Cấu hình free SSL cho website với Let’s Encrypt (phần 2)

Bài này sẽ tiếp tục phần 1, giới thiệu cách các website với 1 SSL được xác thực và do đó website của bạn có HTTPS được xác thực xanh. Có thể gọi là nguyên lý làm việc chung của tất cả các loại SSL chứ không chỉ Let’s Encrypt.

Ở đây ta sẽ lấy ví dụ để có HTTPS xanh cho website https://config9.com cho dễ hình dung.

Có 2 bước để thực hiện tiến trình này:

  • Bước 1: Agent (client) sẽ chứng minh cho CA (Let’s Encrypt) là web server đang control một domain cần xác thực. Ở đây là config9.com và bước này được gọi là xác thực tên miền (domain validation)
  • Bước 2: Sau đó agent sẽ thực hiện yêu cầu, cấp mới hoặc hủy chứng thư (certificates) cho domain config9.com

Bước 1: Xác thực domain

Let’s Encrypt sẽ tiến hành xác thực quyền quản trị máy chủ thông qua public key. Trong lần đầu khi agent chạy và kết nối đến Let’s Encrypt, nó sẽ sinh 1 cặp key mới để chứng minh cho Let’s Encrypt CA là máy chủ này đang trực tiếp điều khiển 1 hoặc vài domains. Cái này là chung với mọi CA khác nữa.

Để kick off quá trình này, bước đầu tiên chính là agent/client cần xác thực tên miền như tôi vừa nói ở trên. Ví dụ:

Related:  Removing index.php from URL cause 404 in yii

Đầu tiên Agent sẽ hỏi Let’s Encrypt CA xem cần làm gì để chứng minh rằng máy chủ này đang điều khiển domain config9.com chẳng hạn. CA sẽ kiểm tra tên miền gọi lên và đưa ra 1 số bài test. Phần này không khó và có 1 vài lựa chọn từ CA ví dụ:

  • Thêm bản ghi DNS vào phần quản trị tên miền config9.com
  • Chứng minh bằng cách truy cập 1 số tài nguyên thông qua link ví dụ: config9.com/xacthuc/

Bên cạnh đưa ra các bài test/thử thách, CA còn cung cấp 1 nonce và agent phải ký vào nonce này với private key của nó để chứng minh rằng agent thực sự làm chủ cặp key.

Sau khi agent hoàn thành các công việc thì đến lượt CA đi check xem các yêu cầu đã được thỏa mãn chưa, còn thiếu gì

Cấp phép và thu hồi chứng thư số

Như đã nói ở bước đầu, sau khi đã xác thực được cặp key, các bước như yêu cầu, gia hạn và thu hồi chứng thư khá đơn giản.

Để yêu cầu 1 chứng thư cho 1 domain ví dụ config9.com, agent sẽ sinh 1 PKCS#10: yêu cầu cấp phát chứng thư số

2 thoughts on “Cấu hình free SSL cho website với Let’s Encrypt (phần 2)”

Leave a Reply

Your email address will not be published. Required fields are marked *