Tìm hiểu OpenSSL là gì trên Windows? Hướng dẫn cách cài đặt OpenSSL trên Windows

Chứng chỉ SSL hiện đang được sử dụng rộng rãi trong bối cảnh mã hóa khi Google phát động chiến dịch HTTPS Everywhere và bắt buộc đối với mọi người để bảo mật website. Do đó, việc triển khai SSL đúng cách là rất quan trọng.

Giới thiệu OpenSSL

OpenSSL là gì?

OpenSSL là một thư viện phần mềm có mã nguồn mở được sử dụng để mã hóa dữ liệu và triển khai các giao thức mạng. Công cụ này dùng cho toàn bộ các ứng dụng bảo mật truyền thông qua mạng máy tính để phòng chống nghe trộm hoặc cần phải xác định phe truyền thống ở phía đầu bên kia.

OpenSSL ra mắt vào năm 1998 và có sẵn trong các hệ thống Linux, Windows, macOS và BSD. Với OpenSSL, người dùng có thể thực hiện các tác vụ liên quan đến SSL khác nhau như CSR (Yêu cầu ký chứng chỉ), tạo khóa riêng và cài đặt chứng chỉ SSL. Vì vậy, khi nhắc tới chứng chỉ SSL/TLS và cách thức triển khai chúng thì đây chính là công cụ thích hợp nhất.

Hiện nay, chúng đang được ứng dụng rộng rãi trong các máy chủ web Internet nhằm phục vụ cho hầu hết các trang web.

OpenSSL-la-gi

Tại sao OpenSSL lại quan trọng?

Khi sử dụng OpenSSL, bạn có thể đăng ký chứng chỉ số (Tạo yêu cầu ký chứng chỉ) và cài đặt các giao thức SSL ngay trên máy chủ của bạn một cách dễ dàng. Hơn nữa, bạn cũng có thể chuyển đổi chứng chỉ đang có thành các định dạng SSL khác nhau, đồng thời thực hiện tất cả các loại xác minh.

Tất cả những gì bạn cần làm là tìm hiểu một vài lệnh OpenSSL phổ biến với mỗi chứng chỉ mới để quá trình cấu hình trở nên nhanh chóng và dễ dàng hơn. Không phải tất cả các máy chủ đều cung cấp giao diện người dùng web để bạn có thể quản lý SSL. Do đó trên một số nền tảng, OpenSSL là giải pháp duy nhất để nhập và cấu hình chứng chỉ của bạn.

Tóm lại, OpenSSL được sử dụng để:

  • Tạo các tham số chính RSA, DH và DSA
  • Tạo chứng chỉ X.509, CSR và CRL
  • Mã hóa và giải mã bằng mật mã
  • Kiểm tra máy khách và máy chủ SSL/TLS
  • Xử lý email đã ký hoặc mã hóa S/MIME
OpenSSL-la-gi

Một số lệnh OpenSSL được sử dụng phổ biến nhất hiện nay

Do thư viện gốc được viết bằng ngôn ngữ lập trình C, nên các câu lệnh OpenSSL có thể được sử dụng để thực hiện nhiều chức năng khác nhau. Dưới đây là các lệnh OpenSSL được dùng phổ biến nhất.

Lệnh kiểm tra các phiên bản OpenSSL

Trước khi đi sâu vào các lệnh khác, bạn có thể kiểm tra phiên bản OpenSSL của mình bằng với lệnh sau: openssl version –a

Lệnh sử dụng để tạo khóa riêng

Để tạo khóa riêng, bạn cần xác định thuật toán khóa (key algorithm), kích thước khóa (key size) và mật khẩu tùy chọn (passphrase). Trong đó, thuật toán khóa tiêu chuẩn là RSA hoặc bạn cũng có thể chọn ECDSA cho các tình huống cụ thể khác. Để đảm bảo bạn sẽ không gặp phải các vấn đề về tương thích, bạn nên sử dụng thuật toán RSA. Bạn hãy sử dụng lệnh sau để tạo khóa riêng:

openssl genrsa -out yourdomain.key 2048

Lệnh này sẽ giúp bạn tạo tệp yourdomain.key trong thư mục hiện tại và khóa riêng của bạn sẽ có định dạng PEM .

Tiếp theo, bạn có thể xem nội dung được mã hóa khóa riêng của mình qua lệnh:

cat yourdomain.key

Để giải mã khóa riêng của bạn, hãy sử dụng lệnh này:

openssl rsa -text -in yourdomain.key –noout

Lệnh tạo CSR

Để tạo CSR, bạn hãy chạy lệnh sau:

openssl req -new -key yourdomain.key -out yourdomain.csr

Khi dùng lệnh này, bạn sẽ nhập các thông tin sau đây:

  • Tên quốc gia: Nhập mã quốc gia gồm 2 chữ số, trong đó tổ chức của bạn phải được định vị một cách hợp pháp.
  • Thành phố: Nhập đầy đủ tên thành phố – nơi tổ chức của bạn được định vị hợp pháp
  • Tên của tổ chức: Viết tên tổ chức hợp pháp của bạn
  • Đơn vị tổ chức: Điền tên của bộ phận (bạn hoàn toàn có thể nhấn Enter để bỏ qua).
  • Tên thường gặp: Nhập tên miền đầy đủ mà bạn muốn gán chứng chỉ SSL (cụ thể là: www.yourdomainname.com.)
  • Email: Nhập địa chỉ email hợp lệ (bạn cũng có thể enter bỏ qua khi thuộc tính này không bắt buộc).
OpenSSL-la-gi

Lệnh tạo CSR và khóa riêng cùng một lúc

Vì OpenSSL rất linh hoạt nên bạn có thể sử dụng lệnh sau để tạo cả khóa riêng và CSR cùng lúc:

openssl req -new \-newkey rsa:2048 -nodes -keyout yourdomain.key \-out yourdomain.csr \-subj "/C=US/ST=CA/L=San Francisco/O=Your Company, Inc./OU=IT/CN=yourdomain.com"

Lệnh kiểm tra thông tin CSR

Để đảm bảo bạn đã cung cấp thông tin một cách đầy đủ và chính xác trước khi gửi CSR cho CA để họ cấp phát chứng chỉ, bạn cần chạy lệnh bên dưới:

openssl req -text -in yourdomain.csr -noout –verify

Lệnh kiểm tra xác nhận thông tin chứng chỉ của bạn

Sau khi được CA cấp phát và chuyển chứng chỉ SSL đến hộp thư của bạn, hãy chạy lệnh dưới đây để đảm bảo thông tin của chứng chỉ khớp với khóa riêng của bạn.

openssl x509 -text -in yourdomain.crt –noout

Hướng dẫn cài đặt công cụ OpenSSL trên Window

Bước 1: Download OpenSSL Binary

Bạn có thể download trình cài đặt OpenSSL Windows phiên bản mới nhất từ ​​trang này.

http://slproweb.com/products/Win32OpenSSL.html

OpenSSL-la-gi

Bước 2: Tiến hành cài đặt OpenSSL

Lúc này, bạn mở file vừa tải và bắt đầu chạy trình cài đặt OpenSSL trên hệ thống.

OpenSSL yêu cầu máy tính của bạn phải được cài đặt Microsoft Visual C ++. Nếu bạn chưa cài đặt Microsoft Visual C ++, trình cài đặt sẽ hiển thị thông báo như sau:

Bạn hãy nhấp vào Yes để tải xuống và cài đặt gói Microsoft Visual C ++

OpenSSL-la-gi

Sau đó, chạy lại trình cài đặt OpenSSL và làm theo hướng dẫn.

OpenSSL-la-gi

Bước 3: Thiết lập cho các biến môi trường

Bạn hãy đặt các biến môi trường để OpenSSL có thể hoạt động bình thường trên hệ thống. Bạn sẽ được yêu cầu đặt OPENSSL_CONF và Path.

Sử dụng các lệnh sau để đặt môi trường cho phiên hiện tại:

set OPENSSL_CONF=C:\OpenSSL-Win64\bin\openssl.cfgset Path=%Path%;C:\OpenSSL-Win64\bin

Đặt biến vĩnh viễn: Bạn cũng có thể đặt vĩnh viễn các biến môi trường OPENSSL_CONF và Path trong hệ thống. Cách làm như sau:

Nhấn tổ hợp phím Windows + R, sau đó nhập “sysdm.cpl” vào hộp thoại Run và nhấn Enter. Ngoài ra, bạn có thể mở Command Prompt và nhập lệnh tương tự để mở System Properties.

Kế tiếp chuyển đến tab Advanced và chọn Environment variables.

Đặt biến OPENSSL_CONF:

OpenSSL-la-gi

Đặt biến Path:

OpenSSL-la-gi

Bước 4: Chạy OpenSSL Binary

Mở Command Prompt trên hệ thống của bạn và nhập openssl để mở OpenSSL. Lúc này, phiên bản OpenSSL đã được cài đặt trên hệ thống của bạn.

OpenSSL-la-gi

Trên đây là một số thông tin cơ bản về OpenSSL, một công cụ để cài đặt chứng chỉ SSL giúp đảm bảo cho website của bạn được hoạt động một cách an toàn nhất. Hy vọng với những gì bài viết đã chia sẻ, bạn sẽ biết cách tự thiết lập OpenSSL cho máy tính Windows của mình.


Tuấn Nguyễn

587 Blog posts

Comments