Cách cài đặt Go Daddy SSL Certificate với Nginx

By | 10 March, 2020

Khi bạn lựa chọn Go Daddy là nơi bạn đăng kí chứng chỉ ssl, Go Daddy đang cung cấp ba loại Chứng chỉ SSL:

  • Bảo vệ một trang web
  • Bảo vệ nhiều trang web
  • Bảo vệ tất cả các tên miền phụ

Hướng dẫn này dựa trên hướng dẫn đầu tiên nhưng tôi chắc chắn bạn có thể sử dụng nó cho tất cả chúng. Tuy nhiên, đây là những bước tôi đã trải qua để thiết lập chứng chỉ SSL của mình.

Tạo CSR và Khóa riêng

Trước khi mua chứng chỉ, bạn cần tạo khóa riêng và tệp CSR (Yêu cầu ký chứng chỉ). Bạn sẽ được yêu cầu nội dung của tệp CSR khi đặt chứng chỉ.

Đầu tiên, chúng ta nên tạo một thư mục để đặt tất cả các chứng chỉ ssl của chúng ta:

mkdir /etc/nginx/ssl
cd /etc/nginx/ssl

Sau đó, chúng ta phải tạo khóa riêng của mình, tôi sẽ đặt tên là example.com.key và CSR là example.com.csr. Chạy lệnh này (thay thế example.com bằng tên miền của bạn).

openssl req -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr

Tại thời điểm này, bạn sẽ được nhắc nhập một vài thông tin sẽ được bao gồm trong yêu cầu chứng chỉ của bạn. Phần quan trọng nhất là trường Tên chung sẽ khớp với tên mà bạn muốn sử dụng chứng chỉ của mình ví dụ: example.com, www.example.com hoặc (đối với yêu cầu chứng chỉ ký tự đại diện) * .example.com.

Đây là một ví dụ:

Country Name (2 letter code) [AU]: IT
State or Province Name (full name) [Some-State]: Venezia
Locality Name (eg, city) []: Venezia
Organization Name (eg, company)[Internet Widgits Pty Ltd]:My Company
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:[email protected]

Điều này sẽ tạo cho bạn hai tệp:

  • example.com
    Khóa riêng của bạn. Bạn sẽ cần điều này sau để cấu hình NGINX.
  • example.com.csr
    Tệp CSR của bạn.

Bây giờ bạn có thể mua chứng chỉ của bạn. Bạn sẽ cần phải sao chép và dán chứng chỉ example.com.csr của mình để gửi yêu cầu Chứng nhận SSL. Sử dụng lệnh này để in tệp của bạn:

cat example.com

Tải xuống chứng chỉ

GoDaddy khi đã xác minh rằng bạn kiểm soát tên miền của bạn, bạn sẽ nhận được email ngay khi chứng chỉ SSL của bạn được cấp liên kết để tải xuống. Hãy mở liên kết đó.

Chọn Apache từ menu thả xuống Loại máy chủ và tải xuống tệp lưu trữ ZIP. Nó nên chứa hai tệp .crt :

  • Chứng chỉ SSL của bạn với một tên ngẫu nhiên (Ví dụ: 93rfs8dhf834hts.crt )
  • Gói chứng chỉ trung gian GoDaddy ( gd_bundle-g2-g1.crt )

Đổi tên cái đầu tiên thành example.com.crt và cái thứ hai thành intermediate.crt .

Chứng chỉ hiện đã sẵn sàng để được cài đặt trên máy chủ web của bạn.

Cài đặt chứng chỉ trên máy chủ web

Tải lên example.com.crt và intermediate.crt bên trong thư mục bạn đã tạo trước đây:

cd /etc/nginx/ssl

Với Nginx, nếu CA của bạn bao gồm chứng chỉ trung gian, bạn phải tạo một tệp chứng chỉ chained có chứa chứng chỉ của bạn và chứng chỉ trung gian của CA.

Bạn có thể sử dụng lệnh này để tạo một tệp kết hợp có tên là example.com.chained.crt :

cat example.com.crt intermediate.crt > example.com.chained.crt

Và bây giờ bạn nên thay đổi quyền truy cập vào thư mục này:

cd /etc/nginx
sudo chmod -R 600 ssl/

Để hoàn tất cấu hình, bạn phải đảm bảo cấu hình NGINX của bạn trỏ đến đúng tệp chứng chỉ và khóa riêng mà bạn đã tạo trước đó. Mở nó ra:

sudo vi /etc/nginx/sites-available/example.com

Và thay đổi nó:

server {
    ...    listen 443;
    server_name example.com;
 
    ssl on;
    ssl_certificate /etc/nginx/ssl/example.com.chained.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
    ssl_prefer_server_ciphers on;
    ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';    ...
}

Lưu, thoát và bây giờ khởi động lại NGINX để tải cấu hình mới và bật TLS / SSL qua HTTPS với Chứng chỉ GoDaddy của bạn.

sudo service nginx restart

Kiểm tra nó bằng cách truy cập trang web của bạn thông qua HTTPS, ví dụ https://example.com.

Leave a Reply

avatar
  Subscribe  
Notify of