Hướng dẫn tạo CSR trên Tomcat Linux/Unix

Bài viết này sẽ hướng dẫn nhanh cho bạn về quy trình tạo CSR trên nền tảng Tomcat Linux/Unix, từ đó có thể yêu cầu chứng chỉ SSL được CA ký cho server của mình.

Lưu ý: Để gia hạn hoặc nâng cấp chứng chỉ hiện có, bạn có thể thực hiện theo các bước tương tự như với chứng chỉ mới, tuy nhiên, hãy sử dụng tên khác cho tệp keystore, chẳng hạn như -keystore.

Giới thiệu chung về CSR và chứng chỉ SSL

Certificate Signing Request (CSR) là một văn bản được mã hóa khối cho Cơ quan cấp chứng chỉ (CA) khi đăng ký chứng chỉ SSL. Việc tạo CSR cho Secure Sockets Layer (SSL) là hành động phổ biến trong Tomcat Linux/Unix trên nhiều phiên bản phân phối khác nhau.

tổng quan csr

CSR được tạo ra trên máy chủ, lưu trữ các thông tin liên quan đến tổ chức, tên miền, quốc gia, thành phố – mọi chi tiết cần thiết để CA có thể xác minh doanh nghiệp và từ đó cấp chứng chỉ. Nói cách khác, để được cấp chứng chỉ SSL, bạn bắt buộc phải tạo CSR theo đúng quy trình và cung cấp đầy đủ các thông tin cần thiết cho việc xác minh.

CSR được ký bằng private key của người nộp đơn, điều này chứng tỏ với CA rằng người nộp đơn xin cấp chứng chỉ đó có quyền kiểm soát private key tương ứng với public key có trong CSR. Khi thông tin được yêu cầu trong Certificate Signing Request vượt qua quy trình kiểm tra và kiểm soát tên miền được thiết lập, CA có thể ký public key của người nộp đơn để tạo mức độ tin cậy.

Trước khi có thể đặt mua SSL, bạn sẽ cần tạo CSR. Quá trình tạo khác nhau tùy theo nền tảng sử dụng. Một số sẽ sử dụng dòng lệnh, số khác sẽ sử dụng trình hướng dẫn dựa trên GUI.

Một số thông tin bao gồm trong CSR

tạo csr thông tin

Trong quá trình tạo CSR, bạn cần phải cung cấp đầy đủ một số thông tin quan trọng liên quan đến tổ chức của mình để CA có thể xác thực và cấp chứng chỉ, trong đó bao gồm:

  • Common Name (CN): Phần mày xác định các miền đủ điều kiện của server, ví dụ: domain.com, docs.domain.com. Bạn có thể bao gồm nhiều miền hoặc subdomain nếu dự định sử dụng chứng chỉ trong các domain hoặc subdomain khác nhau. Điều quan trọng là loại chứng chỉ SSL được mua từ CA phải hỗ trợ định dạng Common Name.
  • Tổ chức (O): Tên hợp pháp của tổ chức. 
  • Phòng ban (OU): Bộ phận của tổ chức chịu trách nhiệm xử lý chứng chỉ, chẳng hạn như phòng pháp lý, nhân sự hoặc IT. Tùy theo tình huống, bạn có thể để trống phần này.
  • Thành phố (L): Thành phố nơi tổ chwucs của bạn đặt trụ sở. Lưu ý hãy sử dụng tên thành phố đầy đủ và không sử dụng tên viết tắt.
  • Quận/Khu vực (S): Bạn điền tên tiểu bang, quận, khu vực, và lưu ý không được viết tắt. 
  • Quốc gia (C ): Mã quốc gia gồm hai chữ cái để cho biết nơi tổ chức được đặt trụ sở.
  • Địa chỉ email: Một địa chỉ email để liên hệ với tổ chức trong trường hợp cần trao đổi về vấn đề chứng chỉ SSL.
  • Public key: Khóa chung được các bên bên ngoài sử dụng để mã hóa dữ liệu và private key liên quan để được sử dụng để giải mã dữ liệu.

Cách tạo CSR trên Tomcat Linux/Unix

cách tạo csr

Để tạo CSR trên Tomcat Linux/Unix, bạn tiến hành thực hiện theo các bước cụ thể sau:

Bước 1: Tạo keystore

Java Keystore (JKS) là kho lưu trữ chứng chỉ bảo mật. keytool là tiện ích tương tác dòng lệnh được sử dụng để tạo và quản lý keystore. Lệnh này có sẵn với cả JDK và JRE, do đó chúng ta chỉ cần đảm bảo rằng JDK hoặc JRE được cấu hình với biến môi trường PATH.

Để tạo keystore mới bằng keytool, bạn có thể cần thêm thư mục java /bin/ vào Path của mình trước khi lệnh keytool được nhận dạng. Sau khi hoàn thành, bạn thêm comment sau vào keytool:

keytool -genkey -keyalg RSA -alias tomcat -keystore /usr/local/ssl/keystore/server.jks -keysize 2048

Bây giờ, hãy điền một số thông tin liên quan đến tổ chức của mình để có thể tạo CSR và giúp CA xác thực danh tính:

  • Hãy nhập mật khẩu hai lần.
  • Khi bạn được hỏi với câu “What is your first and last name?”, hãy gõ tên miền cần mua SSL, chẳng hạn như www.tencongty.com.
  • Khi được hỏi “What is the name của organizational unit?”, hãy gõ bộ phận trong tổ chức sẽ xử lý chứng chỉ, chẳng hạn IT Center.
  • Khi được hỏi “What is the name của organization?”, hãy gõ tên của công ty (tiếng Anh hoặc tiếng Việt) đúng từng ký tự như được viết trong giấy phép đăng ký kinh doanh.
  • Khi được hỏi “What is the name của City or Locality?”, hãy điền Hà Nội hoặc bất kỳ thành phố nào đặt trụ sở của tổ chức kinh doanh.
  • Khi được hỏi “What is the name của State or Province?”, hãy gõ Hà Nội hoặc bất kỳ tỉnh thành nào mà trụ sở của tổ chức kinh doanh được đặt tại.
  • Khi được hỏi về “What is the two-letter country code for this unit?”, hãy gõ VN đại diện cho quốc gia Việt Nam.
  • Khi được hỏi “Is CN = www.tencongty.com, OU = IT Center, O = company name, L = Ha Noi, Ha Noi ST =, C = VN correct?”, hãy gõ “yes”.
  • Khi được hỏi “Enter key password for”, thì bạn hãy tiến hành nhập “changeit”.

Như vậy, keystore đã được tạo. Bạn có thể tham khảo hình ảnh dưới đây để hiểu rõ hơn về quy trình này.

tạo csr trên tomcat

Bước 2: Nhận SSL có chữ ký CA

Bạn không cần thực hiện bước này nếu có dự định sử dụng chứng chỉ SSL tự ký (Self-signed certificate). Nếu muốn mua SSL hợp lệ từ Cơ quan cấp chứng chỉ thì trước tiên, bạn cần tạo CSR bằng cách sử dụng lệnh dưới đây:

keytool -certreq -alias tomcat -file /usr/local/ssl/keystore/certreq.csr -keystore /usr/local/ssl/keystore/server.jks

Khi được yêu cầu nhập mật khẩu, bạn điền “changeit”. Hệ thống được tạo cho keystore CSR. 

Bước 3: Tạo order

Xác định vị trí và mở CSR mới được tạo, sau đó copy tất cả văn bản bao gồm cả “—–BEGIN CERTIFICATE REQUEST—–” và “—–END CERTIFICATE REQUEST—–”.

Sau đó, bạn quay trở lại biểu mẫu của nhà cung cấp chứng chỉ SSL và dán toàn bộ CSR để yêu cầu CA cấp chứng chỉ.

Như vậy, bạn đã hoàn thành việc tạo CSR trên Tomcat Linux/Unix. Nếu có bất kỳ câu hỏi liên quan đến SSL hoặc vấn đề xảy ra trong quá trình tạo và cài đặt chứng chỉ SSL, hãy kết nối với đội ngũ nhân viên chuyên nghiệp của HVN – Hệ sinh thái kiến tạo doanh nghiệp 4.0 – thông qua Hotline 024.9999.7777 để được hỗ trợ kịp thời.

0 0 đánh giá
Article Rating
Theo dõi
Thông báo của
guest

0 Comments
Phản hồi nội tuyến
Xem tất cả bình luận