Cấu hình chứng chỉ SSL Comodo PositiveSSL trên Web Server NGINX

Hôm trước mình đã hướng dẫn các bạn mua chứng chỉ SSL với giá hạt dẻ, trong bài này mình sẽ hướng dẫn các bạn cài đặt chứng chỉ SSL Comodo PositiveSSL lên Web Server NGINX.

Mua SSL Comodo giá rẻ

Bạn nào dùng webserver apache xem lại bài viết trên thuysys.com, có cả cách cấu hình dành cho CentOS 7 và Ubuntu 16.04. Nhìn chung cách làm tương tự, bạn chỉ cần thay đổi đường dẫn đến file chứng chỉ là xong.

Chứng chỉ sau khi mua muốn chạy được bạn cần 2 file.

  • Private Key: đây là key được tạo ra trong quá trình tạo file CSR (Certificate Signing Request). File này có sẵn trên server rồi, bạn xem lại bài trước để biết cách tạo private key.
  • Certificate Chian: là file được tạo ra từ việc gộp file www_thuysys_com.ca-bundlewww_thuysys_com.crt. Tên file có thể khác phụ thuộc vào việc domain đăng ký tên là gì. Hai file này sẽ được nhà cung cấp gửi cho bạn sau khi đăng ký SSL xong.

I. Cách tạo chứng chỉ SSL

Mua xong chứng chỉ, Comodo sẽ gửi chứng chỉ qua mail cho bạn, down về và giải nén bạn sẽ được 2 file.

File www_thuysys_com.ca-bundle

Đây là file chứng chỉ của CA, đơn vị cung cấp chứng chỉ cho thuysys.com để chứng minh rằng SSL của thuysys.com là do Comodo cung cấp. File có dạng như bên dưới.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

File www_thuysys_com.crt

Đây là file chứng chỉ của thuysys.com có dạng như bên dưới.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Như vậy chúng ta đã có hai file .ca-bundle.crt

Công việc tiếp theo là phải gộp hai file này thành một file duy nhất, trong bài này file gộp mình để tên là ssl_thuysys.crt.

Có hai cách gộp để tạo ra file ssl_thuysys.crt.

Trên Windows

Bạn có thể dùng trình soạn thảo văn bản notepad hoặc bất cứ text editor nào mở file www_thuysys_com.crt copy toàn bộ nội dung của file này paste vào đoạn đầu của file www_thuysys_com.ca-bundle tiếp theo save as để lưu thành một file có tên mới.

Sau đó dùng WinSCP đẩy file lên server.

Dùng WinSCP upload chứng chỉ lên Server

Trên Linux

Rất đơn giản bạn chạy lệnh sau cho mình.

cat www_thuysys_com.crt www_thuysys_com.ca-bundle > ssl_thuysys.crt

II. Cấu hình SSL trên NGINX

Nếu chưa biết các thông số cấu hình để sử dụng chứng chỉ SSL cho Web Server NGINX từ A đến Z như nào bạn đọc trước bài bên dưới cho mình.

Khi có đủ Private KeyCertificate Chain chúng ta sẽ bắt tay vào việc thay thế chứng chỉ Let’s Encrypt bằng chứng chỉ mua tại Comodo.

Bạn mở file cấu hình nginx cho website của bạn ra, của mình là vi /etc/nginx/conf.d/www.thuysys.conf

Tìm đến

ssl_certificate /etc/letsencrypt/live/thuysys.xyz/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/thuysys.xyz/privkey.pem;

Thay bằng

ssl_certificate /etc/nginx/cer/ssl_bundle.crt;
ssl_certificate_key /etc/nginx/cer/thuysys.com.key;

Restart lại NGINX

systemctl restart nginx.

Nếu cấu hình FastCGI Cache thì bạn xóa hết đi cho chắc, và đây là kết quả.

Chứng chi SSL Comodo

Chứng chỉ đến năm 2020 mới phải gia hạn, dùng tẹt tèn ten.

Vô cùng đơn giản, còn chờ gì nữa mà không chuyển sang HTTPS đảm bảo thứ hạng alexa cứ tăng vù vù không tụt đâu mà sợ.

Còn sợ tốc độ load web chậm do SSL thì làm theeo hướng dẫn này là xong.

Chúc các bạn thành công, có chỗ nào bán SSL giá rẻ hơn thì nhắn mình có gì còn gia hạn cho lần tới ^^.

Leave a Reply

Theme Elegant

Quà tặng !

 

Trọn bộ Elegant Theme.

Hơn 80 mẫu giao diện Wordpress chuyên nghiệp.

Thành công, check mail giúp mình