Như các bạn đã biết chứng chỉ SSL viết tắt là Secure socket Layer là một tiêu chuẩn bảo mật giữa máy chủ webserver và trình duyệt. Và hiện nay hầu như các website đều phải cài đặt chứng chỉ này, một trang web được cài chứng chỉ này giúp người dùng yên tâm khi truy cập, và cũng giúp nhà quản trị tăng độ bảo mật cho website của mình.

Khi sử dụng SSL, website của bạn sẽ sử dụng giao thức HTTPS với đường dẫn có ổ khóa màu xanh.
Website sẽ tải chậm hơn nếu cài Full SSL, vì nó phải mã hóa khi nhận/gửi dữ liệu.
Nếu sử dụng Full SSL, khi chuyển host phải cài lại.

Bài viết này giới thiệu cũng như hướng dẫn các bước để cài đặt chứng chỉ bảo mật SSL cho Webserver Apache trên Centos.

Trước khi bắt đầu việc cài đặt SSL và HTTPS cho webserver và website wordpress thì phải đảm bảo bạn đã thực hiện các việc sau:

*Cài đặt Apache Webserver lên CentOS 6, nhớ thêm domain vào với VirtualHost.
*Cài đặt PHP 5.4 lên CentOS 6.
*Cài đặt MySQL lên CentOS 6.
*Nên mua một cái PositiveSSL tại Namecheap

1/ Cài đặt mod_ssl

Để có thể cài chứng chỉ SSL cho Apache thì trước tiên bạn cần cài thêm mod_ssl của Apache với lệnh sau:

yum install mod_ssl

2/ Tạo thư mục lưu chứng chỉ

Bây giờ bạn hãy tạo một thư mục để lưu các file chứng chỉ SSL vào để bước cuối ta có thể dễ dàng gắn vào VirtualHost nhé, mình khuyến khích là tạo trong thư mục /etc/httpd cho dễ quản lý, ví dụ mình sẽ tạo một folder tên là /etc/httpd/ssl.

mkdir /etc/httpd/ssl

3/ Tạo Server Private Key

Trước tiên chúng ta sẽ cần tạo ra một Server Private Key cho server mà bạn cần cài đặt và kích hoạt SSL, mỗi server chỉ cần một Server Private Key là đủ.
Bây giờ mình muốn tạo server private key mang tên bmmdigital.com.key thì sẽ dùng lệnh sau để tạo, nhớ là lưu trong thư mục lưu chứng chỉ đã tạo ở trên nhé.

openssl genrsa -out /etc/httpd/ssl/bmmdigital.com.key 2048

Thông báo sau khi tạo xong.

[root@tpssl public]# openssl genrsa -out /etc/httpd/ssl/bmmdigital.com.key 2048
Generating RSA private key, 2048 bit long modulus
.......................................+++
....+++
e is 65537 (0x10001)
[root@tpssl public]#

4/ Tạo CSR Key

Ở bước này sẽ khá quan trọng và nó sẽ quyết định xem chứng chỉ SSL của bạn đã mua có thể chạy được trên server hay không.
Do cuối cùng ta phải cần một file tên là .crt để kích hoạt SSL cho website nên ta sẽ cần tạo một CSR Key (Certificate Signing Request) để tạo ra một chuỗi mã hóa đặc biệt nhằm gửi yêu cầu xác thực chứng chỉ SSL cho domain mà mình cần thiết lập, hay nói đúng hơn là sau khi bạn gửi CSR Key đến nhà cung cấp, họ sẽ cấp cho bạn một file CRT phù hợp với CSR của bạn.
Mỗi domain sẽ có một CSR riêng biệt nên bạn sẽ cần làm lại bước này nếu sau này muốn xác thực cho các domain khác trên cùng server. Và mỗi khi chuyển server, bạn cũng cần tạo một CSR Key mới.
Ví dụ trên server của mình đã có một file Server Private Key tên là /etc/httpd/ssl/bmmdigital.com.key và mình muốn tạo thêm một file tên CSR là /etc/httpd/ssl/bmmdigital.com.csr thì sẽ viết lệnh như sau:

openssl req -new -key /etc/httpd/ssl/bmmdigital.com.key -out /etc/httpd/ssl/bmmdigital.com.csr

Và bây giờ, bạn sẽ nhập các thông tin sau (gõ không dấu). Bạn điền từ từ, nếu điền sai hãy ấn Ctrl + X (hoặc Ctrl + C, Ctrl + Z) rồi chạy lại lệnh trên để điền lại.

Country Name (2 letter code) [XX]: Mã quốc gia, đối với Việt Nam là VN.
State or Province Name (full name) []: Tên tỉnh thành
Locality Name (eg, city) [Default City]: Tên thành phố/quận huyện
Organization Name (eg, company) [Default Company Ltd]: Tên công ty, doanh nghiệp
Organizational Unit Name (eg, section) []: Lĩnh vực hoạt động
Common Name (eg, your name or your server’s hostname) []: Domain của website cần chứng thực (vd: bmmdigital.com, không chứa www)
Email Address []: Địa chỉ Email

Và 2 cái extra này bạn không cần nhập mà cứ Enter thôi.

Please enter the following 'extra' attributes
 to be sent with your certificate request
 A challenge password []:
 An optional company name []:

Và đây là mẫu điền của mình:

Country Name (2 letter code) [XX]:VN
State or Province Name (full name) []:Ho Chi Minh City
Locality Name (eg, city) [Default City]:Ho Chi Minh city
Organization Name (eg, company) [Default Company Ltd]:Bmmdigital Tuvan
Organizational Unit Name (eg, section) []:Blogging
Common Name (eg, your name or your server's hostname) []:bmmdigital.com
Email Address []:info@bmmdigital.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Nếu nó không hỏi gì nữa thì bạn đã tạo xong, bây giờ bạn đã có một cái CSR Key được lưu trong file .csr, đó là key mà chúng ta sẽ sử dụng để kích hoạt chứng chỉ SSL tại nơi mà bạn đã mua.

[root@tpssl public]# cat /etc/httpd/ssl/bmmdigital.com.csr
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
[root@tpssl public]#

5/ Gửi xác thực SSL

Bây giờ mình vào Namecheap, vào phần Manage SSL Certificates và ấn vào nút Activate Now ở cái SSL bạn đã mua.

 

Sau đó chọn loại webserver Apache + MOD SSL và copy cái nội dung file .csr của bạn vào.

Ấn Next và chọn email mà bạn đang dùng, hãy chắc chắn email đó bạn đang dùng vì sẽ phải xác thực qua email.

 

Và điền thông tin cá nhân, nhập email cần nhận key chứng thực và ấn Submit Order.

 

Bây giờ việc còn lại là bạn vào email sở hữu domain cần xác thực để kích hoạt.

6/ Kích hoạt SSL cho Apache

Kích hoạt xong nó sẽ gửi qua email nhận key một bộ key chứng thực SSL, giải nén ra bạn sẽ được một file .crt và một file .ca-bundle, hãy upload tất cả vào thư mục /etc/httpd/ssl. Sau đó mở tập tin /etc/httpd/conf.d/ssl.conf lên và tìm cặp thẻ <VirtualHost _default_:443>……….</VirtualHost> rồi xóa đi và chèn đoạn này vào

<VirtualHost *:443>
DocumentRoot "/home/bmm/public"
ServerName bmmdigital.com:443
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/bmmdigital.com.crt
SSLCertificateKeyFile /etc/httpd/ssl/bmmdigital.com.key
CustomLog logs/ssl_request_log \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
</VirtualHost>

Bạn thay toàn bộ thông tin trên thành của bạn nha, cụ thể:
DocumentRoot: Đường dẫn tới thư mục lưu website.
ServerName: Domain của website, nhớ gõ thêm số port 443 vào đuôi.
SSLCertificateFile: Đường dẫn file .crt vừa upload.
SSLCertficateKeyFile: Đường dẫn file .key đã tạo ở bước đầu.

Lưu lại, khởi động lại Apache.

service httpd restart

Sau đó xóa cookie và cache trình duyệt rồi truy cập vào domain với dạng https://domain.com, hoặc dùng trình duyệt khác mà kiểm tra.

7/ Thiết lập HTTPS cho WordPress

Cài mod_spdy
Trước tiên chạy lệnh cài at và wget.

cd
yum install at wget -y

Sau đó tải package về với gói tương ứng với loại hệ điều hành của bạn

# CentOS 6 32-bits
wget https://dl-ssl.google.com/dl/linux/direct/mod-spdy-beta_current_i386.rpm
# CentOS 6 64-bits
wget https://dl-ssl.google.com/dl/linux/direct/mod-spdy-beta_current_x86_64.rpm

Và cài nó.

rpm -U mod-spdy-*.rpm

Sau khi bạn cài đặt xong, bạn vào thư mục /etc/httpd/conf.d/ mà thấy file spdy.conf là cài thành công. Bạn có thể mở ra và xóa dấu comment ở hai dòng này đi:

SpdyMaxThreadsPerProcess
SpdyMaxStreamsPerConnection

Để kiểm tra SPDY có hoạt động chưa, bạn vào https://spdycheck.org và gõ tên website vào để kiểm tra, nếu nó hiện xanh lên là đã cài đặt thành công.

Các bạn có thể tham khảo thêm video này để thực hiện nhé: Hướng dẫn cài đặt SSL, HTTPS cho apache