Hướng dẫn dưới đây hỗ trợ bạn cài đặt chứng chỉ SSL trên Apache CentOS
Chúng tôi cố gắng hướng dẫn dễ hiểu và nhanh chóng để bạn cài đặt chứng chỉ SSL của bạn chỉ trong vài giây trên Apache CentOS.
Bước 1: Tải chứng chỉ được cung cấp
Khi bạn nhận được chứng chỉ đã cấp từ Tổ chức phát hành chứng chỉ [CA] mà bạn đã chọn, bạn đã sẵn sàng cài đặt nó vào máy chủ của mình. Tải xuống các tệp yêu cầu bao gồm chứng chỉ Leaf Certificate [chứng chỉ chính được cấp cho tên miền của bạn] và Intermediate Certificates.Bước 2: Sao chép các tệp liên quan
Sao chép các tệp Leaf[Primary] và Chứng chỉ trung gian [Intermediate Certificate] vào Máy chủ Apache của bạn. Bạn cũng cần phải có tệp khóa trên máy chủ, được tạo cùng khi gởi yêu cầu tạo ký chứng chỉ gọi là Certificate Signing Request[CSR] .Bước 3: Tìm đường dẫn cấu hình tệp SSL
Bạn cần tìm tệp httpd.conf hoặc ssl.conf trên máy chủ của mình, tùy theo cái nào có trong cấu hình Apache của bạn. Tập tin này kiểm soát cấu hình SSL của bạn.Sử dụng lệnh cp hoặc nano để chỉnh sửa các tệp này.
#cp /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.BAK
#nano /etc/httpd/conf.d/ssl.conf Bước 4: Sửa thiết lập cấu hình
Bây giờ bạn đang chỉnh sửa tệp httpd.conf / ssl.conf, hãy tìm các hướng dẫn sau. Nếu mã được rào bởi dấu #, được chỉ định bởi một số và Bắt đầu bởi #, hãy xóa dấu #.Cho Apache Version thachpham-bundle.crt
Bây giờ bạn đã có file thachpham-budle.crt rồi, chúng ta sẽ sử dụng nó cho NGINX.
Trường hợp bạn tải về mà chỉ có 2 tập tin thì cũng làm như trên, đó là gộp 2 tập tin lại thành một tập tin dạng .crt rồi sử dụng nó.
Bước 5. Kích hoạt SSL cho NGINX
Sau đó mở file cấu hình của domain cần sử dụng SSL ra [vd: /etc/nginx/conf.d/thachpham.com.conf] và bắt đầu mổ xẻ. Trước khi mổ nó ra, hãy backup lại file này, mình cần các bạn hiểu là chúng ta sẽ làm gì.
Việc mà chúng ta cần làm đó là sửa các thiết lập hiện tại [dành cho port 80] thành thiết lập dành port 443, sau đó trỏ SSL Key đến file .key và .crt bạn đang có trong thư mục /etc/ssl vào. Sau đó chúng ta sẽ thiết lập cho port 80 của domain tự động redirect 301 về HTTPS.
Bây giờ bạn mở file cấu hình domain lên và tìm:
server {
server_name thachpham.com www.thachpham.com;
Lưu ý là ở đoạn trên nếu không có phần Listen 80 thì mặc định nó sẽ sử dụng port 80 rồi, còn nếu file cấu hình của bạn có phần Listen 80 ở đây thì vẫn sửa thành:
server {
listen 443 spdy ssl;
server_name thachpham.com www.thachpham.com;
Chèn thêm vào dưới nó
# SSL
ssl on;
ssl_certificate /etc/ssl/thachpham-bundle.crt;
ssl_certificate_key /etc/ssl/private/sv.thachpham.com.key;
ssl_session_timeout 5m;
ssl_session_cache shared:SSL:10m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
ssl_stapling on;
Nhớ sửa lại đường dẫn lưu file .crt và file .key thật chính xác nhé.
Sau đó chèn thêm đoạn này vào đầu file:
server {
listen 80;
server_name thachpham.com;
return 301 //thachpham.com$request_uri;
}
Kết quả sau khi chèn xong nó sẽ gần giống như thế này:
Country Name [2 letter code] [XX]: Mã quốc gia, đối với Việt Nam là VN. State or Province Name [full name] []: Tên tỉnh thành Locality Name [eg, city] [Default City]: Tên thành phố/quận huyện Organization Name [eg, company] [Default Company Ltd]: Tên công ty, doanh nghiệp Organizational Unit Name [eg, section] []: Lĩnh vực hoạt động Common Name [eg, your name or your server's hostname] []: Domain của website cần chứng thực [vd: thachpham.com, không chứa www] Email Address []: Địa chỉ Email0
Lưu lại và khởi động lại NGINX.
[bash]service nginx restart[/bash]
Bước 6. Cấu hình SSL cho WordPress
Tiếp tục cài plugin WordPress HTTPS và đánh dấu như ảnh.
Rồi chèn đoạn sau vào file wp-config.php
Country Name [2 letter code] [XX]: Mã quốc gia, đối với Việt Nam là VN. State or Province Name [full name] []: Tên tỉnh thành Locality Name [eg, city] [Default City]: Tên thành phố/quận huyện Organization Name [eg, company] [Default Company Ltd]: Tên công ty, doanh nghiệp Organizational Unit Name [eg, section] []: Lĩnh vực hoạt động Common Name [eg, your name or your server's hostname] []: Domain của website cần chứng thực [vd: thachpham.com, không chứa www] Email Address []: Địa chỉ Email1
Tận hưởng thành quả đi nào.
Chữ HTTPS bị lỗi màu vàng
Đây chỉ là Warning chứ không phải lỗi, lý do là trong website của bạn vẫn còn một liên kết nào đó [file ảnh, CSS, Javascript] đang được tải với giao thức HTTP thông thường, kể cả các liên kết trỏ ra ngoài. Khi cài đặt plugin WordPress HTTPS hầu như đã khắc phục được lỗi SSL với Gravatar và ShareThis.
Nếu tình trạng vẫn còn, hãy ấn chuột phải vô trang và chọn Inspect Element, sau đó mở qua tab Console bạn sẽ thấy nó thông báo chính xác file nào đang được load với giao thức HTTP để sửa lại.
Ví dụ:
Country Name [2 letter code] [XX]: Mã quốc gia, đối với Việt Nam là VN. State or Province Name [full name] []: Tên tỉnh thành Locality Name [eg, city] [Default City]: Tên thành phố/quận huyện Organization Name [eg, company] [Default Company Ltd]: Tên công ty, doanh nghiệp Organizational Unit Name [eg, section] []: Lĩnh vực hoạt động Common Name [eg, your name or your server's hostname] []: Domain của website cần chứng thực [vd: thachpham.com, không chứa www] Email Address []: Địa chỉ Email2
Nếu bạn có gặp trục trặc gì khi làm theo bài này, hãy comment ở dưới kèm theo nội dung file cấu hình domain của bạn trên NGINX nhé. Cách làm cho Webserver Apache mình sẽ hướng dẫn sau.