Cách đăng ký và kích hoạt chứng chỉ SSL & SSL EV

Bài viết này sẽ hướng dẫn bạn cách đăng ký và kích hoạt chứng chỉ SSL & SSL EV.
1. SSL là gì?

Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền.

Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn:
- Xác thực: đảm bảo tính xác thực của trang mà khách hàng sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng.
- Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thông tin “nhạy cảm” khi nó được truyền qua Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người nhận.
- Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến.Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thông tin, xác thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn.

Một số nhà cung cấp SSL phổ biến hiện nay là:
- Geo Trust.
- VeriSign.
- Comodo.
- Thawte.

2. Giao thức SSL là gì?

SSL được phát triển bởi Netscape, ngày nay giao thức SSL đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hoá thông tin giữa client và server. Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn

SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP, IMAP và FTP.

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

- Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng. Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không.
 
- Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp. Ví dụ như khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.

- Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu. (đó là các thuật toán băm – hash algorithm).

Giao thức SSL bao gồm 2 giao thức con:

– Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu.
– Giao thức SSL handshake: sử dụng SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL

3. Một số thuật toán dùng trong SSL

Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm:
- DES (Data Encryption Standard): là một thuật toán mã hoá có chiều dài khoá là 56 bit.
- 3-DES (Triple-DES): là thuật toán mã hoá có độ dài khoá gấp 3 lần độ dài khoá trong mã hoá DES.
- DSA (Digital Signature Algorithm): là một phần trong chuẩn về xác thực số đang được được chính phủ Mỹ sử dụng.
- KEA (Key Exchange Algorithm): là một thuật toán trao đổi khoá đang được chính phủ Mỹ sử dụng.
- MD5 (Message Digest algorithm): được phát thiển bởi Rivest.
- RSA: là thuật toán mã hoá công khai dùng cho cả quá trình xác thực và mã hoá dữ liệu được Rivest, Shamir, and Adleman phát triển.
- RSA key exchange: là thuật toán trao đổi khoá dùng trong SSL dựa trên thuật toán RSA.
- RC2 and RC4: là các thuật toán mã hoá được phát triển bởi Rivest dùng cho RSA Data Security.
- SHA-1 (Secure Hash Algorithm): là một thuật toán băm đang được chính phủ Mỹ sử dụng.

Khi một client và server trao đổi thông tin trong giai đoạn bắt tay (handshake), họ sẽ xác định bộ mã hoá mạnh nhất có thể và sử dụng chúng trong phiên giao dịch SSL.

 Ứng dụng của SSL với một số dịch vụ:
 

Dịch vụ

Port

Mô tả dịch vụ

Nsiiop

261

IIOP trên SSL/TLS

https

443

HTTP trên SSL/TLS

Smtps

465

SMTP trên SSL/TLS

Nntps

563

NNTP trên SSL/TLS

Ldaps

636

LDAP trên SSL/TLS

Ftps-data

989

FTP-data trên SSL/TLS

Ftps

990

FTP trên SSL/TLS

Telnets

992

Telnet trên SSL/TLS

Imaps

994

Imap trên SSL/TLS

Pop3s

995

Pop3 trên SSL/TLS
4. Các bước để mua chứng thực SSL cho một Domain:

Bài viết này chỉ nêu các bước cần thiết để mua, cấu hình SSL cho một Domain khi mua dịch vụ SSL tại Vinahost.
Các bước cần chuẩn bị như sau:
- Khách hàng phải có VPS hoặc Server.
- Có 1 địa chỉ IP riêng và domain được trỏ về địa chỉ IP này.
- Địa chỉ email đang sở hữu tên miền đó dưới dạng administrator@xxx.com. ( domain được sử dụng để mô tả trong bài viết này sẽ là xxx.com)
-  Ngoài ra bạn phải cung cấp RSA private key ( hay còn gọi là key CSR), cách tạo như sau:
  • [root@liemtm ~]# openssl req -new > new.ssl.csr
Generating a 2048 bit RSA private key
...................................+++
.......................................................+++
writing new private key to 'privkey.pem'
Enter PEM pass phrase:123123
Verifying - Enter PEM pass phrase:123123
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]: Mã quốc gia có 2 kí (US, VN…)
State or Province Name (full name) []:Viet Nam
Locality Name (eg, city) [Default City]:Thanh Pho HO CHI MINH
Organization Name (eg, company) [Default Company Ltd]:Vinahost
Organizational Unit Name (eg, section) []:Technical Support
Common Name (eg, your name or your server's hostname) []:Tên domain (xxx.com). Nếu bạn muốn cài đặt SSL Wildcard, nhập vào *.xxx.com (Phải mua loại SSL hỗ trợ wildcard).
Email Address []: administator@xxx.com 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123123
An optional company name []:Vinahost
  • [root@liemtm ~]# ll
rw-r--r-- 1 root root  1163 Mar 18 17:32 new.ssl.csr ( key cần cung cấp)
rw-r--r-- 1 root root  1834 Mar 18 17:32 privkey.pem
- Bạn phải có tài khoản member của Vinahost hoặc nếu chưa có phải đăng kí mới tại đây. Link: https://secure.vinahost.vn/ac/register.php
- Sau đó nhấp chọn vào dịch vụ khác và chọn SSL Certificate.
 
- Sau khi đã đăng kí hoàn tất gói dịch vụ SSL tại Vinahost, bạn có thể quay lại giao diện quản lý gói dịch vụ để kiểm tra.
- Chọn Quản lý các gói dịch vụ ở danh mục bên trái và bấm vào nút "Xem chi tiết" bên cạnh gói dịch vụ SSL tương ứng.
- Nếu không có lỗi gì xảy ra, hệ thống sẽ báo Certificate Status: New và có nút "Submit your Certificate Signing Request". Bạn bấm vào nút này để sang giao diện gửi CSR.
  • Phần Web Server Type chọn Apache + OpenSSL.
  • Paste toàn bộ đoạn mã CSR đã tạo ở trên vào phần CSR.
  • Organization Name: VinaHost Co., Ltd.
  • Job Title: Technical Support.
  • Your Name (first - last): Technical - Support
  • Postal Address Line 1: 220/3 Phan Van Han.
  • Postal Address Line 2: Binh Thanh.
  • City: HCMC.
  • US State: none.
  • Province: HCMC.
  • Postal or Zip Code: 848.
  • Country: Vietnam.
  • Phone: 35119348
  • Email Address: administrator@xxx.com ( Theo dạng bắt buộc mà SSL yêu cầu)
  • Technical Contact Information và Billing Contact Information chọn Use admin information.
-  Bấm Submit để sang giao diện Cert Information. Phần Cert Validation Email chọn admin@xxx.com.
-  Sau khi đã tiến hành chọn loại SSL và cung cấp key CSR, nhà cung cấp sẽ khởi tạo một yêu cầu tới GeoTrust để cung cấp chứng chỉ SSL.
-  Sau đó GeoTrust sẽ phản hồi lại một email xác nhận về địa chỉ email sở hữu tên miền đó, bạn có thể xác nhận email từ GeoTrust .
-  Sau khi đã xác nhận, phía Geo Trust sẽ gửi file(.crt, .key) đính kèm SSL về email sỡ hữu tên miền.
-  Tiếp đến bạn sẽ login vào VPS hoặc server để tiến hành cấu hình SSL.
-  Khách hàng copy nội dung file mà GeoTrust đã gửi vào 2 thư mục sau:
  • /etc/ssl/certs/file.crt
  • /etc/ssl/private/file.key
- Bước cuối cùng bạn vào thư mục cấu hình dịch vụ website:
  • vi /etc/httpd/conf/httpd.conf
SSLOptions  + StrictRequire<VirtualHost *:443>
ServerAdmin admin@xxx.com
DocumentRoot /www/docs/xxx.com
ServerName dummy-host.example.com
ErrorLog logs/dummy-host.example.com-error_log
CustomLog logs/dummy-host.example.com-access_log common
SSLEngine on
SSLCertificateFile /etc/ssl/certs/file.crt
SSLCertificateKeyFile /etc/ssl/private/file.key
</VirtualHost>
- Sau khi đã thêm cấu hình vào VirtualHost ta restart lại dịch vụ httpd và truy cập vào browser nhập vào: https://xxx.com

Các bước để mua chứng thực SSL EV cho một Domain:


Sau đây là một số quy định để đăng chứng thực SSL EV cho domain:
- Quá trình đăng kí có các bước cơ bản:
  • GeoTrust kiểm tra thông tin đăng kí.
  • GeoTrust kiểm tra các văn bản, giấy phép kinh doanh của người mua SSL EV.
  • Hoàn tất quá trình kiểm tra thông tin và tiến hành tạo SSL.
- Thời hạn đăng ký và gia hạn sẽ hoàn tất trong khoản 6 -7 ngày, vì thế bạn nên lưu ý về vấn đề này (tốt nhất nên đăng ký hoặc gia hạn trước đó 10 ngày).
Các bước chuẩn bị để đăng ký mới hoặc gia hạn SSL EV cho domain:
- Các bước này tương tự như việc bạn đăng ký sử dụng SSL như phía trên.
- Tuy nhiên bạn cần lưu ý:
  • Điền đầy đủ thông tin vào gói dịch vụ, đặc biệt là domain. Domain có www và không có www là hai domain khác nhau. Bạn cần lưu ý trước khi thực hiện các bước tiếp theo.
  • Tên công ty (Organization Name) phải là tên tiếng Việt, không dấu. Phần này cực kỳ quan trọng, phần này sẽ hiển thị trên thanh trình duyệt.
  • Địa chỉ dành cho phần "Technical Contact Information" và "Admin Contact Information" nên để thông tin của bộ phận kỹ thuật, tương ứng với email info@vinahost.vn (Tới bước này bộ phận kỹ thuật của Vinahost sẽ tiếp tục thao tác xác thực giúp khách hàng)
  • Phần "Billing Contact Information" điền thông tin của bạn, trong đó địa chỉ trụ sở công ty phải khớp với giấy chứng nhận đăng ký kinh doanh và email khai báo trong phần này sẽ dùng để liên hệ với GeoTrust trong suốt quá trình đăng kí SSL EV.
- Khi kích hoạt thành công, trên enom sẽ có 1 order mới được gửi về email quản lý tên miền info@vinahost.vn. Sau đó truy cập theo thông tin kích hoạt vào giao diện của ENOM ở  mục "Login center" và tìm tới mục "Security" >> "SSL Certificates" và xem các thông số liên quan. Trong đó có hai ID quan trọng:
  • Order ID: là id của gói dịch vụ Vinahost đăng kí với ENOM.
  • Reference ID: là id của ENOM đăng kí với GeoTrust.
- Sau khi đã hoàn tất, bộ phận kỹ thuật sẽ liên hệ bạn để thực hiện gởi các hợp đồng, giấy phép đăng kí kinh doanh cho GeoTrust để xác minh.
- Nếu trong quá trình kích hoạt SSL EV cần hỗ trợ gì, bạn có thể liên hệ trực tiếp với GeoTrust thông qua email họ đã gởi thông báo hoặc chat trực tiếp thông qua link https://knowledge.geotrust.com/au/support/knowledge-base/index?page=chatConsole
- Sau khi hoàn tất việc cấu hình SSL EV khách hàng có thể truy cập để kiểm tra SSL EV đã kích hoạt thành công tại: https://products.geotrust.com/orders/orderinformation/authentication.do

Link tham khảo:
-          https://www.sslshopper.com/ssl-checker.html hoặc http://www.geocerts.com/ssl_checker để kiểm tra xác nhận trạng thái của các dịch vụ sử dụng SSL Cert đã cài đặt.
Chúc bạn thành công!

Powered by WHMCompleteSolution