Về Let’s Encrypt: Tạo mới và gia hạn Certificate miễn phí

Blog / By

Let’s Encrypt đã trở thành một chương trình nổi tiếng được hỗ trợ bởi nhiều đơn vị chức năng và quỹ tăng trưởng lớn trên quốc tế, bao gồm Google, Akamai và Facebook. Mục đích của Let’s Encrypt là tạo ra một Internet an toàn hơn bằng cách cung cấp miễn phí các chứng chỉ cho các trang web và ứng dụng.

Letsencrypt là gì?

Let’s Encrypt là một dự án mang tính đột phá, giúp tăng cường tính bảo mật trên Internet bằng cách cung cấp miễn phí các chứng chỉ SSL/TLS. Với Let’s Encrypt, bạn có thể mã hóa dữ liệu truyền tải giữa máy khách và máy chủ một cách an toàn và bảo mật.

Đặc điểm của Certificate Let’s Encrypt:

  • Miễn phí với số lượng không giới hạn.
  • Hết hạn sau 3 tháng, gia hạn miễn phí.

Lý giải thêm về cách tạo và gia hạn

Để tạo và gia hạn chứng chỉ của Let’s Encrypt, người quản trị cần chứng minh quyền sở hữu tên miền bằng cách trỏ tên miền về địa chỉ IP của máy chủ muốn tạo và gia hạn. Tất nhiên, nếu bạn không phải là chủ sở hữu tên miền, việc này có thể gây khó khăn.

Xem thêm  Có nên mua vào khi vàng trong nước cao hơn thế giới gần 9 triệu đồng? | Kinh doanh | Vietnam+ (VietnamPlus)

Let’s Encrypt cung cấp nhiều cách để tạo và gia hạn chứng chỉ. Để đảm bảo tiện lợi, chính xác và tự động hóa cho người quản trị, nên sử dụng một phương pháp duy nhất khi gia hạn nhiều trang web cùng một lúc.

Chế độ standalone:

Đây là chế độ độc lập, bạn không cần cài đặt một máy chủ web (như Nginx, Apache) trước, chỉ cần trỏ tên miền về máy chủ và cài đặt Let’s Encrypt để tạo chứng chỉ. Tuy nhiên, để tạo chứng chỉ, Let’s Encrypt sẽ tạo một máy chủ web ảo sử dụng Python và chiếm cổng 443 của máy chủ. Do đó, bạn phải dừng mọi dịch vụ đang chiếm cổng 443 trước khi tạo và gia hạn chứng chỉ. Điều này giải thích vì sao bạn thường được yêu cầu dừng Nginx hoặc Apache khi tạo và gia hạn chứng chỉ. Chế độ này thường được hướng dẫn trên mạng, nhưng nhược điểm của nó là bạn phải tạm dừng dịch vụ web đang chạy, thậm chí khi gia hạn chứng chỉ. Điều này không phù hợp trong môi trường sản xuất.

Chế độ webroot:

Chế độ này yêu cầu bạn đã cài đặt một máy chủ web trước đó. Bạn chỉ cần trỏ tên miền về máy chủ và Let’s Encrypt sẽ xác nhận thông qua địa chỉ /.well-known` trên trang web. Đơn giản hơn, nếu trang web của bạn có đường dẫn này, Let’s Encrypt sẽ xác nhận và cho phép tạo và gia hạn chứng chỉ một cách dễ dàng.

Xem thêm  Duy Trì Tính Cạnh Tranh Có Phải Cách Tốt Nhất Để Phát Triển Nhân Viên? - https://wikifin.net

Chế độ manual:

Tương tự như chế độ webroot, nhưng bạn phải tự điền thông tin thủ công. Nên tránh phần này nếu không quen thuộc.

Chế độ theo máy chủ web: Nginx, Haproxy…

Phương pháp này tùy thuộc vào máy chủ web bạn sử dụng. Mỗi máy chủ web đều có những câu lệnh khác nhau. Chế độ này không yêu cầu dừng dịch vụ web đang chạy.

Tạo chứng chỉ mới theo chế độ web service. Ví dụ ở đây là Nginx.

  1. Truy cập website: https://certbot.eff.org/
  2. Chọn dịch vụ web và hệ điều hành bạn đang sử dụng để lấy câu lệnh cài đặt.
    Ví dụ trên CentOS 7:

    sudo yum install certbot python2-certbot-nginx

    Cài đặt Certbot và plugin Certbot-Nginx.

  3. Ngay lập tức, bạn có thể tạo chứng chỉ mà không cần cấu hình thêm trong Nginx: 
    sudo certbot --nginx certonly -d yourdomain.com

    Nếu bạn xây dựng Nginx từ nguồn và để file nginx.conf ở một vị trí khác (ví dụ: /etc/nginx/conf/nginx.conf), hãy thêm đường dẫn đến thư mục chứa file cấu hình Nginx:

    sudo certbot --nginx certonly --nginx-server /etc/nginx/conf -d yourdomain.com

    Chúc mừng! Bạn đã thành công. Phương pháp này rất đơn giản.

Tương tự với các dịch vụ web và hệ điều hành khác, bạn chỉ cần chọn trên website và câu lệnh cài đặt Certbot và plugin tương ứng sẽ được hiển thị.

Gia hạn chứng chỉ

Nếu bạn đã tạo chứng chỉ cho tất cả các tên miền theo cách trên, chỉ cần chạy lệnh:

sudo certbot renew

Để tự động gia hạn chứng chỉ, bạn có thể đặt công việc theo định kỳ (cronjob):

sudo crontab -e

Thêm dòng sau và lưu lại:

23 1 */10 * * certbot renew --post-hook "service nginx reload" >> /var/log/certbot-renew.log

Dòng này sẽ chạy lệnh gia hạn vào 01:23 hàng ngày, tự động khởi động lại Nginx và ghi log vào file để dễ theo dõi.

Xem thêm  MB, 27 năm vì mục tiêu ngân hàng số dẫn đầu

Một số thủ thuật

a. Test thử việc tạo và gia hạn:
Nếu bạn muốn kiểm tra trước khi thực hiện lệnh (tạo, gia hạn…), bạn có thể thêm tùy chọn --dry-run vào cuối lệnh. Ví dụ:

sudo ./letsencrypt-auto renew --dry-run

Lưu ý, đây chỉ là bản thử nghiệm, hãy nhớ xóa tùy chọn này khi thực hiện thật.

b. Gia hạn cho một tên miền riêng:
Nếu bạn chỉ muốn gia hạn chứng chỉ cho một tên miền trong số 10 tên miền trên website, bạn có thể sử dụng tùy chọn -d domain1.com -d domain2.com ... khi tạo chứng chỉ. Let’s Encrypt hỗ trợ đến 100 tên miền trong một chứng chỉ, cho phép gia hạn chung một lúc.

c. Xóa chứng chỉ để tạo lại:
Nếu bạn muốn chuyển từ chế độ standalone sang chế độ webroot chẳng hạn, chỉ cần xóa các tệp và thư mục sau đây:

  • /etc/letsencrypt/renewal/tenmien.conf (tệp tin)
  • /etc/letsencrypt/archived/tenmien (thư mục)
  • /etc/letsencrypt/live/tenmien (thư mục)

d. Tạo chứng chỉ dùng cho nhiều tên miền:
Nếu bạn không muốn tạo một chứng chỉ cho mỗi tên miền, bạn có thể tạo cùng lúc cho nhiều tên miền bằng cách sử dụng -d domain1.com -d domain2.com ... khi tạo chứng chỉ. Let’s Encrypt hỗ trợ đến 100 tên miền trong một chứng chỉ, cho phép gia hạn chung một lúc.

Để biết thêm thông tin, hãy truy cập https://wikifin.net.

Ảnh: Link ảnh