Tạo Https cho server ubuntu 12.04 và web server là nginx

Https là giao thức cải thiến của http, giúp việc tương tức giữa bạn và website trở nên an toàn hơn, mọi dữ liệu trao đổi giữa website và người truy cập sẽ được bảo mật nên https thường được áp dụng cho các website thương mai, ngân hàng, tín dung, mua bán đòi hỏi tính bảo mật cao, một số website khi vào thao tác đăng nhập cũng thường sử dụng https để tránh trường hợp đánh cắp mật khẩu.

Mới đây Google cho biết thì dùng Https sẽ giúp tăng hạng trang tốt hơn

Trong bài này tôi sẽ áp dụng trên server ubuntu 12.04  và web server là nginx

Nếu bạn chưa cài nginx thì có thể cài đặt thông qua câu lệnh

1	sudo apt-get install nginx

Tự tạo chứng chỉ https  là cách đơn giản nhất để tạo ra chứng chỉ https cho riêng bạn, nó vẫn có khả năng bảo vệ dữ liệu nhưng không được cấp phép chính thức nên khi truy cập, chúng ta sẽ có thông báo như sau:

not official https

Nếu bạn chỉ sử dụng website cho mục đích cá nhân thì  cảnh báo có thể không ảnh hưởng nhiều lắm 

Tôi giả sử mọi chứng chỉ và private key đều được lưu ở  /path/to/ssl , tùy vào sở thích của bạn mà bạn có thể thay đổi tương ứng.

Đầu tiên ban cd tới folder

1	cd /path/to/ssl

và generate khóa chính private_secure.key

1	sudo openssl genrsa -des3 -out private_secure.key 2048

Khi bạn chạy câu lệnh này, sẽ yêu cầu bạn nhập mật khẩu để giải mã sau này, bạn nên sao lưu lại mật khẩu này để sử dụng lần sau, nếu cần thiết :). Xong câu lệnh này thì ta đã tạo file private_secure.key, đây là chìa khóa nhưng đã được mã hóa 2048 bit mà chỉ có mật khẩu bạn nhập lúc này mới có thể mở khóa được.

Tiếp theo ta sẽ tạo file gọi là yêu cầu chứng chỉ chữ ký từ khóa chính phía trên:

1	sudo openssl req -new -key private_secure.key -out server.csr

Bạn sẽ nhập mật khẩu khóa chính, và các thông tin liên quan( tùy chọn  bạn có thể để trống )

Tiếp đến chúng ta cần tạo file private.key, đây là file được giải mã từ file private_secure.key.

1	sudo openssl rsa -in private_secure.key -out private.key

Bạn cũng được yêu cầu nhập mật khẩu để mở khóa.

Bây giờ bạn sẽ tạo file chứng chỉ từ private.key và server.scr

1	sudo openssl x509 -req -days 365 -in server.csr -signkey private.key -out server.crt

Như vậy, là phần tạo các file liên quan  cho chứng chỉ https đã xong, bây giờ ta sẽ thiết lập để sử dụng trong nginx.

Bạn có 1 file có tên bất kỳ để khai báo website và chứng chỉ https của chúng ta( ví dụ tôi đặt tên là test_https ) trong folder /etc/nginx/sites_available

1	touch /etc/nginx/sites-available/test_https

mở file này và nhập nội dung tương tư bên dưới:

1 2 3 4 5 6 7 8 9 10

server {     listen 443;     server_name your_domain.com;     root /your/website/path;     index index.html index.htm;         ssl on;         ssl_certificate /path/to/ssl/server.crt;         ssl_certificate_key /path/to/ssl/private.key; }

Lưu ý: bạn cần thay đổi your_domain.com và /your/website/path cho tương ứng, bên dưới là 1 ví dụ, tôi sử dụng https cho địa chỉ phpMyAdmin

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44

server {     listen 443;     server_name localhost; #    listen [::]:80 default_server ipv6only=on;     root /var/www/phpMyAdmin;     index index.php index.html index.htm;         ssl on;         ssl_certificate /etc/nginx/ssl/server.crt;         ssl_certificate_key /etc/nginx/ssl/private.key;     client_max_body_size 2000M;               location /doc/ {         alias /usr/share/doc/;         autoindex on;         allow 127.0.0.1;         allow ::1;         deny all;     }     location ~* \.ttf$ {         add_header Access-Control-Allow-Origin *;     }     location / {                  if (-e $request_filename) {                 expires max;                 break;         }         if (!-e $request_filename) {                 rewrite ^/(.*)$ /index.php?c=$1 last;         }     }          location ~ \.php$ {       # With php5-fpm:       fastcgi_pass unix:/var/run/php5-fpm.sock;       fastcgi_index index.php;       include fastcgi_params;     } }

Tiếp theo là bật test_https cho nginx bằng cách tạo link tới folder /etc/nginx/sites-enabled

1	sudo ln -s /etc/nginx/sites-available/test_https /etc/nginx/sites-enabled/test_https

Cuối cùng là khởi động nginx

1	sudo service nginx restart

Nếu không có lỗi gì thì bạn sẽ truy cập https://your_domain.com , trình duyệt sẽ cảnh báo về chứng chỉ https như hình ảnh mà tôi đã đề cập ở phía trên

Share on Google Plus

About thanh