Hướng dẫn cài đặt Let's Encrypt để tạo chứng chỉ SSL
Let's Encrypt là một chứng chỉ SSL bản quyền được Internet Security Research Group (ISRG) quản lý. Let's Encrypt sử dụng Automated Certificate Management Environment (ACME) để triển khai tự động các chứng chỉ SSL miễn phí được hầu hết các trình duyệt tin cậy. Hãy cùng Bizfly Cloud tìm hiểu thông tin chi tiết hơn qua bài viết dưới đây.
Trước khi bắt đầu:
Cập nhật các gói phần mềm máy chủ:
CentOS
Debian/Ubuntu
Tải xuống và cài đặt Let's Encrypt
Cài đặt git package:
CentOS
Debian/Ubuntu
Clone từ kho GitHub.
/opt là một thư mục cài đặt phổ biến cho các gói của bên thứ ba, vì vậy, bạn nên để cài đặt vào /opt/letsencrypt:
Đến thư mục mới /opt/letsencrypt:
Tạo SSL Certificate
Let's Encrypt sẽ tự động xác thực tên miền (DV) bằng một loạt các challenge. Cơ quan cấp chứng chỉ (CA) sử dụng các challenge để xác minh tính xác thực của tên miền máy. Khi server của bạn được xác thực, CA sẽ cấp SSL Certificate cho bạn.
1. Chạy Let's Encrypt với tham số --standalone. Đối với mỗi tên miền bổ sung, hãy thêm -d example.com vào cuối lệnh.
2. Chỉ định một email quản trị. Thao tác này sẽ cho phép bạn lấy lại quyền kiểm soát chứng chỉ bị mất và nhận thông báo bảo mật khẩn cấp nếu cần thiết. Nhấn ENTER hoặc RETURN để lưu.
Chọn đồng ý với các điều khoản dịch vụ và xác nhận nếu bạn muốn chia sẻ địa chỉ email của mình với EFF:
-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v01.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: a
-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: n
3. Nếu không có vấn đề gì, một thông báo tương tự như thông báo dưới đây sẽ xuất hiện, nghĩa là Let's Encrypt đã phê duyệt và cấp cho bạn chứng chỉ.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-05-27. To obtain a new or tweaked
version of this certificate in the future, simply run
letsencrypt-auto again. To non-interactively renew *all* of your
certificates, run "letsencrypt-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
4. Kiểm tra chứng chỉ tên miền
Đầu ra của script Let's Encrypt sẽ hiển thị nơi chứng chỉ của bạn được lưu trữ; trong trường hợp này, đó là /etc/letsencrypt/live:
Tất cả các tên miền bạn đã chỉ định ở trên sẽ được chứng chỉ duy nhất này bảo vệ. Bạn có thể xác minh điều này như dưới đây:
/certbot-auto certificates
Found the following certs:
Certificate Name: example.com
Domains: example.com www.example.com
Expiry Date: 2018-05-27 20:49:02+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/example.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/example.com/privkey.pem
Bảo hành
Gia hạn Chứng chỉ
Quay trở lại thư mục /opt/letsencrypt:
Chạy lệnh bạn đã sử dụng trong Bước 1 phần Tạo chứng chỉ SSL/Create an SSL Certificate, thêm tham số --renew-by-default:
www.example.com
Sau vài giây đến vài phút, xác nhận tương tự như bên dưới sẽ xuất hiện:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-05-27. To obtain a new or tweaked
version of this certificate in the future, simply run
letsencrypt-auto again. To non-interactively renew *all* of your
certificates, run "letsencrypt-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Như vậy, Let's Encrypt đã gia hạn thành công chứng chỉ của bạn; trong ví dụ này, ngày 27 tháng 5 năm 2018 là ngày hết hạn mới.
Tự động gia hạn Chứng chỉ SSL
Bạn cũng có thể cài đặt để tự động gia hạn chứng chỉ. Như vậy chứng chỉ sẽ không hết hạn, thao tác này có thể thực hiện được với lệnh cron.
Đặt tác vụ chạy tự động mỗi tháng một lần bằng cách sử dụng cron:
Thêm dòng sau vào cuối tệp crontab:
1 | 0 0 1 * * /opt/letsencrypt/letsencrypt-auto renew |
Theo Bizfly Cloud chia sẻ
>> Có thể bạn quan tâm: Triển khai SSL/ TLS chấp nhận export-grade RSA keys (tấn công FREAK)