SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là giao thức để bảo đảm thông tin liên lạc giữa hai hoặc nhiều thiết bị mạng/dịch vụ và các trang web. Đó là các giao thức thông dụng nhất để cho phép truyền thông an toàn giữa một trình duyệt web và web server.

Bài viết này sẽ hướng dẫn thực hiện để kích hoạt SSL/TLS trên website Nginx-powered để bảo đảm thông tin liên lạc. Khi thực hiên theo các bước dưới đây, giao thức truy cập trang web sẽ được thực hiện qua https.

1.   Tạo server private key và CRS

Bước đầu tiên trong việc tạo ra các chứng chỉ SSL/TLS là tạo ra khóa bí mật của server và CSR (Certificate Signing Request). Sau đó, CSR được sử dụng cùng với các server site/server private key để tạo ra các public certificate cho tài nguyên đang đảm bảo.

Đầu tiên hãy tạo một thư mục để lưu trữ certificates và CSR.

sudo mkdir /etc/nginx/ssl

cd /etc/nginx/ssl

Sau đó chạy các lệnh dưới đây để tạo ra các trang web hoặc máy chủ private key. Chúng ta sẽ được sử dụng một chìa khóa 4096-bit mạnh mẽ hơn đối với an ninh mạnh.

sudo openssl genrsa -out vidu.com.key 4096

Bây giờ mà các site/server private key được tạo ra, hãy tiếp tục để tạo ra CSR. Ở đây được sử dụng mạnh hơn 512-bit với thuật toán SHA-2.

Tạo CSR, thực hiện chạy các lệnh dưới đây:

sudo openssl req -new -key vidu.com.key -out vidu.com.csr -sha512

Khi chạy các lệnh trên, bạn sẽ được nhắc với một danh sách các danh mục cần phải điền vào. Các danh mục tên gọi chung là quan trọng nhất và tên của trang web bạn đang bảo vệ.

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:VN

State or Province Name (full name) [Some-State]:DaNang

Locality Name (eg, city) []:DaNang

Organization Name (eg, company) [Internet Widgits Pty Ltd]:Hoc tap

Organizational Unit Name (eg, section) []:SSL Unit

Common Name (e.g. server FQDN or YOUR name) []:vidu.com

Email Address []: vidu@gmail.com

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:  DO NOT TYPE PASSWORD HERE, LEAVE BLANK

An optional company name []: DTU

 Bây giờ CSR được tạo ra, tiếp tục dưới đây để ký vào certificate.

2.   Ký tên vào giấy chứng nhận (sign the certificate)

Sau khi tạo ra các máy chủ/trang web private key và CSR, bước cuối cùng là phải ký một giấy chứng nhận sử dụng máy chủ/trang web riêng cùng với CSR. Chúng ta sẽ chạy các lệnh dưới đây để ký vào giấy chứng nhận có giá trị trong 365 ngày.

Phải được gia hạn sau một năm.

sudo openssl x509 -req -days 365 -in vidu.com.csr -signkey vidu.com.key -out vidu.com.crt -sha512

Sau đó, một chứng chỉ mới được gọi là vidu.com.crt nên sẵn sàng để sử dụng. Bây giờ tất cả các bạn phải làm là xác định các tập tin giấy chứng nhận trong các cấu hình Nginx.

# HTTPS server

server {

    listen     443 ssl default_server;

    listen    [::]:443 ssl default_server;

    server_name vidu.com;

    ssl_certificate /etc/nginx/ssl/vidu.com.crt;

    ssl_certificate_key /etc/nginx/ssl/vidu.com.key;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_prefer_server_ciphers on;

    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:DHE-RSA-AES256-GCM-SHA384

                :DHE-RSA-AES256-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256

                :DHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4;

location / {

  root   /var/www/html;

  index  index.html index.htm;

}

}

Khởi động lại Nginx webserver và bạn đã hoàn tất.

sudo systemctl reload nginx.service

Khi tất cả mọi thứ được thiết lập như trên, trang web của bạn sẽ giao tiếp qua HTTPS cũng như HTTP.