การติดตั้ง SSL certificate กับ Apache2

kke · May 9, 2011, 4:00pm

พอดีเห็นบางเว็บอุตสาห์เสียเงินซื้อ ssl มาใช้ แต่ติดตั้งไม่สมบูรณ์ browser ก็ยังเด้งเตือนอยู่เหมือนเดิม

สิ่งที่ขาดหายไปคือ ต้องติดตั้ง Intermediate CA เพิ่มใน httpd.conf ด้วย

ปกติแล้วขั้นตอนการติดตั้งจะไม่ยุ่งยากอะไร

Gen KEY+CSR
เอา CSR ไปซื้อ SSL Certificate
ทำการ approve Cer ตามขั้นตอน
ได้รับไฟล์ CER เอามาใส่ใน server

แต่สมัยนี้ระบบ CER ได้เพิ่ม KEY จาก 1024bit มาเป็น 2048bit กันหมดแล้ว

ดังนั้นเวลาสร้าง KEY ในข้อ 1 จึงต้องสร้างแบบ 2048bit

และเมื่อใช้ key ขนาด 2048bit จึงมีความจำเป็นต้องติดตั้ง Intermediate CA เพิ่มใน webserver ด้วย

ซึ่งไฟล์ Intermediate CA นั้นจแตกต่างกันไปตาม CER ที่ซื้อแต่ละเจ้า (แต่ละเจ้าจะมีให้เลือกโหลด ซื้อ CER ตัวใหนก็โหลดให้ตรงกับ CER นั้นๆ)

1.1 Generate Private KEY

openssl genrsa -out domain.com.key 2048

1.2 Generate CSR

openssl req -new -key domain.com.key -out domain.com.csr

กรอกข้อมูลไปตามที่ถาม (ข้อสำคัญคือ Common name ต้องตรงกับ url ที่จะใช้ เช่น www.domain.com)

download Intermediate CA

ซื้อจากที่ใหนก็ต้องไปหาโหลดจากเจ้านั้นๆให้ตรงกับประเภทที่ซื้อมาเช่น

RapidSSL

Thawte SSL123

สมมติให้ save ไฟล์ไว้ใน folder /etc/httpd/conf/server.ca/ssl123.crt หรือ /etc/httpd/conf/server.ca/rapidssl.crt

load Intermediate CA ใน httpd.conf

แค่เพิ่มบรรทัดต่อไปที่ท้ายไฟล์ ไปยังไฟล์ Intermediate CA ที่ save ไว้

SSLCACertificateFile /etc/httpd/conf/server.ca/ssl123.crt

SSLCACertificateFile /etc/httpd/conf/server.ca/rapidssl.crt

ปล. เขียนแบบเร็วๆ อาจไม่ค่อยละเอียด หรือมีผิดพลาด ต้องขออภัยด้วยครับ

360 · May 9, 2011, 4:15pm

ถามนิดครับ หนึ่ง ip ติดได้ หนึ่ง SSL Certificate หรือครับ

icez · May 9, 2011, 4:20pm

หลายก็ได้ครับ (ต้องมี option เพิ่ม ชื่ออะไรไม่รู้)

แต่บังเอิญ… browser ทุกวันนี้ยังไม่มีตัวไหนรองรับ เลยใช้จริงๆ ก็ได้แค่ 1 นั่นแหละครับ

360 · May 9, 2011, 4:23pm

แบบนี้กรณีที่ลูกค้าต้องการใช้ SSL แต่ไม่ต้องการซื้อ VPS หรือวาง Co เอง. ในทางปฏิบัติก็ควรจะซื้อ IP แยกใช่ไหมครับ.

ccpower · May 9, 2011, 4:33pm

ขอบคุณมากครับ

ทีแรกก็สงสัยเหมอืนกันว่า ทำไม ใน เวบผมยัง error เรื่อง ssl ใน firefox

ขณะที่ chrome กับ ie ไม่เป็น

ตอนนี้หายหละครับ

pizzaman911 · May 9, 2011, 4:46pm

กด +1 ให้เสี่ยแมน

Hades · May 9, 2011, 10:53pm

ได้หลาย SSL / 1 IP แล้วครับ แต่ Browser ต้องใช้ได้ด้วย พวก Firefox ก็โอเคไป แต่พวก IE นี่แหล่ะตัวปัญหา เพราะถ้าเล่น IE บน XP ไม่ว่าจะเวอร์ชันอะไรก็ใช้ไม่ได้ทั้งนั้น -> SNI -> Server Name Indication - Wikipedia

พวก Browser ที่ใช้ได้ก็

Internet Explorer 7 or later, on Windows Vista or higher. Does not work on Windows XP, even Internet Explorer 8.

Mozilla Firefox 2.0 or later

Opera 8.0 or later (the TLS 1.1 protocol must be enabled)

Opera Mobile at least version 10.1 beta on Android[citation needed]

Google Chrome (Vista or higher. XP on Chrome 6 or newer.[7] OS X 10.5.7 or higher on Chrome 5.0.342.1 or newer)

Safari 2.1 or later (Mac OS X 10.5.6 or higher and Windows Vista or higher)

MobileSafari in Apple iOS 4.0 or later[8]

Windows Phone 7[citation needed]

MicroB on Maemo

sirband · May 10, 2011, 12:11am

ไม่มี browser for android ที่ใช้ได้เหรอฮะ พอดีมี Galaxy TAB

system · May 16, 2016, 8:14am