Trang chủ Thủ thuật

Hướng dẫn cài đặt Let's Encrypt để tạo chứng chỉ SSL

Let's Encrypt là một chứng chỉ SSL bản quyền được Internet Security Research Group (ISRG) quản lý. Let's Encrypt sử dụng Automated Certificate Management Environment (ACME) để triển khai tự động các chứng chỉ SSL miễn phí được hầu hết các trình duyệt tin cậy.

>> Tìm hiểu thêm: Tổng quan về HTTPS và chứng chỉ SSL tại Let's encrypt

Trước khi bắt đầu:

Cập nhật các gói phần mềm máy chủ:

CentOS

sudo yum update && sudo yum upgrade

Debian/Ubuntu

sudo apt update && sudo apt upgrade

Tải xuống và cài đặt Let's Encrypt

Cài đặt git package:

CentOS

sudo yum install git

Debian/Ubuntu

sudo apt-get install git

Clone từ kho GitHub.

/opt là một thư mục cài đặt phổ biến cho các gói của bên thứ ba, vì vậy, bạn nên để cài đặt vào /opt/letsencrypt:

sudo git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Đến thư mục mới /opt/letsencrypt:

cd /opt/letencrypt

Tạo SSL Certificate

Let's Encrypt  sẽ tự động xác thực tên miền (DV) bằng một loạt các challenge. Cơ quan cấp chứng chỉ (CA) sử dụng các challenge để xác minh tính xác thực của tên miền máy. Khi server của bạn được xác thực, CA sẽ cấp SSL Certificate cho bạn.

    1. Chạy Let's Encrypt với tham số --standalone. Đối với mỗi tên miền bổ sung, hãy thêm -d example.com vào cuối lệnh.

sudo -H ./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

2. Chỉ định một email quản trị. Thao tác này sẽ cho phép bạn lấy lại quyền kiểm soát chứng chỉ bị mất và nhận thông báo bảo mật khẩn cấp nếu cần thiết. Nhấn ENTER hoặc RETURN để lưu.

Chọn đồng ý với các điều khoản dịch vụ và xác nhận nếu bạn muốn chia sẻ địa chỉ email của mình với EFF:

-------------------------------------------------------------------------------

Please read the Terms of Service at

https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must

agree in order to register with the ACME server at

https://acme-v01.api.letsencrypt.org/directory

-------------------------------------------------------------------------------

(A)gree/(C)ancel: a

-------------------------------------------------------------------------------

Would you be willing to share your email address with the Electronic Frontier

Foundation, a founding partner of the Let's Encrypt project and the non-profit

organization that develops Certbot? We'd like to send you email about EFF and

our work to encrypt the web, protect its users and defend digital rights.

-------------------------------------------------------------------------------

(Y)es/(N)o: n

3. Nếu không có vấn đề gì, một thông báo tương tự như thông báo dưới đây sẽ xuất hiện, nghĩa là Let's Encrypt đã phê duyệt và cấp cho bạn chứng chỉ.

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at:

/etc/letsencrypt/live/example.com/fullchain.pem

Your key file has been saved at:

/etc/letsencrypt/live/example.com/privkey.pem

Your cert will expire on 2018-05-27. To obtain a new or tweaked

version of this certificate in the future, simply run

letsencrypt-auto again. To non-interactively renew *all* of your

certificates, run "letsencrypt-auto renew"

- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate

Donating to EFF: https://eff.org/donate-le

4. Kiểm tra chứng chỉ tên miền

Đầu ra của script Let's Encrypt sẽ hiển thị nơi chứng chỉ của bạn được lưu trữ; trong trường hợp này, đó là /etc/letsencrypt/live:

sudo ls /etc/letsencrypt/live


example.com

Tất cả các tên miền bạn đã chỉ định ở trên sẽ được chứng chỉ duy nhất này bảo vệ. Bạn có thể xác minh điều này như dưới đây:

/certbot-auto certificates

Found the following certs:

Certificate Name: example.com

Domains: example.com www.example.com

Expiry Date: 2018-05-27 20:49:02+00:00 (VALID: 89 days)

Certificate Path: /etc/letsencrypt/live/example.com/fullchain.pem

Private Key Path: /etc/letsencrypt/live/example.com/privkey.pem

Bảo hành

Gia hạn Chứng chỉ

Quay trở lại thư mục /opt/letsencrypt:

cd /opt/letsencrypt

Chạy lệnh bạn đã sử dụng trong Bước 1 phần Tạo chứng chỉ SSL/Create an SSL Certificate, thêm tham số --renew-by-default:

sudo -H ./letsencrypt-auto certonly --standalone --renew-by-default -d example.com -d

www.example.com

Sau vài giây đến vài phút, xác nhận tương tự như bên dưới sẽ xuất hiện:

IMPORTANT NOTES:

- Congratulations! Your certificate and chain have been saved at:

/etc/letsencrypt/live/example.com/fullchain.pem

Your key file has been saved at:

/etc/letsencrypt/live/example.com/privkey.pem

Your cert will expire on 2018-05-27. To obtain a new or tweaked

version of this certificate in the future, simply run

letsencrypt-auto again. To non-interactively renew *all* of your

certificates, run "letsencrypt-auto renew"

- If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate

Donating to EFF: https://eff.org/donate-le

Như vậy, Let's Encrypt  đã gia hạn thành công chứng chỉ của bạn; trong ví dụ này, ngày 27 tháng 5 năm 2018 là ngày hết hạn mới.

Tự động gia hạn Chứng chỉ SSL

Bạn cũng có thể cài đặt để tự động gia hạn chứng chỉ. Như vậy chứng chỉ sẽ không hết hạn, thao tác này có thể thực hiện được với lệnh cron.

Đặt tác vụ chạy tự động mỗi tháng một lần bằng cách sử dụng cron:

sudo crontab -e

Thêm dòng sau vào cuối tệp crontab:

crontab

1

0 0 1 * * /opt/letsencrypt/letsencrypt-auto renew

Theo BizFly Cloud tổng hợp

>> Có thể bạn quan tâm: Triển khai SSL/ TLS chấp nhận export-grade RSA keys (tấn công FREAK)

Kể từ ngày 05/11/2018, VCCloud chính thức đổi tên thành BizFly Cloud - là nhà cung cấp các dịch vụ đám mây hàng đầu tại Việt Nam hiện nay với các dịch vụ nổi bật như: BizFly Cloud Server, BizFly CDN, BizFly Load Balancer, BizFly Pre-built Application, BizFly Business Mail, BizFly Simple Storage. Hãy tăng tốc thích nghi cho doanh nghiệp cùng các giải pháp công nghệ của BizFly Cloud tại đây.