Hướng dẫn cài SSL miễn phí của CloudFlare trên website

Hiện nay CloudFlare đang cung cấp dịch vụ miễn phí SSL, do đó mọi người có thể cài đặt chứng chỉ SSL để thêm giao thức HTTPS vào website để an toàn hơn và thân thiện với SEO hơn.

Và đối với CloudFlare họ đã khắc phục được 2 vấn đề này vì hầu như chúng ta không phải cài đặt thêm gì vào host hay máy chủ mà chỉ cần sử dụng dịch vụ CloudFlare là đã có thể kích hoạt giao thức SSL.

Những điều cần biết trước khi sử dụng SSL

  • Hiện nay sử dụng SSL, website của bạn được dùng giao thức HTTPS sẽ được hiển thị dòng chữ Bảo mật hoặc Security (tùy theo ngôn ngữ người dùng) .
  • Website sẽ load chậm hơn khi sử dụng Full SSL, vì còn mất thời gian cho việc mã hóa dữ liệu.
  • Nếu sử dụng Full SSL, khi chuyển host phải cài lại.

Chi tiết về các loại SSL của CloudFlare

Trong lúc chọn SSL có thể thấy ngoài kiểu Flexible thì CloudFlare còn có nhiều kiểu khác nhau, và sau đây là ý nghĩa của từng kiểu:

Flexible SSL: Kiểu này CloudFlare sẽ hỗ trợ người truy cập vào website của bạn thông qua giao thức HTTPS, nhưng dữ liệu gửi từ CloudFlare về máy chủ sẽ không được mã hóa. Và bạn không cần cài chứng chỉ SSL bên trong server. Có thể sử dụng bất cứ website nào, từ Shared Host đến máy chủ riêng và không cần thiết lập gì thêm.

Full SSL: Kiểu này CloudFlare sẽ hỗ trợ người truy cập vào website thông qua giao thức HTTPS và dữ liệu từ CloudFlare gửi về máy chủ cũng sẽ được mã hóa. Tuy nhiên bạn phải có một chứng chỉ SSL, nhưng CloudFlare sẽ không xác thực chứng chỉ này nên bạn có thể sử dụng chứng chỉ tự ký, hoặc tạo chứng chỉ của CloudFlare. Và tài khoản bạn phải là tài khoản Pro mới có thể sử dụng chứng chỉ riêng trên CloudFlare.

Full SSL (strict): Giống như kiểu Full SSL nhưng CloudFlare sẽ xác thực chứng chỉ này, chứng chỉ của bạn phải mua hoặc sử dụng Let’s Encrypt. Và tài khoản của bạn phải là Pro mới có thể sử dụng chứng chỉ riêng.

Ở phần dưới mình sẽ hướng dẫn chi tiết cách sử dụng từng loại.

Kích hoạt Flexible SSL

Trước tiên bạn cần cài CloudFlare . Sau đó truy cập vào website cần kích hoạt SSL. 

Ở mục Crypto, tìm mục SSL và chọn Flexible SSL.

Sau khoảng 30 phút bạn có thể truy cập vào website theo giao thức https://domain.com để xem đã cài được giao thức hay chưa nhé.

Cài Full SSL sử dụng chứng chỉ của CloudFlare

Bạn có thể cài Full SSL để dữ liệu bạn gửi lên CloudFlare hoặc từ CloudFlare gửi về đều được mã hóa an toàn hơn. Trong bài này mình sẽ không đề cập cách sử dụng SSL với chứng chỉ riêng mà sử dụng chứng chỉ do CloudFlare cấp, vẫn dùng tốt.

Bước 1. Chọn kiểu SSL

Tại mục Crypto, bạn chọn Full SSL hoặc Full SSL (strict).

Bước 2. Tạo chứng chỉ SSL trên CloudFlare

Tại mục Crypto, bạn kéo tìm phần Origin Certificates và ấn nút Create Certificate.

Sau đó chọn Let CloudFlare generate a private key and a CSR rồi ấn Next.

Cuối cùng họ sẽ cho bạn hai thông tin quan trọng là Origin Certificate và Private Key. Bạn hãy copy hai thông tin này vào đâu đó để sử dụng ở bước kế tiếp, đặc biệt là Private Key bạn phải lưu lại vì bạn không thể tìm lại Private Key sau khi ấn nút Ok.

Khi nào bạn cài xong xuôi thì hãy đợi đến khi nào CloudFlare duyệt chứng chỉ của bạn thì nó sẽ hiển thị ở phần Certificates như hình dưới là sử dụng được. Quy trình này có thể mất vài mươi phút hoặc vài giờ.

Bước 3. Hướng dẫn cài chứng chỉ lên webserver

Hãy chọn loại webserver hoặc loại control panel bạn đang sử dụng để cài đặt chính xác nhé.

cPanel

Đầu tiên bạn hãy chắc rằng host cPanel của bạn có hỗ trợ cài đặt SSL. Nếu có, bạn sẽ tìm thấy phần SSL/TLS trong cPanel.

Bạn vào đó tìm phần Private Keys (KEY) và tiến hành dán nội dung Private key trên CloudFlare vào mục Upload a new private key và ấn Save.

Tiếp tục quay lại trang trước, tìm phần Certificates (CRT) và dán nội dung Origin Certificate trên CloudFlare vào mục Upload a New Certificate và ấn Save Certificate.

Thêm xong bạn quay lại trang quản lý Certificate và nhấp vào nút Install ở chứng chỉ mới thêm vào.

Và điện nội dung bên dưới vào phần Certificate Authority Bundle: (CABUNDLE) và ấn nút Install Certificate.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Cài xong nó sẽ hiển thị ra như thế này:

Bây giờ bạn có thể truy cập vào website thông qua giao thức https nếu CloudFlare đã duyệt chứng chỉ của bạn.

VestaCP

Bạn vào sửa domain cần cài SSL lên và chọn SSL Support.

Sau đó bạn điền thông tin vô các khung tương ứng như sau:

  • SSL Certificate: Dán nội dung của phần Origin Certificate trên CloudFlare vào.
  • SSL Key: Dán phần Private Key trên CloudFlare vào.
  • SSL Certificate Authority / Intermediate : Dán nội dung dưới đây vào:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Sau đó lưu lại và chờ ít nhất 30 phút rồi vào thử website, nếu chưa được thì chịu khó đợi lâu hơn nhé.

NGINX

Đầu tiên bạn lưu nội dung Origin Certificate vào một tập tin tên là certificate.pem và upload lên máy chủ.

Kế tiếp là lưu nội dung phần Private key vào một tập tin tên là cert_key.pem và upload lên máy chủ.

Bây giờ bạn có thể cấu hình SSL cho NGINX theo hướng dẫn này và sửa lại cấu hình trong NGINX như sau:

  • MARKDOWN_HASH520c6525752fa0ebcf8237932c644833MARKDOWN_HASH: Đường dẫn tập tin certificate.pem đã tạo ở trên.
  • MARKDOWN_HASH479d41ed584bbde74fdf7165d48fec6fMARKDOWN_HASH: Đường dẫn tập tin cert_key.pem đã tạo ở trên.

Đây là ví dụ một phần thiết lập SSL trên NGINX:

server {
 listen 80;
 listen 443;

 ssl on;
 ssl_certificate /path/to/certificate.pem;
 ssl_certificate_key /path/to/cert_key.pem;

 server_name your.domain.com;
 access_log /var/log/nginx/nginx.vhost.access.log;
 error_log /var/log/nginx/nginx.vhost.error.log;
 location / {
 root /home/www/public_html/your.domain.com/public/;
 index index.html;
 }
}

Bạn có thể làm giống ở bất cứ hệ điều hành nào, bất kể script nào (nếu dùng) vì đơn giản chỉ là thiết lập đường dẫn các tập tin chứng chỉ cho chính xác thôi.

Cuối cùng là khởi động lại NGINX.

service nginx restart

Apache

Đầu tiên bạn lưu nội dung Origin Certificate vào một tập tin tên là certificate.pem và upload lên máy chủ.

Kế tiếp là lưu nội dung phần Private key vào một tập tin tên là cert_key.pem và upload lên máy chủ.

Sau đó cấu hình SSL cho Apache, và sửa lại cấu hình như sau:

MARKDOWN_HASH06f8620ef84509dcf5dbbe2fdf02a1beMARKDOWN_HASH: đường dẫn đến tập tin certificate.pem đã tạo.

MARKDOWN_HASHf1b49a6e324288dd2e33d0a4b0b24ea9MARKDOWN_HASH: Đường dẫn đến tập tin cert_key.pem đã tạo.

Ví dụ:

<VirtualHost 192.168.0.1:443>
 DocumentRoot /var/www/html2
 ServerName www.yourdomain.com
 SSLEngine on
 SSLCertificateFile /path/to/certificate.pem
 SSLCertificateKeyFile /path/to/cert_key.pem
</VirtualHost>

Sau đó khởi động lại Apache.

# CentOS/RHEL/Fedora
service httpd restart

# Ubuntu/Debian
service apache2 restart

Kích hoạt SSL cho WordPress

Sau khi SSL đã được kích hoạt, hãy cài thêm plugin Really Simple SSL để WordPress tự chuyển hướng về giao thức HTTPS. Đồng thời cài thêm plugin SSL Insecure Content Fixer để tự chuyển toàn bộ các liên kết trên trang thành https để tránh lỗi chữ https màu trắng hoặc vàng.

Lời kết

Như vậy trong bài này bạn đã biết chi tiết cách cài SSL miễn phí từ CloudFlare thông qua hai loại Flexible SSL và Full SSL. Ngoài ra bạn cũng có thể cài chứng chỉ SSL Let’s Encrypt miễn phí hoặc sử dụng hosting cài sẵn SSL cho website. Chúc các bạn một ngày tốt lành.

(Theo Thachpham Blog)

bình luận

3 Thoughts to “Hướng dẫn cài SSL miễn phí của CloudFlare trên website”

  1. vuducduy

    Em làm vội quá, em tạo đi tạo lại Origin Certificates 2 3 lần rồi, giờ em nhập Private key và Origin Certificate đều không hợp lệ có cách nào sửa không ạ

  2. Võ Trương Anh Tuấn

    Hi bạn, cho mình hỏi, mình muốn cài FULL SSL, mình làm theo hướng dẫn của bạn và đã get được 2 thông tin là CERTIFICATE và PRIVATE KEY, nhwung mình ko sài cpanel mà sử dụng IIS, vậy bạn có thể chỉ cho mình cách đưa 2 thông tin này lên IIS được không ạ? Cảm ơn bạn rất nhiều!

Leave a Comment