ការដំឡើងវិញ្ញាបនបត្រ SSL នៅលើ httpd (CentOS)

ជំហានដំឡើង

1) បើកដំណើរការការគាំទ្រ SSL/TLS នៅលើ Apache

ឥឡូវនេះ យើងត្រូវប្រាកដថា ការគាំទ្រ SSL/TLS ត្រូវបានបើកនៅលើ Server ។ សម្រាប់បម្រើការតភ្ជាប់ដែលមានសុវត្ថិភាព ម៉ូឌុល "mod_ssl" ត្រូវបានប្រើ។ ដើម្បីពិនិត្យមើលថាតើវាត្រូវបានដំឡើងនៅលើ Server សូមប្រើពាក្យបញ្ជាខាងក្រោម៖

httpd -M | grep ssl

ប្រសិនបើម៉ូឌុលនេះត្រូវបានដំឡើង នោះ Server នឹងឆ្លើយតបដូចខាងក្រោម៖

ប្រសិនបើ Server មិនបង្ហាញម៉ូឌុល SSL ណាមួយនៅក្នុងលទ្ធផលទេ វានឹងចាំបាច់ក្នុងការដំឡើង mod_ssl ។

ប្រើកម្មវិធីគ្រប់គ្រងកញ្ចប់ "yum" ដើម្បីទាញយក និងបើកដំណើរការសមាសភាគដែលត្រូវការ។ នេះជាពាក្យបញ្ជាសាមញ្ញសម្រាប់ធ្វើដូចនេះ៖

sudo yum ដំឡើង mod_ssl

បញ្ជាក់ការដំឡើងដោយវាយ "y" ហើយចុចគ្រាប់ចុច "Enter" ។

បន្ទាប់ពីម៉ូឌុលត្រូវបានដំឡើងដោយជោគជ័យ ប្រសិនបើមិនមាន SSLs ដែលបានកំណត់រចនាសម្ព័ន្ធនៅលើម៉ាស៊ីនមេនេះនៅឡើយទេ ពាក្យបញ្ជា “httpd -S” អាចឆ្លើយតបជាមួយនឹងសារកំហុសទាក់ទងនឹងវិញ្ញាបនបត្រ SSL ដែលបាត់៖

ឯកសារកំណត់រចនាសម្ព័ន្ធ SSL ថ្មីដែលបង្កើតដោយស្វ័យប្រវត្តិត្រូវបានសម្គាល់ដោយពណ៌បៃតង។ វាត្រូវបានបង្កើតកំឡុងពេលដំឡើងសមាសភាគ "mod_ssl" ។

ទីតាំងលំនាំដើម និងឈ្មោះនៃឯកសារកំណត់រចនាសម្ព័ន្ធ SSL គឺ /etc/httpd/conf.d/ssl.conf

ប្រសិនបើវិញ្ញាបនបត្រ SSL ត្រូវបានដំឡើងពីមុន អ្នកនឹងឃើញផ្លូវនៃឯកសារកំណត់រចនាសម្ព័ន្ធដែលបានប្រើបច្ចុប្បន្ននៅជិតចំណុចពាក់ព័ន្ធ domain នៅក្នុងតម្លៃបញ្ចេញ httpd -S:

ឯកសារកំណត់រចនាសម្ព័ន្ធគឺជាឯកសារដែលយើងត្រូវផ្តល់ផ្លូវទៅកាន់វិញ្ញាបនបត្រ SSL ឯកសារ CA Bundle និងឯកសារ​ Private key។

ចំណាំ (Note)៖ ដើម្បីនៅខាងសុវត្ថិភាព អ្នកអាចរក្សាទុកឯកសារដើមជាការបម្រុងទុក ដូច្នេះអ្នកអាចបង្កើតឯកសារថ្មីដោយសុវត្ថិភាពប្រសិនបើចាំបាច់។ នេះអាចត្រូវបានធ្វើដោយដំណើរការពាក្យបញ្ជាដូចខាងក្រោម:

mv /path/to/old_filename /path/to/new_filename

តាមរយៈការធ្វើដូចនេះ យើងកំពុង "ផ្លាស់ទី" ឯកសាររបស់យើងទៅកាន់ទីតាំងថ្មីរបស់វា ដែលរួមមានឈ្មោះឯកសារចុងក្រោយរបស់វា។

ក្នុងករណីសាកល្បងរបស់យើង ពាក្យបញ្ជានឹងមានៈ

mv /etc/httpd/conf.d/ssl.conf /etc/httpd/conf.d/ssl.conf.បម្រុងទុក

កំណែឯកសារកំណត់រចនាសម្ព័ន្ធដំបូងនឹងត្រូវប្តូរឈ្មោះទៅជា ssl.conf. បម្រុងទុកហើយអ្នកអាចចាប់ផ្តើមកែសម្រួល ssl.conf file ដោយសេរីដោយមិនខ្លាចក្នុងការបំបែកអ្វីមួយ ចាប់តាំងពីអ្នកមានឯកសារកំណត់រចនាសម្ព័ន្ធការងារពីមុន ដែលអាចត្រូវបានស្ដារឡើងវិញប្រសិនបើចាំបាច់។

2) កំណត់រចនាសម្ព័ន្ធ webserver

ប្រសិនបើវិញ្ញាបនបត្រ SSL មិនត្រូវបានដំឡើងនៅលើ Server ពីមុនទេ វានឹងចាំបាច់ក្នុងការបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ SSL ថ្មី។

វាអាចត្រូវបានធ្វើដោយប្រើកម្មវិធីនិពន្ធអត្ថបទដ៏ពេញនិយមមួយដូចជា nano, vi ជាដើម។
ពាក្យបញ្ជាសម្រាប់ការបង្កើតឯកសារនឹងជា nano ssl.conf ឬ vim ssl.conf រៀងគ្នា។
យើងស្នើឱ្យបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ SSL នៅក្នុងផ្លូវខាងក្រោម៖

/etc/httpd/conf.d/ssl.conf

ប្រសិនបើអ្នកបានបង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធរួចហើយ សូមបើកវាសម្រាប់កែសម្រួលជំនួសឱ្យការបង្កើតឯកសារថ្មី។ យើងស្នើឱ្យបង្កើតការបម្រុងទុកនៃឯកសារកំណត់រចនាសម្ព័ន្ធដើម្បីឱ្យមានការបម្រុងទុកដំណើរការដើម្បីត្រឡប់ការផ្លាស់ប្តូរប្រសិនបើចាំបាច់។ ដើម្បីបង្កើតការបម្រុងទុក ចម្លងឯកសារកំណត់រចនាសម្ព័ន្ធចាស់ដោយប្រើពាក្យបញ្ជាខាងក្រោម៖

cp /path/to/ssl.conf /path/to/ssl.conf.បម្រុងទុក

បន្ទាប់ពីនោះ សូមពិនិត្យមើលខ្លឹមសារឯកសារ និងធានាថាវាមានបន្ទាត់ និងតម្លៃចាំបាច់ទាំងអស់ពីឯកសារកំណត់រចនាសម្ព័ន្ធឧទាហរណ៍សម្រាប់កំណត់រចនាសម្ព័ន្ធការតភ្ជាប់សុវត្ថិភាព។
សម្រាប់ឯកសារថ្មី សូមបន្ថែមបន្ទាត់ខាងក្រោម ត្រូវប្រាកដថាកែប្រែពួកវាជាមួយនឹងតម្លៃពិតប្រាកដនៃឈ្មោះដែន ឯកសារ root និងផ្លូវទៅកាន់វិញ្ញាបនបត្រ SSL Private Key និងកញ្ចប់ CA ។

នេះជាឧទាហរណ៍ឯកសារកំណត់រចនាសម្ព័ន្ធ៖

Listen 443

ឈ្មោះម៉ាស៊ីនមេ (ឈ្មោះ DOMAIN នៃគេហទំព័រ)
DocumentRoot (ថតឫសនៃគេហទំព័រ)

SSLEngine បើក
SSLCertificateFile (ផ្លូវវិញ្ញាបនប័ត្រ)
SSLCertificateKeyFile (ផ្លូវសោឯកជន)
SSLCertificateChainFile (CA Bundle PATH)

ប្រសិនបើមានគេហទំព័រជាច្រើនត្រូវបានបង្ហោះនៅលើ Server ដូចគ្នា ត្រូវប្រាកដថាបន្ថែមផ្នែក <VirtualHost *:443> ដាច់ដោយឡែកសម្រាប់គេហទំព័រដែលត្រូវគ្នា។ ទោះយ៉ាងណាក៏ដោយ សូមចងចាំថា Listen 443 គួរតែមានវត្តមានតែម្តងគត់នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធទាំងមូល។

ក្នុងករណីរបស់យើង ឯកសារកំណត់រចនាសម្ព័ន្ធមើលទៅដូចតទៅ៖

Listen 443

ServerName example.com
DocumentRoot /var/www/html

SSLEngine បើក
SSLCertificateFile /etc/ssl/1.crt
SSLCertificateKeyFile /etc/ssl/1.key
SSLCertificateChainFile /etc/ssl/1.ca-bundle

3) ពិនិត្យឯកសារកំណត់រចនាសម្ព័ន្ធ និងចាប់ផ្តើម webserver ឡើងវិញ

ឥឡូវនេះ ត្រូវប្រាកដថាពិនិត្យមើលវាក្យសម្ព័ន្ធឯកសារដោយដំណើរការពាក្យបញ្ជានេះ៖

httpd -t

ប្រសិនបើពាក្យបញ្ជាឆ្លើយតបដោយ "វាក្យសម្ព័ន្ធយល់ព្រម" នោះអ្នកមានសេរីភាពក្នុងការចាប់ផ្ដើមសេវាកម្ម Apache ឡើងវិញ។ ដើម្បីធ្វើដូចនេះដំណើរការពាក្យបញ្ជា:

សេវា sudo httpd ចាប់ផ្តើមឡើងវិញ

ប្រសិនបើលទ្ធផលពាក្យបញ្ជាបង្ហាញកំហុសមួយចំនួន យើងស្នើឱ្យពិនិត្យពីរដងថាជំហានដំឡើងទាំងអស់ត្រូវបានធ្វើបានត្រឹមត្រូវ។ ទៅកាន់ផ្នែកគន្លឹះ និងការដោះស្រាយបញ្ហានៃការណែនាំនេះ សម្រាប់ជំហានបន្ថែម។

នៅពេលចាប់ផ្តើមឡើងវិញ Apache Server គួរតែបន្ថែមឯកសារកំណត់រចនាសម្ព័ន្ធ SSL ដែលទើបបង្កើតថ្មីទៅក្នុងការកំណត់របស់វា។ ដើម្បីពិនិត្យមើលវា ដំណើរការពាក្យបញ្ជាខាងក្រោម៖

httpd -S

រួចរាល់! គេហទំព័រនេះត្រូវបានធានា។ ការដំឡើងអាចត្រូវបានពិនិត្យដោយ ឧបករណ៍ពិនិត្យ ssl.

មិនមានសកម្មភាពជាកាតព្វកិច្ចបន្ថែមទៀតសម្រាប់ការធានាឈ្មោះដែនរបស់អ្នកទេ ទោះជាយ៉ាងណាក៏ដោយ អ្នកប្រហែលជាចង់រៀបចំការបញ្ជូនបន្ត HTTPS សម្រាប់គេហទំព័រដើម្បីប្តូរទៅកំណែដែលមានសុវត្ថិភាពដោយស្វ័យប្រវត្តិដោយមិនចាំបាច់បញ្ចូល https:// ដោយដៃទៅក្នុងរបារអាសយដ្ឋានកម្មវិធីរុករក។

ប្រសិនបើមានបញ្ហាជាមួយការដំឡើង ត្រូវប្រាកដថាពិនិត្យមើលការណែនាំនេះម្តងមួយជំហាន ដើម្បីជៀសវាងកំហុស។ ត្រូវប្រាកដថាពិនិត្យមើលផ្នែកដោះស្រាយបញ្ហាផងដែរ។

គន្លឹះ និងដំណោះស្រាយបញ្ហា

ប្រសិនបើអ្នកប្រឈមមុខនឹងបញ្ហាដែលទាក់ទងនឹង SSL ជាមួយគេហទំព័រដែលមានមូលដ្ឋានលើ Apache របស់អ្នក នេះជាវិធីដោះស្រាយបញ្ហាកំហុសដែលគេស្គាល់ច្រើនបំផុតដែលអាចកើតឡើងក្នុងអំឡុងពេលចាប់ផ្តើមឡើងវិញ៖

Tip 1

ប្រសិនបើអ្នកប្រឈមមុខនឹងកំហុស 'ការអនុញ្ញាតត្រូវបានបដិសេធ' នៅពេលដំណើរការពាក្យបញ្ជា សូមព្យាយាមបន្ថែមប៉ារ៉ាម៉ែត្រ 'sudo' មុនពេលពាក្យបញ្ជា ហើយដំណើរការវាម្តងទៀត។

ឧទាហរណ៍ ប្រសិនបើ nano ssl.conf បង្ហាញលទ្ធផលក្នុង Permission ត្រូវបានបដិសេធ អ្នកអាចសាកល្បងដំណើរការ sudo nano ssl.conf ជំនួសវិញ។

ការបន្ថែម sudo នឹងផ្តល់ឱ្យអ្នកនូវការអនុញ្ញាត 'superuser' និងសមត្ថភាពក្នុងការអនុវត្តសកម្មភាពមួយចំនួនដែលតម្រូវឱ្យអ្នកប្រើប្រាស់ root ដោយគ្មានការចូលប្រើជា root ពិតប្រាកដ។

សូមចងចាំថា អ្នកប្រហែលជាត្រូវបញ្ចូលពាក្យសម្ងាត់សម្រាប់អ្នកប្រើប្រាស់ sudo ក្នុងអំឡុងពេលប្រតិបត្តិការនេះ។ និមិត្តសញ្ញារបស់វាប្រហែលជាមិនត្រូវបានបង្ហាញនៅពេលចូលទេ (សម្រាប់ហេតុផលសុវត្ថិភាព) ទោះជាយ៉ាងណាក៏ដោយ ពាក្យសម្ងាត់នឹងត្រូវបានទទួលយកប្រសិនបើបញ្ចូលត្រឹមត្រូវ។ ពាក្យ​សម្ងាត់​នេះ​អាច​នឹង​ត្រូវ​បាន​ផ្តល់​ឱ្យ​អ្នក​ដោយ​អ្នក​គ្រប់គ្រង​ Server ​របស់​អ្នក ឬ​ក្រុម​គាំទ្រ​អ្នក​ផ្តល់​សេវា​បង្ហោះ ដូច្នេះ​ប្រសិន​បើ​អ្នក​មិន​ដឹង​ពាក្យ​សម្ងាត់​ទេ យើង​ស្នើ​ឱ្យ​ទាក់ទង​ពួកគេ​សម្រាប់​ជំនួយ​បន្ថែម។

ស្វែងយល់ពីសេវាកម្មរបស់យើង។

ប្រើប្រាស់ជំនាញ Cloud Computing ដ៏រឹងមាំរបស់ 1Byte ដើម្បីជំរុញអាជីវកម្មរបស់អ្នកតាមរបៀបដ៏ធំមួយ

Domains

1Byte ផ្តល់ពេញលេញ domain សេវាកម្មចុះឈ្មោះដែលរួមមានបុគ្គលិកគាំទ្រដោយយកចិត្តទុកដាក់ ការថែទាំអតិថិជនដែលមានការអប់រំ ការចំណាយសមរម្យ ក៏ដូចជា ក domain ឧបករណ៍ស្វែងរកតម្លៃ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

វិញ្ញាបនបត្រ SSL

បង្កើនសុវត្ថិភាពលើអ៊ីនធឺណិតរបស់អ្នកជាមួយនឹងសេវាកម្ម SSL របស់ 1Byte ។ ការការពារដែលមិនអាចប្រៀបផ្ទឹមបាន ការរួមបញ្ចូលដោយគ្មានថ្នេរ និងសន្តិភាពនៃចិត្តសម្រាប់ដំណើរឌីជីថលរបស់អ្នក។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Cloud Server

មិនថា cloud server កញ្ចប់ដែលអ្នកជ្រើសរើស អ្នកអាចពឹងផ្អែកលើ 1Byte សម្រាប់ភាពជឿជាក់ ភាពឯកជន សុវត្ថិភាព និងបទពិសោធន៍គ្មានភាពតានតឹង ដែលមានសារៈសំខាន់សម្រាប់អាជីវកម្មជោគជ័យ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Shared Hosting

ការជ្រើសរើសពួកយើងជាអ្នកផ្តល់សេវាបង្ហោះចែករំលែករបស់អ្នកអនុញ្ញាតឱ្យអ្នកទទួលបានតម្លៃដ៏ល្អឥតខ្ចោះសម្រាប់ប្រាក់របស់អ្នក ខណៈពេលដែលរីករាយនឹងកម្រិតគុណភាព និងមុខងារដូចគ្នានឹងជម្រើសដែលមានតម្លៃថ្លៃជាង។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Cloud Hosting

តាមរយៈកម្មវិធីដែលមានភាពបត់បែនខ្ពស់ 1Byte ដ៏ទំនើប cloud hosting ផ្តល់ដំណោះស្រាយដ៏អស្ចារ្យដល់អាជីវកម្មខ្នាតតូច និងមធ្យមលឿនជាងមុន សុវត្ថិភាពជាងមុន និងក្នុងតម្លៃកាត់បន្ថយ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

WordPress Hosting

បន្តនាំមុខការប្រកួតប្រជែងជាមួយនឹងសេវាកម្មបង្ហោះ WordPress ប្រកបដោយភាពច្នៃប្រឌិតរបស់ 1Byte ។ ផែនការដែលសំបូរទៅដោយលក្ខណៈពិសេសរបស់យើង និងភាពជឿជាក់ដែលមិនអាចប្រៀបផ្ទឹមបានធានាថាគេហទំព័ររបស់អ្នកមានភាពលេចធ្លោ និងផ្តល់នូវបទពិសោធន៍អ្នកប្រើប្រាស់ដែលមិនអាចបំភ្លេចបាន។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

ភាពជាដៃគូ AWS

ក្នុងនាមជាដៃគូ AWS ផ្លូវការ ទំនួលខុសត្រូវចម្បងមួយរបស់យើងគឺជួយអាជីវកម្មក្នុងការធ្វើទំនើបកម្មប្រតិបត្តិការរបស់ពួកគេ និងប្រើប្រាស់ច្រើនបំផុតក្នុងការធ្វើដំណើររបស់ពួកគេទៅកាន់ពពកជាមួយ AWS ។

ស្វែងយល់ពីការផ្សព្វផ្សាយទាំងអស់។

Tip 2

ប្រសិនបើអ្នកឃើញថា SSL ត្រូវបានដំឡើងដោយគ្មានកញ្ចប់ CA អ្នកអាចបន្ថែមកញ្ចប់ CA ដោយគ្មានការផ្លាស់ប្តូរសំខាន់ណាមួយចំពោះការកំណត់រចនាសម្ព័ន្ធ។

ក្នុងករណីនេះ សូមស្វែងរកឯកសារកំណត់រចនាសម្ព័ន្ធ SSL នៅលើ Server របស់អ្នកដោយធ្វើតាមជំហានក្នុងការណែនាំសម្រាប់ apache2 ឬ httpd ។ កំណត់ទីតាំងផ្លូវទៅកាន់ SSLCertificateFile នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ ហើយបើកឯកសារតាមរយៈផ្លូវនោះសម្រាប់កែសម្រួល។ អ្នកនឹងឃើញប្លុកកូដមួយនៅទីនោះ (ដែលជា SSL ខ្លួនឯង)។ អ្នកអាចទាញយកឯកសារកញ្ចប់ CA ពីគណនី 1Byte របស់អ្នក​ (វាត្រូវបានទាញយកនៅក្នុងបណ្ណសារតែមួយជាមួយនឹងវិញ្ញាបនបត្រ SSL) ហើយចម្លងមាតិកាឯកសារ .ca-bundle ទាំងមូលទៅ SSLCertificateFile ដែលបានបើក។

លេខកូដកញ្ចប់ CA ថ្មីគួរតែត្រូវបានបញ្ចូលពីបន្ទាត់ថ្មីបន្ទាប់ពីលេខកូដ SSL ដែលមានវត្តមាននៅទីនោះ ដោយមិនបន្ថែមបន្ទាត់ថ្មីណាមួយរវាងពួកវាដូចនេះ៖

ត្រលប់ទៅការណែនាំដើម >>