumentRoot "/home/dichvuwordpress/public" ServerName vietteldc.com.vn:443 SSLEngine on SSLCertificateFile /etc/httpd/ssl/vietteldc.com.vn.crt SSLCertificateKeyFile /etc/httpd/ssl/vietteldc.com.vn.key CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" </VirtualHost> |
Bạn thay toàn bộ thông tin trên thành của bạn nha, cụ thể:
DocumentRoot
: Đường dẫn tới thư mục lưu website.ServerName
: Domain của website, nhớ gõ thêm số port 443 vào đuôi.SSLCertificateFile
: Đường dẫn file .crt vừa upload.SSLCertficateKeyFile
: Đường dẫn file .key đã tạo ở bước đầu.
Lưu lại, khởi động lại Apache.
01
|
service httpd restart |
Sau đó xóa cookie và cache trình duyệt rồi truy cập vào domain với dạng https://domain.com, hoặc dùng trình duyệt khác mà kiểm tra.