Skip to content
- Để có thể lấy được chứng chỉ ssl ta cần phải xác thực làm thế nào để LetEncrypt biết mình là chủ sở hữu tền miền đó bằng một số cách sau.
- Chạy lấy chứng chỉ từ chính server đã trỏ về bản nghi A tên miền (domain) hoặc tên miền con (sub domain) ở chính server đó.
- Xác thực bằng bản nghi TXT Record bằng cách thêm vào phần quản lý tên miền theo hướng dẫn khi tạo.
- Trên linux hay dùng certbot để lấy chứng chỉ.
- Cài đặt certbot với câu lệnh
- dnf install python3-certbot
- DOMAIN=yourdomain
- certbot-3 certonly –manual -d *.$DOMAIN -d $DOMAIN –agree-tos –manual-public-ip-logging-ok –preferred-challenges dns-01 –server https://acme-v02.api.letsencrypt.org/directory –register-unsafely-without-email –rsa-key-size 4096
- Chứng chỉ lưu tại thư mục /etc/letsencrypt/live/
- Có thể lấy theo từng domain gộp file chung nhiều domain nếu trỏ về cùng 1 ip.
- Đối với wildcard domain cần xác thực bằng bản nghi TXT.
- Có thể dùng sẵn certbot nginx, apache vv..
- Trên windows hay dùng Win-Acme để lấy.
- Cài đặt iis trên windows rồi tạo pool với server name domain tương ứng cần lấy chứng chỉ ssl.
- Tải Win ACME về và chạy làm theo hướng dẫn.
- Để xem pfx password xem lại tùy chọn renew và show detail.
- File chứng chỉ thường lưu tại thư mục C:\ProgramData\win-acme\acme-v02.api.letsencrypt.org\Certificates
- Các kiểm tra private key và certificate file hợp lệ trên Linux.
- openssl rsa -noout -modulus -in your_private_key.key | openssl md5
- openssl x509 -noout -modulus -in your_certificate.crt | openssl md5
- 2 lệnh trên trả về cùng 1 chuỗi string là hợp lệ.
- Cách chuyển từ file pfx thành 2 file private key và certificate cho Linux
- openssl pkcs12 -in yourdomain.pfx -out yourdomain.private -nodes -nocerts -legacy
- openssl pkcs12 -in yourdomain.pfx -clcerts -nokeys -legacy -out yourdomain.certificate
- Đôi khi chuyển đổi các định dang pfx, pem, dẫn đến không tương thích trong một số nền tảng khác nhau.