SSL viết tắt từ cụm từ Secure Sockets Layer. Một công nghệ mã hóa phát triển bởi Netscape. SSL tạo một kết nối mã hóa từ máy chủ Web đến trình duyệt Web của máy trạm đầu cuối, đảm bảo các thông tin dữ liệu riêng tư, nhậy cảm tránh được những rủi ro như nghe lén, lạm dụng, giả mạo...

Để một website có được tính năng SSL, chủ sở hữu phải có một chứng thư số SSL xác thực danh tính và gắn cho máy chủ web. Mỗi khi website có SSL hoạt động, trình duyệt web cho hiển thị một biểu tượng khóa móc thông báo hoặc có thể được biểu thị bởi thanh địa chỉ web chuyển mầu xanh lá cây.

Các máy chủ web đã có chứng thư SSL thì người giao dịch trực tuyến chỉ cần đổi cách gõ URL từ http:// sang https://. Truy cập bằng https:// người giao dịch trực tuyến được đảm bảo thông tin nhập vào (thông tin cá nhân, thẻ tín dụng) được bảo mật và chỉ duy nhất chủ website thấy được các thông tin.

Khi cần gửi đi những thông tin nhậy cảm trên môi trường Internet như số thẻ tín dụng, thông tin cá nhân, các thông tin này phải được bảo mật bằng khả năng mã hóa của SSL. Nếu không mã hóa, thông tin chi tiết có thể bị lộ tới người khác không mong muốn trừ khi việc giao dịch được đảm bảo bởi chứng thư SSL.

Khách hàng giao dịch sẽ không tin cậy website không có chứng thư SSL. Theo số liệu khảo sát của Gartner, gần 70% website thương mại điện tử hủy đơn đặt hàng trực tuyến vì không tin cậy giao dịch. Trong số đó 64% nhận thấy nếu có SSL sẽ tránh được mất mát lợi nhuận và uy tín.

Tổ chức chứng thực số thực hiện hoạt động cấp chứng thư số xác thực khóa công khai của tổ chức, cá nhân và cung cấp dịch vụ chứng thực chữ ký số.

Dịch vụ chứng thực chữ ký số là dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực số cung cấp.

• Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của cá nhân, tổ chức, máy chủ;
• Duy trì trực tuyến cơ sở dữ liệu về chứng thư số;
• Những dịch vụ khác có liên quan theo quy định.

Khi người giao dịch chưa chấp nhận chứng thư gốc của nhà cung cấp dịch vụ chứng thực số, trình duyệt web sẽ đưa ra cảnh báo tin cậy đối với website. Bằng việc xác thực nhà cung cấp dịch vụ chứng thực số và tin dùng vào chứng thư, bạn đã được đảm bảo và từ lần giao dịch tiếp theo trình duyệt sẽ không đưa ra cảnh bảo tin cậy.

Logo của nhà cung cấp dịch vụ chứng thực số xác thực rằng website đã được xác minh và sử dụng giao thức bảo mật SLL để website được tin cậy và các giao dịch được mã hóa bảo mật

Được cung cấp bới CA tin cậy và các nội dung quan trọng của chứng thư đó được xác thực tính hợp pháp trước khi cấp chứng thư: Chủ sở hữu tên miền, đăng ký kinh doanh. Vì phải kiểm tra trực tiếp, thời gian cấp chúng thư sẽ dài hơn.

Một file mã, tạo bởi máy chủ chứa các thông tin và khóa công khai đưa vào chứng thư số. Khóa bí mật cùng cặp được quản lý bới máy chủ. Định dạng 1 CSR:

Bạn cần cài đặt chứng thực số SSL trên cùng một máy chủ hoặc với cùng khóa riêng mà bạn tạo ra cùng với CSR. Bạn có thể tìm thấy hướng dẫn trên tài liệu máy chủ của bạn hoặc sử dụng một trong những trang sau:

<VirtualHost 192.168.0.1:443>
    DocumentRoot /var/www/website
    ServerName www.domain.com
    SSLEngine on
    SSLCertificateFile /etc/ssl/crt/primary.crt
    SSLCertificateKeyFile /etc/ssl/crt/private.key
    SSLCertificateChainFile /etc/ssl/crt/intermediate.crt
</VirtualHost> 

5. Thay đổi tên của các filw và đường dẫn cho phù hợp với các file chứng thực số của bạn

/usr/local/apache/bin/apachectl startssl

/usr/local/apache/bin/apachectl restart

1. Tạo file PEM

Khi cài các chứng thực SSL trên Web Server của Lotus Domino, bạn cần trộn các file chứng thực theo một quy trình vòng (dùng để sinh ra CSR) sau:

 

7. Chọn nút lệnh Merge Certificate into Key Ring

Cài đặt Khóa Server Certificate

1. Click Start, chọn Programs, chọn Administrator Tools, chọn Internet Information Services (IIS) Manager

2. Click chuột phải vào Default Website và chọn Properties

3. Chọn Tab Directory Security và click chuột vào nút Server Certificate trong box Secure Communications. Nó sẽ bắt đầu cài Certificate wizard. Click next.

5. Click Browse và tìm đến file SSL certificate mà bạn tải xuống từ CA của bạn. Nếu kiểu file không phải là một file *.cer, hãy xem tất cả các kiểu file và nhấn chọn Next. Kết thúc công việc cài đặt. Primary Server Certificate

Cài đặt Intermediate Certificate

1. Nếu certificate của bạn được cung cấp một intermediate certificate bạn vẫn được cài đặt nó lại. Download intermediate certificate tới một folder trên server.

2. Double Click vào certificate để mở các thông tin chi tiết của certificate.

3. Tại vùng cuối của tab General, click vào nút Install Certificate để bắt đầu nhận cài đặt certificate. Click vào Next.

4. Chọn option Place all certificates in the following store và click vào Browse.

4. Lựa chọn Process the pending request and install the certificate và click Next

Cài đặt Certificate với Keystore

1. Download các file certificate từ certificate authority của bạn và lưu chúng tới cùng một folder như là keystore  trong khi tạo CSR creation process. Certificate sẽ chỉ làm việc với cùng một keystore mà bạn khởi tạo với CSR. Certificate phải được cài đặt tới keystore của bạn với một thứ tự chính xác.

2. cài đặt Root Certificate file: Bất kỳ khi nào bạn cài đặt một certificate với keystore thì bạn phải nhập mật khẩu của keystore mà bạn chọn trong lúc bạn tạo ra nó.  Nhập các lệnh sau đây để cài đặt  Root Certificate file:

keytool -import -trustcacerts -alias root -file RootCertFileName.crt -keystore keystore.key

Nếu bạn nhận được một thông báo là "Certificate already exists in system-wide CA keystore under alias <...> Do you still want to add it to your own keystore? [no]:" hãy chọn Yes. Nếu thành công bạn sẽ thấy thông báo "Certificate was added to keystore".

3. Cài đặt Intermediate Certificate file:Nếu certificate của bạn được cấp một intermediate certificate file, bạn sẽ cần cài đặt nó ở đây bằng cách gõ những dòng lệnh sau đây:

keytool -import -trustcacerts -alias intermediate -file IntermediateCertFileName.crt -keystore keystore.key

Nếu thành công bạn sẽ thấy thông báo "Certificate was added to keystore".

4. Cài đặt Primary Certificate file: Gõ dòng lệnh sau để cài đặt Primary certificate file (cho tên domain của bạn):

keytool -import -trustcacerts -alias tomcat -file PrimaryCertFileName.crt -keystore keystore.key

Nếu thành công bạn sẽ thấy thông báo "Certificate reply was installed in keystore". Bây giờ bạn đã có tất cả các cài đặt của certificate với keystore file. Bạn chỉ cần cấu hình với server của bạn để sử dụng keystore file

Cấu hình SSL Connector của bạn

Tomcat nhận một SSL Connector để được cấu hình trước khi nó có thể nhận một secure connections.

Theo mặc định thì tomcat tự soi Keystore của bạn với tên file. Keystore ở thư mục chủ (Home directory) với mật khẩu mặc định là “changeit” . Thư mục chủ được tạo tự động là /home/user_name/ ở hệ điều hành Linux hay Unix. Và C:\Documents and Settings\user_name\ ở hệ điều hành Window. Bạn sẽ phải thay đổi mật khẩu và đường dẫn file.

Phương thức 1 – Thêm 1 SSL Connector sử dụng công cụ Admin tool

1. Bật Tomcat

2. Nhập http://localhost:8080/admin lên trình duyệt đẻ dùng công cụ admintool

3. Nhập tên người dùng và mật khẩu với administrator

4. Ở phần bên trái chọn service (Java Web Services Developer Pack).

5. Chọn Create New Connector từ một danh sách dropdown ở phần bên phải

6. Chọn HTTPS ở phần chọn kiểu trường Type Field.

7. Ở mục chọn cổng của trường Port Field, nhập 443. Đây là việc định nghĩa cổng TCP/IP mà Tomcat sẽ nhận thông tin cho secure connections.

8. Nhập tên Keystore và mật khẩu Keystore nếu keystore được đặt tên khác Keystore, nếu kheystore được tìm thấy ở một thư mục khác thư mục chủ của máy chứa Tomcat đang chạy, hoặc nếu mật khẩu vẫn để mặt định là changeit. Nếu bạn sử dụng giá trị mặc định của nó, bạn có thể để trắng các trường này

9. Chọn nút Save để lưu một Connector mới

10. Chọn Commit Changes để lưu thông tin của Connector mới với file server.xml vì vậy nó có giá trị với lần chạy tiếp theo của Tomca.t

Phương thức 2 – Cấu hình SSL Connector ở file Server.xml

1. Copy file keystor của bạn (<ten_domain>.key) với thư mục gốc

2. Mở file Home_Directory/conf/server.xml bằng 1 chương trình Text Editor (VD: NotePad của Window)

3. Không  cần comment gì với việc cấu hình SSL connector

4. Phải chắc chắn cổng sử dụng Connector Port là 443

5. Phải chắc chắn rằng KeystorePass hợp với mật khẩu  cho keystore và keystoreFile chứa đường dẫn và filename của keystor.

Khi bạn thực hiện connector của bạn bạn nên xem những cái như sau:

 <Connector className="org.apache.catalina.connector.http.HttpConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="10" debug="0" scheme="https" secure="true">
<Factory className="org.apache.catalina.net.SSLServerSocketFactory" clientAuth="false" protocol="TLS" keystoreFile="/working/mykeystore" keystorePass="password"/>

6. Lưu thay đổi tới file server.xml

7. Khởi động lại Tomcat