Hướng dẫn tạo CSR trên Apache Windows Server

Hướng dẫn trong bài này sẽ giúp bạn có thể thực hiện quy trình tạo CSR trên Apache Windows Server, đồng thời giải thích về tầm quan trọng của CSR đối với việc đăng ký chứng chỉ SSL cho website.

Đôi nét về CSR

CSR hay còn được biết là Certificate Signing Request là một tin nhắn được mã hóa có định dạng đặc biệt được gửi từ người nộp đơn xin chứng chỉ số SSL đến Cơ quan cấp chứng chỉ (CA). CSR có nhiệm vụ xác thực thông tin mà CA yêu cầu để cấp chứng chỉ cho tổ chức.

Nói một cách đơn giản, việc tạo CSR là một cách tiêu chuẩn hóa để gửi public key – được ghép nối với private key trên máy chủ và cung cấp thông tin liên quan về người yêu cầu cấp chứng chỉ – tới phía CA.

Trong hệ thống cơ sở hạ tầng khóa công khai (PKI) – cho phép chia sẻ dữ liệu an toàn giữa các bên được xác thực trên internet, CSR phải được tạo trước khi đăng ký và mua chứng chỉ SSL.

Ví dụ về CSR

Hầu hết các CSR được tạo đều có định dạng PEM được mã hóa Base-64 bao gồm các dòng —BEGIN CERTIFICATE REQUEST—“ và “—END CERTIFICATE REQUEST—“ làm tag đầu trang và chân trang. 

Bạn có thể tham khảo ví dụ về tạo CSR định dạng PEM tiêu chuẩn như dưới đây để dễ dàng hình dung:

—–BEGIN CERTIFICATE REQUEST—–

MIIDGDCCAgACAQAwgakxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlh

MRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRYwFAYDVQQKEw1Hb29nbGUsIEluYy4g

MRcwFQYDVQQLEw5JVCBEZXB0YXJ0bWVudDEXMBUGA1UEAxMOd3d3Lmdvb2dsZS5j

b20xIzAhBgkqhkiG9w0BCQEWFHdlYm1hc3RlckBnb29nbGUuY29tMIIBIjANBgkq

hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAq3NT5DBBDql5gTB4/6Zsq/C1iwO4yBD2

nThaNfO1qHKUjnFz0oua+54x97TjmHItRH5H+jPJvmzzb4TUJ274CRFhquOOMZVM

dVIG9FUjogJstMqv4GtBC4C/ype0ilAcPEBjRi9bFiR/g43qPCnlRAJNo4cJko7n

W7erAJsRPNiQMr5UJN9h3GuQMPw6uaI/0OWuWjSTLzEBMujHhPySgZIv1SurVXDz

iFC6S6qvc9XQ1z6tkmrttdoOfDI+eT75QxysHmctgAvkZaFEoRASqcqf3iYyl9Qw

mh0xuLSoR9HTvaD9DhxAIa4/1+l6D9MGb/01+lip7AjqdnTTzSBfcQIDAQABoCkw

JwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG

9w0BAQsFAAOCAQEAZyMkFtElkS3vQoCPVHevrFcPgrx/Fqx0UdQdnf2RyoJ3jqiU

yPo5+5BHA9kY0TuJLhgMIq0QWAbzZYNL0+J8UUcx8EvMK6DqPpKteyYFCMw6GEzu

diq4RE/8Ea9UpGbw8GH1oEsUksBTwrs06OSOVgDXkJ1XY4VaRkMPflgQWGULgKYO

2P/zcFowENruGLJO7ynyUkm5idKdYzDqk7c7bqyLywOEPxSRKVyblmzqiFCOlCqp

HozZ9+5TmrMPD/hO1uHVECcL08RMGXoGMajojI8CE+cmkaWLq3PZt08Sv0F/Itop

O8XAZ2bYTK4HQfPm+Fud22SD+DkSwt8vN8Lu2g==

—–END CERTIFICATE REQUEST—–

Quá trình CSR hoạt động như thế nào?

Trước tiên, người nộp đơn phải tạo một cặp khóa, gồm private key – được sử dụng để giải mã văn bản mật mã và tạo chữ ký số, và public key – mã hóa văn bản gốc và xác minh chứng chỉ số. Lưu ý rằng cả cặp khóa và CSR đều phải được tạo trên máy chủ sử dụng chứng chỉ SSL, điều này là bắt buộc để đảm bảo tính toàn vẹn của cặp khóa và PKI.

Sau khi cặp khóa được chuẩn bị, việc tạo CSR có thể diễn ra. Sau khi thu thập tất cả dữ liệu cần thiết, CA sẽ sử dụng dữ liệu cung cấp bởi CSR để xây dựng chứng chỉ.

CSR được tạo như thế nào?

Cách tạo CSR tùy thuộc vào phần mềm máy chủ web được sử dụng. Khi được tạo, Certificate Signing Request có thể được gửi tới CA. Nếu yêu cầu được xác thực thành công, CA sẽ cấp chứng chỉ cho bên đăng ký.

Một số lưu ý trước khi tạo CSR trên Apache Windows Server

Trước khi bắt đầu tạo CSR cho việc cài đặt chứng chỉ SSL, có một số vấn đề bạn nên lưu ý để quá trình có thể diễn ra suôn sẻ và nhanh chóng:

• Đảm bảo sao lưu các tệp cấu hình Apache của mình trước khi thực hiện bất kỳ thay đổi nào. Nếu bạn đang thay thế chứng chỉ hiện có, đừng xóa vội chứng chỉ hiện có hoặc các tệp private key trong trường hợp cần hoàn nguyên cấu hình trước đó.
• Không bao giờ được chia sẻ tập tin private key với người khác.
• Nếu bạn dự định sử dụng cùng một chứng chỉ trên nhiều máy chủ, hãy luôn chuyển đổi private key bằng phương pháp bảo mật (email không được xem là phương pháp truyền an toàn).
• Các tốt nhất là đảm bảo có mật mã và giao thức hiện tại cũng như đã được cập nhật để tăng cường tính bảo mật khi triển khai private key và chứng chỉ server mới.
• Đảm bảo chạy SSL Server Test ở cuối quá trình cài đặt để kiểm tra cấu hình chứng chỉ tuân theo các kịch bản đã được xác định trước.

Cách tạo CSR trên Apache Windows Server

Để có thể tạo CSR cho Apache trên Windows Server, bạn cần thực hiện lần lượt theo các bước được hướng dẫn dưới đây:

– Bước 1: Tiến hành download và cài đặt phần mềm OpenSSL.

– Bước 2: Sau khi việc cài đặt phần mềm được hoàn thành, hãy mở Command Prompt và chuyển vào thư mục C:OpenSSLbin bằng lệnh dưới đây:

cd C:OpenSSLbin

– Bước 3: Tiến hành tạo thư mục C:SSL để lưu trữ private key và CSR, sau đó tiến hành chạy lệnh sau:

openssl genrsa -out C:sslprivate.key 2048

– Bước 4: Tiếp tục chạy lệnh dưới đây:

openssl req -new -sha256 -key C:sslprivate.key -out C:sslcertreq.csr

Người dùng sẽ được yêu cầu nhập đầy đủ các thông tin bổ sung về website trong quá tình tạo CSR. Lưu ý hãy điền thật chính xác đầy đủ các nội dung sau:

• Common Name: FQDN (tên miền đủ điều kiện) mà bạn muốn bảo mật bằng chứng chỉ số như www.tenmien.com, *.domain.com,…
• Organization: Tên tổ chức hoặc công ty hợp pháp, hay tên cá nhân đầy đủ của người đăng ký.
• Organizational Unit: Trường này là tên của bộ phận hoặc đơn vị tổ chức thực hiện yêu cầu, chẳng hạn Công nghệ thông tin hoặc Bảo vệ website.
• City/Locality: Là thành phố hoặc khu vực nơi doanh nghiệp được thành lập hợp pháp và không được viết tắt.
• State/Province: Bang hoặc tỉnh thành nơi doanh nghiệp của bạn được thành lập hợp pháp và khoogn được viết tắt.
• Country: Mã quốc gia gồm hai chữ cái chính thức được viết hoa (chẳng hạn VN, US, UK) nơi tổ chức của bạn được thành lập hợp pháp.

*Lưu ý: Mật khẩu hoặc cụm mật khẩu không bắt buộc phải nhập. Trường tùy chọn này dùng để áp dụng bảo mật bổ sung cho các cặp khóa.

Lúc này cặp khóa private key – public key đã được tạo thành công và nằm trong thư mục C:SSL. Người dùng cần sao chép và sao lưu tệp “.key” mới tạo (có chưa private key) để có thể cài đặt chứng chỉ SSL sau khi nhận được từ CA.

– Bước 5: Khi xác định được vị trí và mở CSR mới được tạo, bạn hãy sao chép tất cả các văn bản gồm:

“—–BEGIN CERTIFICATE REQUEST—–” và “—–END CERTIFICATE REQUEST—–”

– Bước 6: Dán toàn bộ CSR vào hộp văn bản trống trên Generation Form trên website và tiếp tục hoàn tất quá trình tạo.

Khi tạo CSR, đơn đăng ký của bạn sẽ bước vào quy trình xác thực với Cơ quan cấp chứng chỉ (CA) đang phát hành và yêu cầu doanh nghiệp hoàn thành một số hình thức xác thực tùy thuộc vào loại chứng chỉ SSL đã mua. 

Đoạn kết

Như vậy, qua nội dung hướng dẫn bên trên sẽ giúp bạn hoàn thành xong việc tạo CSR trên Apache Windows Server. Nếu có bất kỳ câu hỏi hoặc gặp vấn đề trong quá trình thực hiện tạo và cài đặt chứng chỉ SSL cho website, hãy kết nối trực tiếp với các chuyên gia tại HVN – Hệ sinh thái kiến tạo doanh nghiệp 4.0 – thông qua cách gọi đến Hotline CSKH: 024.9999.7777 để được hỗ trợ giải đáp và xử lý nhanh chóng.