12 phút để đọc
TLS (Transport Layer Security) và phiên bản tiền nhiệm của nó là SSL (Secure Sockets Layer) là các giao thức web được sử dụng để bảo vệ lưu lượng truy cập thông thường bằng một lớp mã hóa an toàn.
Nhờ công nghệ này, máy chủ có thể truyền dữ liệu một cách an toàn giữa máy chủ và khách hàng, ngăn chặn khả năng bị bên thứ ba chặn bắt thông tin. Hệ thống chứng chỉ cũng giúp người dùng xác minh danh tính của các trang web mà họ đang kết nối.
Trong hướng dẫn này, bạn sẽ học cách thiết lập chứng chỉ SSL tự ký (self-signed) để sử dụng với máy chủ web Apache trên hệ điều hành Ubuntu 18.04.
Lưu ý: Chứng chỉ tự ký sẽ mã hóa việc giao tiếp giữa máy chủ của bạn và các máy khách. Tuy nhiên, do nó không được ký bởi một Tổ chức Chứng nhận (Certificate Authority – CA) đáng tin cậy nào (như trong danh sách được tích hợp sẵn trong các trình duyệt web), nên người dùng sẽ không thể tự động xác minh danh tính của máy chủ bạn.
Chứng chỉ tự ký có thể phù hợp nếu bạn không có tên miền gắn với máy chủ, hoặc trong các trường hợp giao diện web mã hóa không hướng đến người dùng cuối. Tuy nhiên, nếu bạn có tên miền, thì trong đa số trường hợp nên sử dụng chứng chỉ được ký bởi CA.
Điều kiện tiên quyết:
Để thực hiện hướng dẫn này, bạn cần:
- Một máy chủ Ubuntu 18.04 với tài khoản người dùng không phải root, đã được cấp quyền
sudovà bật tường lửa. - Máy chủ web Apache đã được cài đặt. Nếu bạn muốn cài đặt toàn bộ LAMP stack (Linux, Apache, MySQL, PHP), hãy làm theo hướng dẫn Thiết lập LAMP trên Ubuntu 18.04. Nếu bạn chỉ cần cài Apache, có thể bỏ qua các bước liên quan đến PHP và MySQL.
Sau khi đã hoàn tất các yêu cầu trên, hãy bắt đầu!
Các bước tạo chứng chỉ SSL cho Apache
Bước 1: Tạo chứng chỉ SSL
TLS/SSL hoạt động bằng cách sử dụng kết hợp giữa chứng chỉ SSL (public certificate) và khóa riêng (private key). Khóa SSL được giữ bí mật trên máy chủ và được dùng để mã hóa dữ liệu gửi tới máy khách. Chứng chỉ SSLđược chia sẻ với bất kỳ ai yêu cầu nội dung từ máy chủ, và có thể được sử dụng để giải mã nội dung đã được ký bởi khóa SSL tương ứng.
Bạn có thể tạo cặp khóa và chứng chỉ tự ký bằng một lệnh duy nhất với OpenSSL như sau:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
Lệnh này sẽ hiển thị một loạt câu hỏi. Trước khi giải thích chi tiết về các câu hỏi đó, dưới đây là phần giải thích những gì đang diễn ra trong lệnh bạn đang sử dụng:
openssl: Đây là công cụ dòng lệnh cơ bản dùng để tạo và quản lý các chứng chỉ, khóa và các tệp tin khác liên quan đến OpenSSL.req: Subcommand này chỉ định rằng bạn đang sử dụng chức năng quản lý CSR (Certificate Signing Request) cho chứng chỉ X.509. X.509 là một chuẩn hạ tầng khóa công khai (PKI) mà SSL và TLS tuân theo để quản lý khóa và chứng chỉ. Để tạo chứng chỉ X.509 mới, bạn dùng subcommand này.x509: Tuỳ chọn này bổ sung thêm choreq, yêu cầu công cụ tạo một chứng chỉ tự ký thay vì chỉ tạo yêu cầu ký chứng chỉ (CSR) như thông thường.nodes: Yêu cầu OpenSSL không bảo vệ chứng chỉ bằng mật khẩu (passphrase). Apache cần có khả năng đọc tệp chứng chỉ này mà không cần sự can thiệp của người dùng khi máy chủ khởi động. Nếu có mật khẩu, bạn sẽ phải nhập mỗi lần khởi động lại server, điều này là không thực tế.days 365: Thiết lập thời hạn hiệu lực của chứng chỉ là 365 ngày (1 năm).newkey rsa:2048: Yêu cầu tạo mới cả khóa riêng và chứng chỉ cùng lúc. Vì khóa để ký chứng chỉ chưa được tạo trước đó, nên cần sinh ra cùng với chứng chỉ. Phầnrsa:2048nghĩa là tạo khóa mã hóa RSA với độ dài 2048 bit.keyout: Chỉ định nơi lưu tệp khóa riêng vừa được tạo.out: Chỉ định nơi lưu tệp chứng chỉ vừa được tạo.
Như đã đề cập, những tùy chọn trên sẽ tạo ra cả tệp khóa và tệp chứng chỉ. Bạn sẽ được hỏi một vài thông tin về máy chủ để nhúng vào chứng chỉ.
Hãy điền thông tin vào các câu hỏi này một cách phù hợp. Dòng quan trọng nhất là dòng yêu cầu Common Name (ví dụ: FQDN của máy chủ hoặc tên của bạn). Tại đây, bạn cần nhập tên miền gắn với máy chủ, hoặc nếu không có, hãy nhập địa chỉ IP công khai của máy chủ.
Danh sách đầy đủ các câu hỏi sẽ hiển thị như sau:
Output
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:New York
Locality Name (eg, city) []:New York City
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Bouncy Castles, Inc.
Organizational Unit Name (eg, section) []:Ministry of Water Slides
Common Name (e.g. server FQDN or YOUR name) []:server_IP_address
Email Address []:admin@your_domain.com
Cả hai tệp mà bạn vừa tạo sẽ được đặt vào các thư mục con tương ứng trong thư mục /etc/ssl.
Bước 2: Cấu hình Apache để sử dụng SSL
Bạn đã tạo thành công các tệp khóa và chứng chỉ trong thư mục /etc/ssl. Bây giờ, bạn cần chỉnh sửa cấu hình của Apache để sử dụng các tệp này.
Việc này sẽ bao gồm một vài điều chỉnh sau:
- Tạo một đoạn cấu hình riêng để thiết lập các cài đặt SSL mặc định với độ bảo mật cao.
- Chỉnh sửa file cấu hình Virtual Host của Apache dành cho SSL để trỏ đến các chứng chỉ SSL mà bạn đã tạo.
- (Khuyến nghị): Chỉnh sửa Virtual Host không mã hóa (HTTP) để tự động chuyển hướng tất cả yêu cầu sang Virtual Host đã mã hóa (HTTPS).
Khi hoàn tất các bước này, bạn sẽ có một cấu hình SSL an toàn cho máy chủ.
Tạo đoạn cấu hình Apache với cài đặt mã hóa mạnh
Trước tiên, bạn sẽ tạo một đoạn cấu hình (configuration snippet) để khai báo các thiết lập SSL. Việc này sẽ giúp Apache sử dụng một bộ mã hóa (cipher suite) mạnh, và bật một số tính năng nâng cao giúp tăng cường bảo mật cho máy chủ. Các tham số này có thể được dùng chung bởi tất cả các Virtual Host có kích hoạt SSL.
Hãy tạo một tệp cấu hình mới trong thư mục /etc/apache2/conf-available. Trong ví dụ này, ta sẽ sử dụng trình soạn thảo nano và đặt tên tệp là ssl-params.conf để dễ nhận biết chức năng của nó. Bạn có thể dùng trình soạn thảo văn bản nào mình thích:
sudo nano /etc/apache2/conf-available/ssl-params.conf
Để cấu hình Apache SSL một cách an toàn, chúng ta sẽ dựa trên các khuyến nghị từ trang Cipherlist.eu. Đây là một nguồn tài liệu hữu ích và dễ hiểu về các thiết lập mã hóa được sử dụng trong nhiều phần mềm phổ biến.
Lưu ý: Các thiết lập được đề xuất từ Cipherlist.eu mang lại mức độ bảo mật rất cao. Tuy nhiên, điều này đôi khi có thể làm giảm khả năng tương thích với các trình duyệt hoặc thiết bị cũ. Nếu bạn cần hỗ trợ cho các client đời cũ, có thể sử dụng danh sách thay thế bằng cách nhấp vào liên kết trên trang có nội dung: “Yes, give me a ciphersuite that works with legacy / old software.” Nếu muốn, bạn có thể thay thế cấu hình trong ví dụ dưới đây bằng danh sách đó.
Việc lựa chọn cấu hình nào phụ thuộc chủ yếu vào mức độ tương thích bạn cần hỗ trợ. Dù chọn cấu hình nào, cả hai đều cung cấp mức độ bảo mật tốt.
Trong hướng dẫn này, bạn hãy sao chép toàn bộ cấu hình được cung cấp vào tệp ssl-params.conf. Tuy nhiên, bạn sẽ thực hiện một thay đổi nhỏ là vô hiệu hóa dòng cấu hình Strict-Transport-Security (HSTS).
Việc bật HSTS với chế độ preload giúp tăng cường bảo mật, nhưng nếu kích hoạt sai hoặc không hiểu rõ tác động, nó có thể gây hậu quả lâu dài (ví dụ như không thể truy cập lại trang web qua HTTP trong nhiều năm). Vì vậy, trong hướng dẫn này, ta sẽ không bật tính năng đó, nhưng bạn có thể chỉnh sửa sau nếu thực sự hiểu rõ các ảnh hưởng của nó.
Trước khi quyết định, bạn nên dành thời gian tìm hiểu thêm về HTTP Strict Transport Security (HSTS), đặc biệt là tính năng “preload” của nó.
Giờ hãy dán nội dung cấu hình vào tệp ssl-params.conf:
/etc/apache2/conf-available/ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
# Requires Apache 2.4.36 & OpenSSL 1.1.1
SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1
# Older versions
# SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
# Disable preloading HSTS for now. You can use the commented out header line that includes
# the "preload" directive if you understand the implications.
# Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off
Sau khi hoàn tất việc chỉnh sửa, hãy lưu và đóng tệp lại. Nếu bạn đang sử dụng nano, bạn có thể thực hiện điều này bằng cách nhấn CTRL + X, sau đó nhấn Y để xác nhận lưu, rồi nhấn ENTER để thoát.
Chỉnh sửa tệp Virtual Host SSL mặc định của Apache
Tiếp theo, bạn sẽ chỉnh sửa tệp cấu hình Virtual Host SSL mặc định của Apache:
/etc/apache2/sites-available/default-ssl.conf.
Nếu bạn đang sử dụng một tệp cấu hình khác cho Virtual Host, hãy thay thế tên tệp tương ứng trong các lệnh sau.
Trước khi bắt đầu, bạn nên sao lưu tệp cấu hình gốc để phòng trường hợp cần khôi phục lại. Thực hiện bằng lệnh sau:
sudo cp /etc/apache2/sites-available/default-ssl.conf /etc/apache2/sites-available/default-ssl.conf.bak
Bây giờ, hãy mở tệp cấu hình Virtual Host SSL để tiến hành chỉnh sửa. Thực hiện bằng lệnh sau:
sudo nano /etc/apache2/sites-available/default-ssl.conf
Bên trong tệp, sau khi loại bỏ hầu hết các dòng chú thích, nội dung mặc định của tệp cấu hình Virtual Host sẽ trông như sau:
/etc/apache2/sites-available/default-ssl.conf
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
<FilesMatch "\\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
</VirtualHost>
</IfModule>
Bạn sẽ thực hiện một số chỉnh sửa nhỏ trong tệp này. Trước tiên, hãy cập nhật các thông tin cơ bản mà bạn thường cấu hình trong một tệp Virtual Host, chẳng hạn như địa chỉ email của quản trị viên (ServerAdmin), tên miền hoặc địa chỉ IP của máy chủ (ServerName), v.v.
Sau đó, bạn cần thay đổi các dòng cấu hình SSL để trỏ đến các tệp chứng chỉ và khóa riêng mà bạn đã tạo trước đó.
Sau khi thực hiện các thay đổi, khối cấu hình Virtual Host của bạn sẽ trông giống như sau:
/etc/apache2/sites-available/default-ssl.conf
<IfModule mod_ssl.c>
<VirtualHost _default_:443>
ServerAdmin your_email@example.com
ServerName server_domain_or_IP
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
<FilesMatch "\\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
<Directory /usr/lib/cgi-bin>
SSLOptions +StdEnvVars
</Directory>
</VirtualHost>
</IfModule>
Sau khi chỉnh sửa xong, hãy lưu và đóng tệp lại.
(Khuyến nghị) Chỉnh sửa tệp cấu hình HTTP để chuyển hướng sang HTTPS
Ở thời điểm hiện tại, máy chủ của bạn sẽ phục vụ cả hai loại kết nối: HTTP không mã hóa và HTTPS đã mã hóa. Tuy nhiên, để tăng cường bảo mật, trong hầu hết trường hợp nên cấu hình tự động chuyển hướng tất cả lưu lượng HTTP sang HTTPS. Nếu bạn không cần tính năng này, bạn có thể bỏ qua phần này một cách an toàn.
Để chỉnh sửa Virtual Host không mã hóa (HTTP) nhằm chuyển hướng toàn bộ lưu lượng sang HTTPS, hãy mở tệp cấu hình:
sudo nano /etc/apache2/sites-available/000-default.conf
Trong khối cấu hình VirtualHost, hãy thêm dòng lệnh Redirect để chuyển hướng toàn bộ lưu lượng truy cập sang phiên bản HTTPS của trang web. Ví dụ cấu hình như sau:
/etc/apache2/sites-available/000-default.conf
<VirtualHost *:80>
. . .
Redirect "/" "https://your_domain_or_IP/"
. . .
</VirtualHost>
Sau khi chỉnh sửa xong, hãy lưu và đóng tệp lại.
Bước 3: Điều chỉnh tường lửa (Firewall)
Nếu bạn đã bật tường lửa ufw (như được khuyến nghị trong các hướng dẫn trước), bạn có thể cần điều chỉnh lại thiết lập để cho phép lưu lượng SSL (HTTPS) đi qua. May mắn là Apache khi cài đặt đã tự động đăng ký một vài profile (cấu hình sẵn) với ufw.
Để xem danh sách các profile có sẵn, hãy chạy lệnh sau:
sudo ufw app list
Kết quả đầu ra sẽ như sau:
Output
Available applications:
Apache
Apache Full
Apache Secure
OpenSSH
Bạn có thể xem lại thiết lập hiện tại bằng cách kiểm tra trạng thái với lệnh sau:
sudo ufw status
Nếu trước đó bạn chỉ cho phép lưu lượng HTTP thông thường, kết quả đầu ra sẽ giống như sau:
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache (v6) ALLOW Anywhere (v6)
Để cho phép thêm lưu lượng HTTPS, bạn có thể bật profile “Apache Full”, sau đó xóa quyền truy cập dư thừa từ profile “Apache” như sau:
sudo ufw allow 'Apache Full'
sudo ufw delete allow 'Apache'
Xác nhận các thay đổi bằng cách kiểm tra lại trạng thái với lệnh sau:
sudo ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Apache Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Apache Full (v6) ALLOW Anywhere (v6)
Bạn đã cho phép thành công lưu lượng Apache đi qua tường lửa.
Bước 4: Kích hoạt các thay đổi trong Apache
Sau khi bạn đã chỉnh sửa cấu hình và điều chỉnh tường lửa, giờ là lúc kích hoạt các module cần thiết của Apache, bật Virtual Host đã cấu hình SSL, và khởi động lại Apache để áp dụng thay đổi.
Trước tiên, hãy kích hoạt mod_ssl (mô-đun SSL của Apache) và mod_headers (mô-đun hỗ trợ một số thiết lập trong đoạn cấu hình SSL) bằng lệnh a2enmod như sau:
sudo a2enmod ssl
sudo a2enmod headers
Tiếp theo, hãy kích hoạt Virtual Host SSL của bạn bằng lệnh a2ensite:
sudo a2ensite default-ssl
Bạn cũng cần kích hoạt tệp ssl-params.conf để Apache đọc các giá trị mà bạn đã thiết lập bằng lệnh:
sudo a2enconf ssl-params
Tại thời điểm này, trang web của bạn và các mô-đun cần thiết đã được kích hoạt. Hãy kiểm tra để đảm bảo không có lỗi cú pháp nào trong các tệp cấu hình bằng lệnh sau:
sudo apache2ctl configtest
Nếu mọi thứ đều chính xác, bạn sẽ nhận được kết quả sau:
Output
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
Syntax OK
Dòng đầu tiên là một thông báo cho biết chỉ thị ServerName chưa được thiết lập toàn cục. Nếu bạn muốn loại bỏ thông báo này, bạn có thể thiết lập ServerName với tên miền hoặc địa chỉ IP của máy chủ trong tệp /etc/apache2/apache2.conf.
Điều này là tùy chọn, vì thông báo đó không gây ảnh hưởng gì đến hoạt động của máy chủ.
Nếu kết quả kiểm tra có dòng Syntax OK, tức là tệp cấu hình của bạn không có lỗi cú pháp. Bây giờ, bạn có thể khởi động lại Apache một cách an toàn để áp dụng các thay đổi:
sudo systemctl restart apache2
Bạn đã hoàn tất các thay đổi, và bước tiếp theo là kiểm tra máy chủ SSL của bạn để đảm bảo mọi thứ hoạt động đúng như mong đợi.
Bước 5: Kiểm tra mã hóa
Bây giờ là lúc kiểm tra máy chủ SSL của bạn. Bắt đầu bằng cách mở trình duyệt web và gõ https:// kèm theo tên miền hoặc địa chỉ IP của máy chủ vào thanh địa chỉ:
https://server_domain_or_IP
Vì chứng chỉ bạn tạo không được ký bởi một trong các tổ chức chứng nhận đáng tin cậy của trình duyệt, nên rất có thể bạn sẽ nhận được một cảnh báo giống như sau:
Điều này là hoàn toàn bình thường và được mong đợi. Chúng ta chỉ quan tâm đến khả năng mã hóa của chứng chỉ, chứ không cần xác thực từ bên thứ ba về độ tin cậy của máy chủ.
Hãy nhấp vào “ADVANCED” (hoặc “Nâng cao”) và sau đó chọn liên kết được cung cấp để tiếp tục truy cập vào máy chủ của bạn:
Bạn sẽ được chuyển đến trang web của mình. Trên thanh địa chỉ của trình duyệt, bạn sẽ thấy biểu tượng ổ khóa có dấu “x” đè lên. Điều này có nghĩa là trình duyệt không thể xác minh tính hợp lệ của chứng chỉ, nhưng kết nối của bạn vẫn đang được mã hóa.
Nếu bạn đã cấu hình Apache để chuyển hướng từ HTTP sang HTTPS, bạn cũng có thể kiểm tra xem chức năng chuyển hướng có hoạt động đúng hay không:
http://server_domain_or_IP
Nếu kết quả trả về cùng một biểu tượng (ổ khóa có dấu “x”), điều đó có nghĩa là chuyển hướng của bạn đã hoạt động chính xác.
Bước 6: Chuyển sang chuyển hướng vĩnh viễn (Permanent Redirect)
Nếu chuyển hướng hoạt động đúng và bạn chắc chắn rằng mình chỉ muốn cho phép lưu lượng đã mã hóa, thì bạn nên chỉnh sửa lại Virtual Host Apache không mã hóa để thiết lập chuyển hướng vĩnh viễn.
Mở lại tệp cấu hình server block (Virtual Host) không mã hóa bằng lệnh:
sudo nano /etc/apache2/sites-available/000-default.conf
Tìm dòng Redirect mà bạn đã thêm trước đó. Thêm từ khóa permanent vào dòng đó để thay đổi chuyển hướng từ 302 (tạm thời) sang 301 (vĩnh viễn):
/etc/apache2/sites-available/000-default.conf
<VirtualHost *:80>
. . .
Redirect permanent "/" "https://your_domain_or_IP/"
. . .
</VirtualHost>
Lưu và đóng tệp lại.
Sau đó, kiểm tra cấu hình của bạn để phát hiện lỗi cú pháp bằng lệnh:
sudo apache2ctl configtest
Khi bạn đã sẵn sàng, hãy khởi động lại Apache để áp dụng chuyển hướng vĩnh viễn bằng lệnh:
sudo systemctl restart apache2
Bạn đã thiết lập thành công chuyển hướng vĩnh viễn, cho phép chỉ sử dụng lưu lượng được mã hóa.
Kết luận
Bạn đã cấu hình thành công máy chủ Apache để sử dụng mã hóa mạnh cho các kết nối từ client. Điều này sẽ cho phép bạn phục vụ các yêu cầu một cách an toàn và ngăn chặn các bên thứ ba đọc trộm lưu lượng truy cập của bạn.
