Thứ Năm, 17 tháng 12, 2015

Hướng dẫn cấu hình tự động chuyển từ HTTP sang HTTPS

Cấu hình tự chuyển HTTP sang HTTPS trên Apache
Bạn có thể dùng file .htaccess vốn luôn được hỗ trợ bởi các máy chủ chạy Apache. Mở file .htaccess và tìm đoạn sau:
RewriteEngine On
Nếu không tìm thấy đoạn trên, bạn cần thêm vào file cấu hình. Sau đó, thêm vào đoạn sau đây ngay phía sau: 
RewriteCond %{HTTPS} !=on
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L]

Cấu hình tự chuyển HTTP sang HTTPS trên nginx

Mở file cấu hình nginx.conf (hoặc /etc/nginx/sites-enabled/domain.conf) và tìm đoạn cấu hình cho website trên port 80, sau đó điều chỉnh như sau:
server {
    listen 80;
    server_name yourdomain.com;
    return 301 https://$server_name$request_uri;
}
Sau đó khởi động lại nginx:
service nginx restart

Cấu hình tự chuyển HTTP sang HTTPS trên IIS5 và IIS6

Nguyên tắc cơ bản như sau:
1. Tạo một Website có chức năng Redirect cho domain của bạn trên port 80 (HTTP).
2. Cấu hình Website chính cho domain của bạn chỉ chạy port 443 (HTTPS) và "Require SSL". Không cho Website chính chạy port 80 (HTTP).
3. Dùng chức năng Redirect của IIS để chuyển website trên port 80 (HTTP) về website trên port 443 (HTTPS).
Bạn có thể tham khảo các bước cụ thể như sau:
1. Từ màn hình IIS Manager, nhấp chuột phải vào Website chính, chọn Properties.
2. Trong màn hình Properties, chọn tab Directory Security. Trong mục Secure Communications,
nhấn nút Edit. Trong màn hình Secure Communications, nhấp chọn mục Require secure channel (SSL). Sau đó nhấn OK.
3. Chọn tab Website, sau đó xóa port 80 trong mục TCP Port, và kiểm tra lại mục SSL Port cần có
giá trị là 443. Sau đó nhấn Apply.
4. Tạo một website mới và đặt tên là "Website Redirect" trên port 80. Mục Host header nhập vào tên miền của Website chính. Trong mục Website Home Directory bạn chọn 1 thư mục tạm nào đó
(tốt nhất là 1 thư mục rỗng). Trong mục Website Access Permissions chọn quyền Read.
5. Nhấp chuột phải vào Website Redirect và chọn Properties. Sau đó chọn tab Home Directory. Trong mục The content for this resource should come from, chọn mục A redirection to a URL và nhập vào giá trị https://yourdomain.com. Sau đó nhấn Apply.
Kể từ lúc này, khi bạn truy cập vào địa chỉ http://youdomain.com, IIS sẽ truy xuất vào Website Redirect trên port 80 (HTTP). Ngay sau đó, IIS sẽ redirect trình duyệt đến trang https://yourdomain.com và cuối cùng IIS sẽ truy xuất vào Website Chính trên port 443 (HTTPS).

Cấu hình tự chuyển HTTP sang HTTPS trên IIS7.x

1. Từ màn hình IIS Manager, chọn website cần cấu hình. Trong khung bên phải chọn SSL Settings. Sau đó đảm bảo không chọn mục Require SSL rồi nhấn Apply.
2. Tải về và cài đặt module URL Rewrite 2.0 cho IIS7
3. Sau khi cài đặt thành công module trên, bạn dùng Notepad mở file web.config trong thư mục gốc của website và thêm vào đoạn sau giữa các thẻ<rewrite><rules> và </rules></rewrite> như sau:
<rule name="Redirect to HTTPS" stopProcessing="true">
<match url="(.*)" />
<conditions><add input="{HTTPS}" pattern="^OFF$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="SeeOther" />
</rule>
Sau khi thêm, file web.config sẽ có dạng như sau:

Các kết nối vào website trên HTTP sẽ được tự động chuyển sang HTTPS.

Cấu hình tự chuyển HTTP sang HTTPS trên IIS8.x

1. Từ màn hình IIS Manager, chọn website cần cấu hình. Trong khung bên phải chọn SSL Settings. Sau đó đảm bảo không chọn mục Require SSL rồi nhấn Apply.
2. Tải về và cài đặt module URL Rewrite 2.0 cho IIS8
3. Sau khi cài đặt thành công module trên, mở màn hình IIS Manager và chọn Website cần cấu hình. Trong khung bên phải, nhấp đúp vào mục URL Rewrite. Sau đó chọn mục Add Rule và cấu hình như sau:
NAME
  • Select: Blank Rule
  • Name: http to https
  • Match URL – Requested URL: Matches the Pattern
  • Match URL – Using: Regular Expression
  • Pattern: (.*)

CONDITIONS
  • Conditions: Add
  • Condition Input: {HTTPS}
  • Check if input string: Matches the Pattern
  • Pattern: ^OFF$
  • Nhấn OK

ACTION
  • Action type: Redirect
  • Redirect URL: https://{HTTP_HOST}/{R:1}
  • Redirect type: See Other (303)
  • Nhấn Apply

Các kết nối vào website trên HTTP sẽ được tự động chuyển sang HTTPS.

Cấu hình tự chuyển HTTP sang HTTPS trên Tomcat/JBoss

Mở file cấu hình server.xml của Tomcat (thường nằm trong thư mục tomcat/conf) và tìm các đoạn cấu hình cho các port 80 và 443. Trong phần cấu hình port 80 chỉnh lại như bên dưới:
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="tomcat" keystoreFile="/usr/local/ssl/keystore/server.jks" keystorePass="your_keystore_password" />

<Connector port="80" enableLookups="false" redirectPort="443" />

Mở file cấu hình web.xml của website và thêm vào đoạn sau đây ở cuối file, nhưng trước thẻ </web-app>
<!-- SSL settings. Only allow HTTPS access --> 
    <security-constraint>
   <web-resource-collection>
       <web-resource-name>Entire Application</web-resource-name>
       <url-pattern>/*</url-pattern>
   </web-resource-collection>
          <user-data-constraint>
       <transport-guarantee>CONFIDENTIAL</transport-guarantee>
          </user-data-constraint>
    </security-constraint>
Sau đó bạn cần khởi động lại Tomcat.
Nguồn: https://baomat.website 

Hướng dẫn tạo CSR trên Lotus Domino 8.x

Để tạo CSR trên Lotus Domino 8.x, bạn cần dùng ứng dụng Server Certificate Administration từ màn hình Domino Administration. Quy trình chi tiết như sau:
1. Mở ứng dụng Server Certificate Administration từ màn hình Domino Administration:
2. Từ danh sách menu bên trái, chọn mục Create Key Rings & Certificates.
3. Trong danh sách menu bên phải, chọn mục Create Key Ring.
4. Trong mục Key Size, chọn 2048.
5. Trong mục Distinguished Name nhập thông tin đầy đủ và chính xác theo hướng dẫn sau:
Common Name: Tên miền chính của chứng thư số. Ví dụ: www.domain.com hoặc *.domain.com (nếu bạn mua chứng thư số Wildcard)
Organization: Nhập chính xác tên công ty trong giấy DKKD. Lưu ý không viết tắt các chữ như Trách nhiệm hữu hạn thành TNHH.
Organizational Unit: Nhập vào phòng ban sử dụng chứng thư số. Ví dụ IT Department.
City or Locality: Nhập vào tên thành phố nơi công ty đặt trụ sở. Ví dụ: Ho Chi Minh
State or Province: Nhập vào tên tỉnh nơi công ty đặt trụ sở. Ví dụ: Ho Chi Minh
Country: Nhập VN. Lưu ý nhập chữ in hoa.
6. Nhấp Continue. Bạn cần nhập vào tên và mật khẩu cho Key Ring. Hãy đặt tên gợi nhớ, ví dụ SymantecSSLKeyFile. Sau đó nhấp OK.
7. Trở lại màn hình menu chính. Nhấp chọn mục Create Certificate Request từ Key Ring vừa tạo.
8. Chọn mục Paste into form on CA's site. Sau đó nhấn Create Certificate Request để tiếp tục. Bạn sẽ được chuyển đến màn hình xác nhận việc tạo CSR thành công.
9. Copy nội dung CSR (đoạn -----BEGIN CERTIFICATE REQUEST----- và -----END CERTIFICATE REQUEST-----) trong màn hình xác nhận và dùng Notepad để lưu thành file certreq.txt.
10. Gửi file certreq.txt này cho chúng tôi để tiến hành đăng ký.
Nguồn: https://baomat.website/huong-dan-tao-csr/huong-dan-tao-csr-tren-lotus-domino-8-x-25.htm 

Hướng dẫn backup chứng thư số SSL

Sau khi cài đặt thành công chứng thư số SSL cho máy chủ, bạn nên backup lại cả bộ chứng thư số bao gồm: private key, certificate, Intermediate CAs để dự phòng. Tùy loại máy chủ mà bạn đang sử dụng, bạn sẽ thực hiện việc backup theo hướng dẫn tương ứng.

Hướng dẫn backup chứng thư số SSL cho Microsoft IIS 5.0, 6.0, 7.0, 8.0
Microsoft quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.
Bước 1: Tạo một Microsoft Management Console (MMC) Snap-in
1. Nhấn Start, chọn Run... và gõ lệnh mmc
2. Chọn File > Add/Remove snap-in...
3. Chọn Certificates từ khung bên trái rồi nhấn nút Add.
4. Nhấn OK để trở về màn hình MMC.

Bước 2: Export bộ chứng thư số
1. Trong màn hình Certificates Snap-in vừa tạo, chọn mục Personal > Certificates. Danh sách chứng thư số SSL trên máy chủ sẽ xuất hiện trong khung bên phải.
2. Chọn chứng thư số cần backup sau đó nhấp chuột phải, chọn All Tasks > Export. Màn hình Certificate Export Wizard sẽ xuất hiện.
3. Chọn vào mục Yes, export the private keyLưu ý: Bạn cần phải chọn mục này, nếu không file backup sẽ không thể sử dụng vì thiếu private key. Nhấn Next.
4. Trong màn hình Export File Format, bạn chọn Personal Information Exchange  - PKCS#12 (.pfx).
5. Chọn mục Include all certificates in the certificate path if possible. Bạn cần chọn mục này để backup kèm theo các Intermedaite CAs.
6. Không chọn mục Require Strong EncryptionLưu ý: Nếu chọn mục này, mỗi lần IIS khởi động lại, bạn sẽ cần phải nhập lại mật khẩu của private key, rất bất tiện. Nhấn Next.
7. Nhập vào mật khẩu để bảo vệ cho file backup và nhấn Next.
8. Chọn thư mục và đặt tên cho file backup và  Next.
9. Kiểm tra lại thông tin và nhấn Finish.
Bạn đã backup thành công bộ chứng thư số SSL cho IIS.

Hướng dẫn backup chứng thư số SSL cho Apache
Apache sử dụng 3 file sau đây để cấu hình SSL: private.key, certificate.crt, intermediate.crt (tên file có thể khác nhau tùy vào mỗi hệ thống).
Nếu bạn vừa cài đặt chứng thư số SSL cho máy chủ xong, bạn sẽ nhớ vị trí của 3 file này. Nếu bạn không nhớ vị trí của chúng, bạn có thể tìm thấy bằng cách mở file cấu hình của Apache (thường có tên là httpd.conf, hoặc httpd-ssl.conf, hoặc ssl.conf). Tìm đoạn cấu hình sau:
SSLCertificateFile .../path/to/certificate.crt
SSLCACertificateFile .../path/to/intermediate.crt
SSLCertificateKeyFile .../path/to/private.key
Bạn cần lưu trữ lại 3 file này và file cấu hình của Apache.

Hướng dẫn backup chứng thư số SSL cho nginx
nginx sử dụng 2 file sau đây để cấu hình SSL: private.key, certificate.crt (tên file có thể khác nhau tùy vào mỗi hệ thống). Trong trường hợp bạn có cấu hình OCSP stapling cho nginx, bạn cần tìm thêm file cabundle.crt.
Nếu bạn vừa cài đặt chứng thư số SSL cho máy chủ xong, bạn sẽ nhớ vị trí của các file này. Nếu bạn không nhớ vị trí của chúng, bạn có thể tìm thấy bằng cách mở file cấu hình của nginx (thường có tên là nginx.conf, hoặc default.conf, hoặc ssl.conf trong thư mục /etc/nginx/). Tìm đoạn cấu hình sau:
ssl_certificate .../path/to/certificate.crt;
ssl_certificate_key .../path/to/private.key;
Nếu bạn có cấu hình OCSP stapling cho nginx, bạn cần tìm thêm đoạn sau:
ssl_trusted_certificate .../path/to/cabundle.crt;
Bạn cần lưu trữ lại 3 file này và file cấu hình của nginx.

Hướng dẫn backup chứng thư số SSL cho Tomcat/JBoss
Tomcat/JBoss dùng Java Keystore để lưu trữ cả bộ chứng thư số SSL trong một file duy nhất. Bạn cần tìm ra file này và mật khẩu để backup.
Bạn mở file cấu hình của Tomcat/JBoss (thường có tên server.xml) và tìm đoạn cấu hình sau:
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="tomcat" keystoreFile="/usr/local/ssl/keystore.jks" keystorePass="changeit" />
Trong đoạn cấu hình trên, file Java Keystore chính là /usr/local/ssl/keystore.jks và mật khẩu của Keystore là changeit.
Bạn cần backup lại file keystore.jks, mật khẩu của Keystore, và file cấu hình Tomcat (server.xml).

Hướng dẫn backup chứng thư số SSL cho IBM Websphere
1. Gõ lệnh ikeyman trên dòng lệnh Unix hoặc chạy tiện ích Key Management trong thư mục IBM Websphere Server (Windows)
2. Chọn Key Database File từ menu chính, sau đó chọn Open
3. Trong cửa sổ Open, nhập tên Key Database hoặc nhấp key.kdb file nếu bạn đang dùng Key DB mặc định. Nhấp OK
4. Trong cửa sổ Password Prompt, nhập mật khẩu và nhấn OK
5. Chọn Personal Certificates trong mục Key Database, và nhấn nút Export/Import
6. Trong màn hình Export/Import Key, chọn Export Key
7. Chọn Key database file type là PKCS12. Nhập tên file. Có thể Browse để chọn vị trí chính xác.
8. Nhấn OK.
9. Nhập và xác nhận mật khẩu. Nhấn OK để xuất ra file PFX.

Hướng dẫn backup chứng thư số SSL cho Oracle HTTP Server
Oracle HTTP Server dùng Oracle Wallet để lưu trữ bộ chứng thư số SSL. Wallet mặc định được lưu trữ tại thư mục ORACLE_HOME/Apache/Apache/conf/ssl.wlt/default. Bạn cần kiểm tra lại chính xác Wallet đang được sử dụng trong file cấu hình Oracle HTTP Server tại địa chỉ ORACLE_HOME/Apache/Apache/conf/ssl.conf. Bạn sẽ tìm thấy 2 dòng cấu hình sau:
SSLWallet file:/etc/ORACLE/Apache/Apache/conf/ssl.wlt/default
SSLWalletPassword your_password
Bạn cần lưu trữ lại wallet và mật khẩu.

Hướng dẫn backup chứng thư số SSL cho Microsoft Exchange Server
Microsoft Exchange Server quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.
Vui lòng tham khảo hướng dẫn backup dành cho Microsoft IIS.

Hướng dẫn backup chứng thư số SSL cho Microsoft OCS / Microsoft Lync
Microsoft OCS / Microsoft Lync quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.
Vui lòng tham khảo hướng dẫn backup dành cho Microsoft IIS.

Hướng dẫn backup chứng thư số SSL cho MDaemon
MDaemon quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.
Vui lòng tham khảo hướng dẫn backup dành cho Microsoft IIS.

Hướng dẫn backup chứng thư số SSL cho Zimbra
Bộ chứng thư số SSL cho Zimbra được lưu trữ tại địa chỉ sau trên máy chủ:
/opt/zimbra/ssl/zimbra/commercial/commercial.key
/opt/zimbra/ssl/zimbra/commercial/commercial.crt
/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt

Bạn chỉ cần tải về 3 file trên để backup.

Hướng dẫn backup chứng thư số SSL cho Postfix
Bạn có thể tìm thấy thư mục chứa bộ chứng thư số SSL trong file cấu hình của Postfix (/etc/postfix/main.cf). Tìm đoạn cấu hình sau:
smtpd_tls_key_file = /etc/postfix/ssl/private.key
smtpd_tls_cert_file = /etc/postfix/ssl/certificate.crt
smtpd_tls_CAfile = /etc/postfix/ssl/intermediate.crt
Bạn chỉ cần tải về 3 file trên để backup.

Hướng dẫn backup chứng thư số cho F5 BIG-IP
Để backup chứng thư số cho F5 BIG-IP, bạn tham khảo hướng dẫn từ link sau:
Nguồn: https://baomat.website/huong-dan-chuyen-doi-ssl/huong-dan-backup-chung-thu-so-ssl-136.htm#IIS

Hướng dẫn cài đặt SSL cho IBM Domino 8.x 9.x

Để cài đặt và kích hoạt SSL cho IBM Domino 9.x, bạn cần thực hiện theo các bước sau đây:
1. Từ màn hình Domino Administration, mở tiện ích Server Certificate Administration (CERTSRV.NSF) nằm trong mục "System Databases".
 
2. Chọn mục "Install Trusted Root Certificate into Key Ring". Lần lượt cài đặt Primary Intermediate CA và Secondary Intermediate CA mà Derasoft đã cung cấp trong email hướng dẫn cài đặt vào key ring.
Trong khi import, lưu ý nhập đúng tên của certificate như trong mục Common Name của certificate đó.
 
3.  Chọn tiếp mục "Install Certifficate into Key Ring" và paste vào nội dung của certificate. Đặt tên certificate là "Certificate 2015".
 

Nếu thành công, hệ thống sẽ thông báo certificate đã được merge thành công vào Key Ring. Đến đây, Key Ring của bạn đã sẵn sàng có thể sử dụng cho IBM Domino.
4. Cập nhật IBM Domino dùng Key Ring mới.
Bạn cần copy 2 file C:key2015.kyr và C:key2015.sth vào thư mục data của Domino. 
Từ màn hình Domino Administration mở Server Document, sau đó chọn mục "Ports -> Internet Ports -> SSL key file name" và thiết lập lại thành C:key2015.kyr
 
 Đảm bảo mục "Server document > Ports -> Internet Ports -> Web > Server's SSL port status" được thiếp lập "Enabled".
5. Khởi động lại HTTP từ Domino Admin Console bằng cách gõ lệnh: tell http restart. 

Sau khi cài đặt thành công, bạn có thể kiểm tra lại cert đã được install đúng hay chưa bằng công cụ sau: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

Bạn có thể backup bộ chứng thư số SSL theo hướng dẫn sau: https://www.baomat.website/huong-dan-chuyen-doi-ssl/huong-dan-backup-chung-thu-so-ssl-136.htm#IIS