Bài viết này sẽ hướng dẫn cụ thể cho bạn cách để tạo CSR trên Tomcat Windows bằng lệnh keytool. Keytool của Tomcat là một tệp chức các mục liên quan đến bảo mật như khóa và chứng chỉ, sử dụng định dạng .jks (Java Keystore) cho các keystore. Hãy cùng tìm hiểu chi tiết hơn về lệnh này cũng như các bước tạo Certificate Signing request.
Tổng quan về SSL/TLS
Transport Layer Security (TLS) và Secure Sockets Layer (SSL) là những công nghệ cho phép trình duyệt web và máy chủ web giao tiếp qua kết nối bảo mật. Điều này có nghĩa là dữ liệu gửi đi sẽ được mã hóa bởi 1 bên, truyền đi, sau đó được giải mã bởi bên kia trước khi xử lý. Đây là quy trình hai chiều, đồng nghĩa với việc cả máy chủ và trình duyệt đều mã hóa tất cả các traffic trước khi gửi dữ liệu.
Một khía cạnh quan trọng khác của giao thức SSL/TLS là xác thực. Để kết nối giữa máy khách và server an toàn, máy chủ đó sẽ hiển thị cho trình duyệt web một bộ thông tin xác thực, dưới dạng chứng chỉ, làm bằng chứng cho thấy website đó là ai và có thể làm gì.
Do đó, tổ chức kinh doanh cần thiết đăng ký chứng chỉ SSL cho website của mình để khẳng định uy tín và mức độ uy tín với khách hàng. Trong hành trình mua và cài đặt chứng chỉ, bước đầu tiên và có vai trò vô cùng quan trọng chính là tạo CSR.
Chứng chỉ SSL
Để triển khai SSL, web server phải có chứng chỉ liên quan cho từng giao diện bên ngoài (địa chỉ IP) – chấp nhận kết nối an toàn. Điều đó có nghĩa là nó phải cung cấp một số loại đảm bảo hợp lý để chỉ ra tính hợp pháp của website, đặc biệt trước khi nhận bất kỳ thông tin quan trọng nào.
Giả sử chứng chỉ SSL như một hộ chiếu kỹ thuật số, nó sẽ cho biết trang web được liên kết với tổ chức nào, đồng thời cung cấp một số thông tin liên hệ cơ bản về chủ sở hữu hoặc quản trị viên trang web.
Chứng chỉ này được ký bằng mật mã, do đó rất khó để bất kỳ ai khác có thể giả mạo. Để chứng chỉ có thể hoạt động trong trình duyệt của khách truy cập mà không có cảnh báo, nó cần phải được ký bởi bên thứ ba đáng tin cậy – đó chính là Cơ quan cấp chứng chỉ (CA).
Để có được chứng chỉ đã ký, tổ chức kinh doanh phải chọn một CA và làm theo hướng dẫn để lấy certificate. Như đã đề cập ở trên, bước đầu tiên trong quá trình đăng ký chứng chỉ đó chính là tạo CSR.
Tạo CSR có vai trò như thế nào?
Có thể nói, việc tạo CSR là bước vô cùng quan trọng đối với hành trình đăng ký chứng chỉ SSL của doanh nghiệp. Lý do là gì?
- Bảo mật: CSR giúp đảm bảo tính bảo mật và tính xác thực cho website. Nó cung cấp cặp khóa bao gồm public key để mã hóa và private key để giải mã. Khi bạn tạo CSR, private key vẫn còn lưu trên server tạo một nơi an toàn.
- Tạo sự tin cậy: Chứng chỉ SSL rất cần thiết để tạo kết nối an toàn giữa máy chủ web và trình duyệt. Bằng cách tạo CSR và nhận chứng chỉ SSL đáng tin cậy từ CA, bạn chứng minh được rằng website của mình đã được xác thực và có thể bảo vệ dữ liệu người dùng một cách an toàn, từ đó xây dựng niềm tin và sự tín nhiệm với khách truy cập, cũng như khách hàng.
- Mã hóa: Khi tạo CSR, nó bao gồm public key được nhúng trong chứng chỉ SL. Khóa này sẽ mã hóa dữ liệu được truyền giữa máy chủ và trình duyệt của máy khác, đảm bảo rằng chỉ có private key mới có thể giải mã.
Chi tiết các bước tạo CSR trên Tomcat Windows
Để bắt đầu việc tạo CSR trên Tomcat Windows, người dùng cần tạo thư mục C: \ keystore trên máy chủ, sau đó mở command prompt và chuyển sang thư mục Java/bin (sử dụng phiên bản Java mới nhất là tốt nhất).
Tạo keystore
Tomcat hiện chỉ hoạt động trên keystore định dạng LKS, PKC11 hoặc PKC12. LKS là định dạng của “Java Keystore và được tạo bởi tiện ích dòng lệnh keytool.
Để tạo keystore mới bằng công cụ keytool, bạn cần thêm thư mục java/bin vào PATH trước khi lệnh keytool được nhận dạng. Sau khi hoàn tất, hãy nhập comment sau vào keytool:
keytool -genkey -keyalg RSA -alias tomcat -keystore c:\keystore\server.jks -keysize 2048
Sau đó, bạn tiếp tục điền một số thông tin cần thiết có liên quan đến tổ chức của mình để có thể tạo CSR và cài đặt chứng chỉ SSL suôn sẻ:
- Đầu tiên, hãy nhập hai lần mật khẩu khi được yêu cầu.
- Tại dòng “What is your first and last name?”, bạn hãy nhập tên miền miền cần đăng ký chứng chỉ SSL, chẳng hạn www.tenmien.com.
- Tại dòng “What is the name của organizational unit?”, bạn hãy nhập bộ phận của tổ chức sẽ chịu trách nhiệm xử lý chứng chỉ, chẳng hạn IT.
- Tại dòng “What is the name của organization?”, bạn hãy nhập vào tên đầy đủ của tổ chức được ghi trong giấy đăng ký kinh doanh (chọn tên tiếng Anh hoặc tiếng Việt). Lưu ý: cần nhập đúng từng ký tự.
- Tại dòng “What is the name của City or Locality?”, bạn tiến hành nhập tên thành phố nơi mà tổ chức đặt trụ sở, chẳng hạn Ha Noi.
- Tại dòng “What is the name của State or Province?”, bạn nhập tỉnh thành nơi tổ chức đặt trụ sở, chẳng hạn Ha Noi.
- Tại dòng “What is the two-letter country code for this unit?”, bạn hãy nhập quốc gia nơi tổ chức đặt trụ sở, chẳng hạn VN.
- Khi được hỏi “Is CN = www.tenmien.com, OU = IT Center, O = company name, L = Ha Noi, Ha Noi ST =, C = VN correct?”, hãy gõ “yes”.
- Tại dòng “Enter key password for”, hãy gõ “changeit”.
Như vậy, tệ keystore có tên site_name.jks đã được tạo trong thư mục làm việc hiện tại của bạn. Hãy cùng tham khảo hình ảnh dưới đây để dễ dàng hình dung cho bước này:
Tạo CSR từ keystore
Tiếp theo, bạn sử dụng keytool để tạo CSR từ keystore của mình, bằng cách nhập lệnh sau:
keytool -certreq -alias tomcat -file c:\keystore\certreq.csr -keystore c:\keystore\server.jks
Sau đó, khi được hỏi mật khẩu, hãy nhập “changeit”. Tệp CSR có tên csr.txt đã được tạo thành công trong thư mục hiện tại của bạn.
Hãy mở CSR bằng trình soạn thảo văn bản, sau đó sao chép và dán văn bản (bao gồm tag BEGIN và END) vào biểu mẫu order trên website của nhà cung cấp chứng chỉ SSL. Chú ý cẩn thận khi lưu tệp keystore vì chứng chỉ sẽ được cài đặt vào đó sau.
Với hướng dẫn chi tiết trên, hy vọng rằng bạn có thể tạo CSR trên Tomcat Windows để yêu cầu CA cấp chứng chỉ SSL mà không gặp vấn đề gì. Nếu có bất kỳ câu hỏi nào liên quan đến nội dung trong bài viết, hãy kết nối ngay với HVN – Hệ sinh thái kiến tạo doanh nghiệp 4.0 – thông qua Hotline 024.9999.7777 để đội ngũ nhân viên chuyên nghiệp với trình độ chuyên môn cao của chúng tôi hỗ trợ giải đáp kịp thời.