Hướng dẫn tạo SSL tự ký với OpenSSLCaiSSL.comMarch 9, 2023Tin tức1 Comment SSL tự ký là gì (SSL self-signed) SSL self-signed (SSL tự ký) là một loại chứng chỉ SSL được tạo ra bởi chính người dùng hoặc tổ chức sở hữu tên miền, chứ không được cấp bởi một CA (Certificate Authority) đáng tin cậy. Vì SSL tự ký không được xác thực bởi một CA bên ngoài, nó chỉ được coi là đáng tin cậy bởi máy tính của người dùng hoặc tổ chức đã tạo nó. Một SSL tự ký sẽ cho phép mã hóa kết nối truy cập trang web bằng SSL, giúp bảo vệ dữ liệu truyền tải giữa máy khách và máy chủ. Tuy nhiên, do SSL tự ký không được xác thực bởi một CA đáng tin cậy, trình duyệt web sẽ hiển thị cảnh báo khi người dùng truy cập vào trang web sử dụng SSL tự ký. Do đó, SSL tự ký thường được sử dụng trong môi trường thử nghiệm hoặc phát triển, nơi mà tính bảo mật không phải là vấn đề quan trọng. Nếu bạn muốn sử dụng SSL tự ký cho trang web của mình, bạn nên hiểu rõ ràng về rủi ro và cảnh báo có thể gặp phải khi người dùng truy cập vào trang web của bạn. Hướng dẫn tạo SSL tự ký (SSL self-signed) Bước 1: Cài đặt OpenSSL Nếu bạn chưa có OpenSSL trên hệ thống của mình, bạn có thể cài đặt nó bằng câu lệnh sau trên Ubuntu hoặc Debian: CaiSSL.com sudo apt-get install openssl Bước 2: Tạo file cấu hình SSL VD: Ở đây tôi sẽ tạo file với tên caissl.com. Bạn hãy thay bằng domain của bạn. Tạo một file cấu hình SSL với tên caissl.com.cnf và nội dung như sau. Bạn có thể thay đổi các giá trị của các trường trong đó tùy theo nhu cầu. CaiSSL.com [req] default_bits = 2048 prompt = no default_md = sha256 distinguished_name = dn [dn] C=VN ST=HCM L=HCM O=CaiSSL OU=CaiSSL emailAddress=admin@caissl.com CN = caissl.com Bước 3: Tạo private key Sử dụng lệnh sau để tạo private key: CaiSSL.com openssl genrsa -out caissl.com.key 2048 Bước 4: Tạo Certificate Signing Request (CSR) Sử dụng lệnh sau để tạo CSR: CaiSSL.com openssl req -new -key caissl.com.key -out caissl.com.csr -config caissl.com.cnf Bước 5: Tạo SSL tự ký Sử dụng lệnh sau để tạo SSL tự ký: CaiSSL.com openssl x509 -req -days 365 -in caissl.com.csr -signkey caissl.com.key -out caissl.com.crt Sử dụng script để tạo. Để giúp bạn tạo đơn giản hơn tôi đã viết sẵn script sau. Bạn chỉ cần copy và chạy sau đó nhập vào IP hoặc tên miền cần tạo là được. CaiSSL.com wget https://raw.githubusercontent.com/dotrungquan/bashshell/master/ssl-self-signed.sh && chmod +x ssl-self-signed.sh bash ssl-self-signed.sh Bước 6: Kiểm tra lại chứng chỉ Kiểm tra thông tin chứng chỉ SSL Để Decoder chứng chỉ SSL bạn có thể kiểm tra tại Tool Check SSL Kiểm tra chứng chỉ SSL và khoá Bạn có thể sử dụng trang sslshopper để kiểm tra. Nếu kết quả trả về như ảnh bên dưới có nghĩa chứng chỉ khớp với nhau Trên đây là hướng dẫn tạo SSL tự ký với OpenSSL cho tên miền dotrungquan.info. Các bước để tạo SSL tự ký bao gồm cài đặt OpenSSL, tạo file cấu hình SSL, tạo private key, tạo CSR, tạo SSL tự ký và cấu hình web server. Tuy nhiên, SSL tự ký không được xác thực bởi một CA đáng tin cậy, nên trình duyệt web sẽ hiển thị cảnh báo khi người dùng truy cập vào trang web sử dụng SSL tự ký. SSL tự ký thường được sử dụng trong môi trường thử nghiệm hoặc phát triển, nơi tính bảo mật không phải là vấn đề quan trọng. Việc tạo SSL tự ký có thể hữu ích trong một số trường hợp cụ thể, nhưng trong hầu hết các trường hợp, chúng tôi khuyên bạn nên sử dụng chứng chỉ SSL được cấp bởi một CA đáng tin cậy để đảm bảo tính bảo mật và tránh các rủi ro có thể xảy ra khi sử dụng SSL tự ký.