វិញ្ញាបនបត្រ SSL គឺចាំបាច់សម្រាប់ផលិតផល AWS ជាច្រើន រួមទាំង AWS Elastic Beanstalk, Elastic Load Balancing, CloudFront និង AWS OpsWorks ។ អត្ថបទនេះផ្តល់ការណែនាំអំពីការបង្កើតសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ (CSR) ដែលសមរម្យសម្រាប់សេវាកម្មទាំងនេះ។
CSR ដែលតំណាងឱ្យសំណើចុះហត្ថលេខាលើវិញ្ញាបនបត្រ មានព័ត៌មានដែលបានអ៊ិនគ្រីបអំពីអ្នកដាក់ពាក្យសុំវិញ្ញាបនបត្រ និងឈ្មោះដែនដែលពាក់ព័ន្ធ។
នៅពេលទិញវិញ្ញាបនបត្រ SSL វាចាំបាច់ក្នុងការធ្វើឱ្យ SSL ដំណើរការ ហើយបញ្ជូន CSR ទៅ CA (Certificate Authority) កំឡុងពេលដំណើរការ។ CA ប្រើប្រាស់ទិន្នន័យ CSR សម្រាប់សុពលភាពវិញ្ញាបនបត្រ។
សោឯកជន RSA ត្រូវបានបង្កើតរួមជាមួយ CSR ដែលបម្រើតួនាទីយ៉ាងសំខាន់ក្នុង ការអ៊ិនគ្រីបទិន្នន័យ។ វាមានសារៈសំខាន់ណាស់ក្នុងការការពារសោឯកជននៅលើ server ដើម្បីការពារការសម្របសម្រួល។
ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាខាងក្រោមគឺចាំបាច់សម្រាប់ការបង្កើតវិញ្ញាបនបត្រ និងការ hosting ទៅកាន់ AWS៖
- OpenSSL៖ ប្រើសម្រាប់បង្កើត Private Keys និង CSRs។
- PowerShell ឬ cmd៖ ឧបករណ៍បន្ទាត់ពាក្យបញ្ជាស្តង់ដារសម្រាប់ម៉ាស៊ីនមេវីនដូ។
- ចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា AWS (CLI)៖ បើកដំណើរការផ្ទុកវិញ្ញាបនបត្រទៅ AWS។
វិធីសាស្រ្តពីរសម្រាប់បង្កើត CSRs ត្រូវបានរៀបរាប់ខាងក្រោម៖
ការបង្កើត CSR ដោយប្រើ OpenSSL
ជម្រើសនេះត្រូវបានប្រើជាធម្មតានៅលើឧទាហរណ៍ Amazon ដែលមានមូលដ្ឋានលើ Linux ព្រោះជាធម្មតាពួកគេមានការដំឡើងឧបករណ៍ដែលត្រូវការរួចហើយ ឬវាងាយស្រួលក្នុងការរៀបចំ។ ពាក្យបញ្ជាទាំងអស់គួរតែដំណើរការតាមរយៈ CLI ឬឧបករណ៍បន្ទាត់ពាក្យបញ្ជាភាគីទីបីណាមួយដែលភ្ជាប់ជាមួយឧទាហរណ៍របស់អ្នក (ឧទាហរណ៍ Putty ឬកម្មវិធី Terminal នៅលើ MacOS និង Linux) ។
ចំពោះ Private Key នបង្កើតជាមុន ហើយបន្ទាប់មក CSR ត្រូវបានបង្កើតដោយផ្អែកលើវា។
1) ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីបង្កើតកូនសោរ៖
sudo openssl genrsa -out private.key 2048
ដែលជាកន្លែងដែល 2048 គឺជាទំហំគន្លឹះ។ ប្រសិនបើអ្នកមិនបញ្ជាក់ទំហំទេ គ្រាប់ចុច 2048-bit ត្រូវបានបង្កើត។
អ្នកអាចបញ្ជាក់ឈ្មោះណាមួយសម្រាប់ឯកសារសោ (private.key) ដើម្បីធ្វើឱ្យវាអាចស្គាល់បានក្នុងករណីដែលអ្នកមាន SSLs ច្រើនត្រូវបានរក្សាទុកនៅលើម៉ាស៊ីនមេ។
ប្រសិនបើអ្នកចង់បង្កើត SSL ECDSA អ្នកអាចប្រើពាក្យបញ្ជានេះជំនួសវិញ (នេះគ្រាន់តែជាជម្រើសដែលបានណែនាំ — មានការដំឡើងផ្សេងទៀតដែលអ្នកអាចប្រើផងដែរ)៖
sudo openssl ecparam -genkey -name secp384r1 -out private.key -genkey
2) CSR ត្រូវបានបង្កើតដោយផ្អែកលើ Private Key ។ ពាក្យបញ្ជាខាងក្រោមត្រូវបានប្រើសម្រាប់ការបង្កើត CSR៖
sudo openssl req -new -key private.key -out csr.pem
2.1) ជាជម្រើសអ្នកអាចប្រើពាក្យបញ្ជាមួយដើម្បីបង្កើត RSA Private Key និង CSR៖
sudo openssl req -new -newkey rsa:2048 -nodes -keyout private.key -out csr.pem
លទ្ធផលនឹងមើលទៅស្រដៀងនឹងឧទាហរណ៍ខាងក្រោម៖
អ្នកហៀបនឹងត្រូវបានស្នើសុំឱ្យបញ្ចូលព័ត៌មានដែលនឹងបញ្ចូលទៅក្នុងសំណើវិញ្ញាបនបត្ររបស់អ្នក។
អ្វីដែលអ្នកហៀបនឹងបញ្ចូលគឺជាអ្វីដែលគេហៅថា Distinguished Name ឬ DN។
មានវាលមួយចំនួន ប៉ុន្តែអ្នកអាចទុកឲ្យនៅទទេ។
សម្រាប់វាលខ្លះនឹងមានតម្លៃលំនាំដើម។
ប្រសិនបើអ្នកគ្រាន់តែចុច Enter នោះវាលនឹងទុកចោល។
2.2) ព័ត៌មានខាងក្រោមចាំបាច់ត្រូវបំពេញ។ យើងសូមផ្តល់អនុសាសន៍យ៉ាងមុតមាំក្នុងការបំពេញគ្រប់វាលទាំងអស់។ CSR ដែលមានវាលទទេណាមួយអាចត្រូវបានបដិសេធដោយប្រព័ន្ធរបស់យើង ឬដោយអាជ្ញាធរវិញ្ញាបនបត្រ។
ចំណាំ៖ សម្រាប់ប្រភេទ SSLs ដែលមានសុពលភាព (OV) ឬ Extended Validation (EV) ត្រូវប្រាកដថាប្រើឈ្មោះក្រុមហ៊ុនស្របច្បាប់ត្រឹមត្រូវ។ ប្រសិនបើវាជា CSR ដែលបានចេញផ្សាយឡើងវិញ សូមប្រាកដថាព័ត៌មានលម្អិតរបស់ក្រុមហ៊ុនគឺដូចគ្នាទៅនឹងអ្វីដែលបានប្រើពីមុន។
ចំណាំ៖ សូមប្រើតែអក្សរអក្សរក្រមប៉ុណ្ណោះ។ CSR ដែលមាននិមិត្តសញ្ញាពិសេសដូចជា Ä ឬ È នឹងមិនត្រូវបានគេទទួលស្គាល់ទេ។ តួអក្សរពិសេសបែបនេះគួរតែត្រូវបានជំនួសដោយអាណាឡូករបស់ពួកគេពីអក្សរក្រមលេខដូចជា A និង E ។
ឈ្មោះប្រទេស: ប្រើ ប្រើលេខកូដប្រទេសដែលមានអក្សរ 2 ត្រឹមត្រូវ។
.
រដ្ឋនៃខេត្ត: ប្រើឈ្មោះរដ្ឋ ឬខេត្តរបស់អ្នក ឬប្រើឈ្មោះតំបន់ ប្រសិនបើអ្នកមិនមាន។
ឈ្មោះតំបន់: ប្រើទីក្រុង ទីក្រុង ឬឈ្មោះតំបន់ផ្សេងទៀត។
ឈ្មោះអង្គការ: ប្រើឈ្មោះក្រុមហ៊ុន/អង្គការរបស់អ្នក ឬដាក់ NA (មិនអាចអនុវត្តបាន)។
Organizational Unit: ប្រើអង្គភាព ឬឈ្មោះនាយកដ្ឋានរបស់អ្នក ឬដាក់ NA (មិនអាចអនុវត្តបាន)។
Common Name: មានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់ពេញលេញ ឈ្មោះដែន ដែលអ្នកត្រូវការដើម្បីធានា, www.example.com
ចំណាំ៖ នៅពេលបំពេញក្នុងវាល ឈ្មោះទូទៅ វាជាការសំខាន់ក្នុងការចងចាំថាវាគួរតែជាឈ្មោះដែនពិតប្រាកដដែលអ្នកត្រូវការដើម្បីធានា។ វាគួរតែមើលទៅដូចជា www.example.com, example.com ឬដូច mail.example.com ប្រសិនបើអ្នកត្រូវការធានាដែនរង។
សម្រាប់វិញ្ញាបនបត្រ Wildcard ឈ្មោះទូទៅគួរតែត្រូវបានបញ្ជាក់ជា *.example.com ឬ *.sub.example.com ។
អាស័យដ្ឋានអ៊ីម៉េល៖ អាសយដ្ឋានអ៊ីមែលរបស់អ្នកគ្រប់គ្រងម៉ាស៊ីនមេ៖ ឧទាហរណ៍ [អ៊ីមែលការពារ] អាសយដ្ឋានអ៊ីមែលនេះនឹងត្រូវបានទៅយកដោយប្រព័ន្ធជាទំនាក់ទំនងរដ្ឋបាលសម្រាប់ឯកសារវិញ្ញាបនបត្រ SSL ដែលត្រូវផ្ញើទៅនៅពេលដែលវិញ្ញាបនបត្រត្រូវបានចេញ។ អ្នកនឹងអាចផ្លាស់ប្តូរវាកំឡុងពេលធ្វើឱ្យសកម្ម SSL ផងដែរ។
ពាក្យសម្ងាត់សម្រាប់ការប្រកួតប្រជែង និងឈ្មោះក្រុមហ៊ុនជាជម្រើសគឺជាវាលកេរ្តិ៍ដំណែល ហើយអាចរំលងបាន។
វិញ្ញាបនបត្រភាគច្រើនយើងផ្តល់សុវត្ថិភាពទាំង www.example.com និង example.com ដោយស្វ័យប្រវត្តិ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកមានការសង្ស័យណាមួយ យើងសូមណែនាំឱ្យពិនិត្យមើលវិធីត្រឹមត្រូវដើម្បីកំណត់ឈ្មោះដែនរបស់អ្នកសម្រាប់វិញ្ញាបនបត្រជាក់លាក់មួយជាមួយក្រុមជំនួយរបស់យើង។
3) ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីបើកឯកសារ CSR ដែលអ្នកទើបតែបង្កើត៖
cat csr.pem
នៅក្នុងលទ្ធផលអ្នកនឹងឃើញ CSR នៅក្នុងអត្ថបទធម្មតា។ ចម្លងអត្ថបទទាំងមូលដោយចាប់ផ្តើមដោយបន្ទាត់ “—–ចាប់ផ្តើមការស្នើសុំវិញ្ញាបនបត្រ—–” ហើយប្រើវាសម្រាប់ការធ្វើឱ្យសកម្មវិញ្ញាបនបត្រ។ នៅពេលដែលវិញ្ញាបនបត្រត្រូវបានចេញដោយអាជ្ញាធរវិញ្ញាបនប័ត្រ អ្នកអាចបន្តការដំឡើងរបស់វា។
ដំណើរការគឺដូចគ្នាសម្រាប់ការចែកចាយ Linux ទាំងអស់ រួមទាំង Amazon AMI Linux ផងដែរ។
ចំណាំ៖ ប្រព័ន្ធប្រតិបត្តិការ Windows មានដំណើរការស្រដៀងគ្នា ដែលអាចធ្វើបានតាមវិធីនេះ។
ការព្រមាន៖ សូមចងចាំចំណុចខាងក្រោមមុនពេលចាប់ផ្តើមដំណើរការ៖
សរសេរថតដែល CSR ត្រូវបានបង្កើត ព្រោះថា Private Key សម្រាប់ SSL នឹងត្រូវបានរក្សាទុកនៅទីនោះ។ អ្នកនឹងត្រូវដឹងពីកន្លែងដែលសោស្ថិតនៅ ដើម្បីដំឡើង SSL ។
ប្រសិនបើអ្នកមិនប្រាកដថាវាជាថតមួយណានោះ អ្នកអាចពិនិត្យមើលវាដោយប្រើពាក្យបញ្ជា pwd៖
find / -type f -name “*.csr”
or
find / -type f -name “*.pem”
(depending on what extension was used)
ប្រើប្រាស់ជំនាញ Cloud Computing ដ៏រឹងមាំរបស់ 1Byte ដើម្បីជំរុញអាជីវកម្មរបស់អ្នកតាមរបៀបដ៏ធំមួយ
1Byte ផ្តល់សេវាកម្មចុះឈ្មោះដែនពេញលេញ ដែលរួមមានបុគ្គលិកផ្នែកគាំទ្រ ការថែទាំអតិថិជនដែលមានការអប់រំ ការចំណាយសមរម្យ ក៏ដូចជាឧបករណ៍ស្វែងរកតម្លៃដែន។
បង្កើនសុវត្ថិភាពលើអ៊ីនធឺណិតរបស់អ្នកជាមួយនឹងសេវាកម្ម SSL របស់ 1Byte ។ ការការពារដែលមិនអាចប្រៀបផ្ទឹមបាន ការរួមបញ្ចូលដោយគ្មានថ្នេរ និងសន្តិភាពនៃចិត្តសម្រាប់ដំណើរឌីជីថលរបស់អ្នក។
មិនថា cloud server កញ្ចប់ដែលអ្នកជ្រើសរើស អ្នកអាចពឹងផ្អែកលើ 1Byte សម្រាប់ភាពជឿជាក់ ភាពឯកជន សុវត្ថិភាព និងបទពិសោធន៍គ្មានភាពតានតឹង ដែលមានសារៈសំខាន់សម្រាប់អាជីវកម្មជោគជ័យ។
ការជ្រើសរើសពួកយើងជាអ្នកផ្តល់សេវាបង្ហោះចែករំលែករបស់អ្នកអនុញ្ញាតឱ្យអ្នកទទួលបានតម្លៃដ៏ល្អឥតខ្ចោះសម្រាប់ប្រាក់របស់អ្នក ខណៈពេលដែលរីករាយនឹងកម្រិតគុណភាព និងមុខងារដូចគ្នានឹងជម្រើសដែលមានតម្លៃថ្លៃជាង។
តាមរយៈកម្មវិធីដែលមានភាពបត់បែនខ្ពស់ 1Byte ដ៏ទំនើប cloud hosting ផ្តល់ដំណោះស្រាយដ៏អស្ចារ្យដល់អាជីវកម្មខ្នាតតូច និងមធ្យមលឿនជាងមុន សុវត្ថិភាពជាងមុន និងក្នុងតម្លៃកាត់បន្ថយ។
បន្តនាំមុខការប្រកួតប្រជែងជាមួយនឹងសេវាកម្មបង្ហោះ WordPress ប្រកបដោយភាពច្នៃប្រឌិតរបស់ 1Byte ។ ផែនការដែលសំបូរទៅដោយលក្ខណៈពិសេសរបស់យើង និងភាពជឿជាក់ដែលមិនអាចប្រៀបផ្ទឹមបានធានាថាគេហទំព័ររបស់អ្នកមានភាពលេចធ្លោ និងផ្តល់នូវបទពិសោធន៍អ្នកប្រើប្រាស់ដែលមិនអាចបំភ្លេចបាន។
ក្នុងនាមជាដៃគូ AWS ផ្លូវការ ទំនួលខុសត្រូវចម្បងមួយរបស់យើងគឺជួយអាជីវកម្មក្នុងការធ្វើទំនើបកម្មប្រតិបត្តិការរបស់ពួកគេ និងប្រើប្រាស់ច្រើនបំផុតក្នុងការធ្វើដំណើររបស់ពួកគេទៅកាន់ពពកជាមួយ AWS ។
FURTHER READING: |
| 1. របៀបបង្កើតកូដ CSR សម្រាប់ការធ្វើឱ្យ SSL ដំណើរការ |
| 2. ការបង្កើត CSR នៅលើ Windows ដោយប្រើ Certeq |
| 3. ការបង្កើត CSR ក្នុង CWP ៧ |
ការបង្កើត CSR ដោយប្រើ PowerShell
វិធីសាស្រ្តនេះត្រូវបានប្រើនៅលើម៉ាស៊ីនដែលមានមូលដ្ឋាន Window ព្រោះវាមានលក្ខណៈពិសេសឧបករណ៍បន្ទាត់ពាក្យបញ្ជាដែលត្រូវការរួចហើយ ហើយការផ្ទុកសំណើវិញ្ញាបនបត្រត្រូវបានបង្កើតជំនួសឱ្យសោឯកជន។
XNUMX) បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ example.inf (អ្នកអាចប្រើឈ្មោះឯកសារណាមួយ) នៅលើ server window បស់អ្នកជាមួយនឹងព័ត៌មានលម្អិត CSR ដូចឧទាហរណ៍នេះ៖
[NewRequest]
ប្រធានបទ = “/CN=*ឈ្មោះទូទៅ*/C=*ប្រទេស*/ST=*រដ្ឋ ឬខេត្ត*/L=*មូលដ្ឋាន ឬទីក្រុង*/O=*ក្រុមហ៊ុន*/OU=*អង្គភាពស្ថាប័ន*”
អាចនាំចេញបាន = ពិត
ប្រវែងគន្លឹះ = *ទំហំគ្រាប់ចុចជាប៊ីត*
KeySpec = ១
ការប្រើប្រាស់គន្លឹះ = 0xf0
MachineKeySet = ពិត
[RequestAttributes]
CertificateTemplate=”WebServer”
[ផ្នែកបន្ថែម]
OID = 1.3.6.1.5.5.7.3.1
OID = 1.3.6.1.5.5.7.3.2
ជំនួសតម្លៃទាំងអស់ដែលបានសម្គាល់ដោយ '**' ជាមួយនឹងព័ត៌មានលម្អិតពិតប្រាកដរបស់អ្នក។
2) រក្សាទុកវាហើយដំណើរការពាក្យបញ្ជាខាងក្រោមក្នុង cmd ឬ PowerShell៖
certreq -new example.inf csr.txt
3) បើកឯកសារដោយប្រើកម្មវិធីនិពន្ធអត្ថបទណាមួយ (យើងប្រើ Notepad ក្នុងឧទាហរណ៍នេះព្រោះវាតែងតែមានវត្តមាននៅលើ Windows) ឬប្រើពាក្យបញ្ជាខាងក្រោម៖
notepad csr.txt
ចំណាំ៖ ប្រសិនបើអ្នកមានគម្រោងនាំចូល SSL ដោយប្រើកម្មវិធីគ្រប់គ្រងវិញ្ញាបនបត្រ AWS (ACM) វាគាំទ្រតែគ្រាប់ចុច XNUMX និងហួសសុពលភាព XNUMX-bit ប៉ុណ្ណោះ៕