Cách thiết lập và cấu hình Certificate Authority trên Ubuntu 20.04

Nhà cung cấp chứng thực số (Certificate Authority – CA) là một đại diện có nhiệm vụ cấp chứng chỉ kỹ thuật số để xác minh danh tính trên internet. Việc thiết lập một CA cho phép người dùng cấu hình, kiểm thử và chạy các chương trình cần kết nối được mã hóa giữa client server. Bài viết này sẽ hướng dẫn chi tiết cách thiết lập và cấu hình Certificate Authority trên Ubuntu 20.04.

Điều kiện để thiết lập và cấu hình Certificate Authority trên Ubuntu 20.04

Việc xác thực danh tính của website và các dịch vụ thường sử dụng public Certificate Authority – CA. Đối với private CA sẽ phù hợp hơn đối với các group khép kín và những dịch vụ bảo mật. Private CA cho phép chạy và kiểm thử các chương trình cần kết nối mã hóa, đồng thời cho phép phát hành chứng chỉ cho user, server hay từng chương trình và dịch vụ trên hệ thống.

Một số chương trình phổ biến trên Linux sử dụng private CA riêng là OpenVPN và Puppet. Bạn cũng có thể cấu hình cho web server sử dụng chứng chỉ được phát hành bởi private CA, từ đó môi trường develop và staging sẽ tương đương với server trong sản xuất (production) sử dụng TLS để mã hóa kết nối.

Trước khi bắt đầu, cần đảm bảo rằng bạn có quyền truy cập vào server Ubuntu 20.04 qua một user non-root với quyền sudo, đồng thời đã cài sẵn tường lửa trên hệ thống. Vietnix sẽ tạm gọi server Ubuntu này là CA server ở trong hướng dẫn.

Hãy đảm bảo rằng CA server là một hệ thống độc lập (standalone). Ta sẽ dùng server này để import, ký và thu hồi các chứng chỉ. Server này không nên chạy thêm bất kỳ dịch vụ nào khác, đồng thời nên được tắt hoàn toàn khi không hoạt động với CA.

Thiết lập và cấu hình Certificate Authority trên Ubuntu 20.04 là một bước quan trọng để đảm bảo bảo mật dữ liệu, xác thực, độ tin cậy. Tuy nhiên, nếu quá trình cài đặt và cấu hình Certificate Authority (CA) trên Ubuntu 20.04 quá phức tạp hoặc người dùng không có kinh nghiệm, một lựa chọn khác mà bạn có thể tham khảo là mua chứng chỉ SSL từ một nhà cung cấp bên thứ ba như Vietnix.

Chỉ từ 160.000 VND/Năm, mua chứng chỉ SSL từ Vietnix là giải pháp tiện dụng và giúp tiết kiệm chi phí vận hành. Liên hệ với đội ngũ Vietnix để được tư vấn chi tiết và kích hoạt dịch vụ nhanh chóng ngay hôm nay.

Các bước thiết lập Certificate Authority trên Ubuntu 20.04

Bước 1 – Cài đặt Easy-RSA

Đầu tiên ta cần cài đặt bộ script easy-rsa trên server CA. easy-rsa là một công cụ quản lý CA, có thể dùng để tạo private key và public root key. Sau đó bạn sẽ dùng key này để ký các request từ client và server.

Đăng nhập vào CA Server bằng user non-root với quyền sudo:

sudo apt update sudo apt install easy-rsa

Sau đó nhập y để xác nhận cài đặt package.

Bước 2 – Chuẩn bị thư mục Public Key Infrastructure (PKI)

Sau khi cài đặt easy-rsa, bạn cần tạo một PKI trên CA Server để bắt đầu việc xây dựng CA. Lưu ý rằng bạn không được chạy quyền sudo cho bất kỳ lệnh nào dưới đây, vì ta cần sử dụng user thường để quản lý và tương tác với CA.

mkdir ~/easy-rsa

Lệnh này sẽ tạo một thư mục mới có tên easy-rsa trong home folder. Bạn sẽ dùng thư mục này để tạo các liên kết tượng trưng (symbolic link – symlink) trỏ đến các file package easy-rsa mà bạn đã tạo ở bước trước. Những file này được lưu trữ trong thư mục /usr/share/easy-rsa trên CA server.

Chạy lệnh sau để tạo symlink:

ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Một cách khác bạn có thể sử dụng là copy các file package easy-rsa vào thư mục PKI. Tuy nhiên việc sử dụng symlink sẽ giúp tự động cập nhật mọi thay đổi từ package easy-rsa lên script PKI, tiện lợi hơn rất nhiều.

Tiếp theo bạn cần giới hạn truy cập vào thư mục PKI mới. Hãy dùng lệnh sau để bảo đảm chỉ chủ sở hữu mới có quyền truy cập vào thư mục này:

chmod 700 /home/sammy/easy-rsa

Cuối cùng là khởi tạo PKI bên trong thư mục easy-rsa:

cd ~/easy-rsa ./easyrsa init-pki

Output init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /home/sammy/easy-rsa/pki

Bây giờ ta đã có một thư mục chứa mọi fall cần thiết để tạo CA trong phần tiếp theo.

Bước 3 – Tạo Certificate Authority

Đầu tiên ta cần viết một số giá vị mặc định vào file vars. Dùng hai lệnh dưới đây để vào thư mục easy-rsa và mở file vars bằng nano:

cd ~/easy-rsa nano vars

Sau đó paste các dòng dưới đây, trong đó thay các xâu trong cặp dấu ngoặc kép thành thông tin tổ chức tương ứng của bạn, lưu ý không để bất kỳ giá trị nào trống.

~/easy-rsa/vars set_var EASYRSA_REQ_COUNTRY    "VN" set_var EASYRSA_REQ_PROVINCE   "HoChiMinh" set_var EASYRSA_REQ_CITY            "Ho Chi Minh City" set_var EASYRSA_REQ_ORG            "Vietnix" set_var EASYRSA_REQ_EMAIL         "admin@example.com" set_var EASYRSA_REQ_OU              "Community" set_var EASYRSA_ALGO                  "ec" set_var EASYRSA_DIGEST               "sha512"

Sau đó thoát text editor, nhập Y rồi nhấn ENTER để xác nhận. Bây giờ bạn có thể bắt đầu xây dựng CA của mình.

Trước hết bạn cần tạo cặp public và private key cho root. Chạy lệnh ./easy-rsa với option build-ca như sau:

./easyrsa build-ca

Trong output bạn sẽ thấy một số dòng chứa thông tin phiên bản của OpenSSL, đồng thời được yêu cầu nhập passphrase cho key pair. Lưu ý hãy chọn một passphrase đủ mạnh mà vẫn ghi nhớ được vì bạn cần nhập mật khẩu mỗi khi tương tác với CA.

Tiếp theo, xác nhận Common Name (CN) cho CA. Đây là tên được dùng để chỉ máy đang sử dụng, theo ngữ cảnh của CA. Nhập một tên bất kỳ hoặc nhấn ENTER để tiếp tục với tên mặc định.

Output . . . Enter New CA Key Passphrase: Re-Enter New CA Key Passphrase: . . . Common Name (eg: your user, host, or server name) [Easy-RSA CA]:  CA creation complete and you may now import and sign cert requests. Your new CA certificate file for publishing is at: /home/sammy/easy-rsa/pki/ca.crt

Để tránh yêu cầu mật khẩu mỗi khi sử dụng CA thì bạn có thể chạy lệnh build-ca với option nopass:

./easyrsa build-ca nopass

Sau bước trên thì ta sẽ có hai file quan trọng: ~/easy-rsa/pki/ca.crt và ~/easy-rsa/pki/private/ca.key, tạo nên các thành phần public và private tương ứng của CA.

• ca.crt là file chứng chỉ của CA. Các user, server và client sẽ dùng chứng chỉ này để xác thực xem mình có thuộc cùng một web được tin cậy hay không. Mọi user và server sử dụng CA đều cần có một bản copy của file này. Tất cả các bên sẽ dựa vào chứng chỉ public để xác thực xem có kẻ tấn công nào đang mạo danh hệ thống để thực hiện tấn công Man-in-the-middle hay không.
• ca.key là private key mà CA dùng để ký chứng chỉ cho server và client. Nếu một kẻ tấn công có quyền truy cập vào CA hay file ca.key thì bạn cần hủy CA càng sớm càng tốt. Do đó, file ca.key chỉ nên được lưu trữ trên máy CA, đồng thời máy này cũng nên tắt mỗi khi không làm việc với chứng chỉ.

Bước 4 – Phân phối chứng chỉ public của Certificate Authority

Sau khi cấu hình xong, CA có thể bắt đầu hoạt động như một root được tin cậy cho bất kỳ hệ thống nào muốn cấu hình để sử dụng. Bạn có thể thêm chứng chỉ của CA vào server OpenVPN, web server, mail server và nhiều hệ thống khác nữa. Bất kỳ user hay server nào cần xác minh danh tính của một user hay server khác trong mạng đều cần có một bản copy của file ca.crt trên kho lưu trữ chứng chỉ của hệ điều hành.

Để import chứng chỉ public của CA vào một hệ thống Linux thứ hai như server hay máy cục bộ, đầu tiên bạn cần có một bản copy của file ca.crt từ server CA. Bạn có thể dùng lệnh cat để hiển thị nội dung của file này ra terminal, sau đó copy rồi paste vào một file trên máy cần import chứng chỉ. Bên cạnh đó bạn cũng có thể dùng một số công cụ như scp hay rsync để truyền file giữa các hệ thống. Bài viết này sẽ làm theo cách ban đầu.

Trước tiên, mở nội dung của file bằng lệnh sau:

cat ~/easy-rsa/pki/ca.crt

Output -----BEGIN CERTIFICATE----- MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQEL BQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw . . . . . . -----END CERTIFICATE-----

Copy tất cả nội dung, bao gồm cả dòng -----BEGIN CERTIFICATE----- và -----END CERTIFICATE-----.

Ở trên máy Linux thứ hai, mở file /tmp/ca.crt bằng một text editor bất kỳ:

nano /tmp/ca.crt

Sau đó paste nội dung vừa copy ở CA Server vào. Cuối cùng là lưu rồi đóng file lại.

Như vậy là bạn đã có một bản sao của file ca.crt trên máy Linux thứ hai. Bây giờ bạn có thể import chứng chỉ bằng các lệnh dưới đây.

Đối với các hệ thống dựa trên Ubuntu và Debian:

sudo cp /tmp/ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates

Để import chứng chỉ của CA Server vào các máy dựa trên CentOS, Fedora hay RedHat thì hãy copy và paste nội dung của file vào file /tmp/ca.crt trên hệ thống. Tiếp theo bạn cần copy chứng chỉ vào /etc/pki/ca-trust/source/anchors rồi chạy lệnh update-ca-trust:

sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust

Bây giờ máy Linux thứ hai sẽ tin cậy mọi chứng chỉ được ký bởi CA Server.

Đến bước này thì bạn đã hoàn tất việc thiết lập chứng chỉ. Ở các phần sau, ta sẽ cùng tìm hiểu cách ký và thu hồi chứng chỉ.

(Không bắt buộc) – Thu hồi chứng chỉ và tạo yêu cầu ký xác thực chứng chỉ

Một yêu cầu ký chứng chỉ (Certificate Signing Request – CSR) bao gồm hai phần: một public key xác định thông tin về hệ thống đang request, và một chữ ký được tạo bằng private key của bên request. Private key sẽ được giữ kín, được dùng để mã hóa thông tin và có thể được giải mã bằng public key.

Các bước dưới đây có thể được chạy trên hệ thống Ubuntu hoặc Debian thứ hai. Ngoài ra hệ thống này cũng có thể là một server từ xa hay một máy Linux local. Vì easy-rsa không có sẵn trên mọi hệ thống nên ta sẽ dùng công cụ openssl để tạo một chứng chỉ và private key.

Chạy lệnh dưới đây để cài đặt openssl:

sudo apt update sudo apt install openssl

Sau đó nhập y để xác nhận cài đặt.

Bây giờ bạn cần tạo generate một private key để bắt đầu việc tạo CSR. Đối với công cụ openssl, hãy tạo một thư mục practice-csr rồi generate key bên trong đó. Ví dụ này sẽ tạo request cho một server có tên sammy-server.

mkdir ~/practice-csr cd ~/practice-csr openssl genrsa -out sammy-server.key

Output Generating RSA private key, 2048 bit long modulus (2 primes) . . . . . . e is 65537 (0x010001)

Bây giờ bạn đã có một private key để tạo CSR. Sử dụng công cụ openssl, sau đó bạn sẽ được yêu cầu điền một số trường thông tin như Country, State hay City. Bạn có thể nhấn . nếu muốn bỏ qua một trường, tuy nhiên bạn nên nhập đúng thông tin vị trí và tổ chức khi tạo CSR.

openssl req -new -key sammy-server.key -out sammy-server.req

Output . . . ----- Country Name (2 letter code) [XX]:VN State or Province Name (full name) []:Ho Chi Minh Locality Name (eg, city) [Default City]:Ho Chi Minh City Organization Name (eg, company) [Default Company Ltd]:VietnixHosting Organizational Unit Name (eg, section) []:Community Common Name (eg, your name or your server's hostname) []:vietnix-server Email Address []:  Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

Nếu muốn tự động thêm các giá trị này vào lệnh gọi openssl thì bạn cũng có thể truyền thêm đối số subj vào lệnh như sau:

openssl req -new -key vietnix-server.key -out server.req -subj \ /C=VN/ST=Ho\ Chi\ Minh/L=Ho\ Chi \ Minh\ City/O=VietnixHosting/OU=Community/CN=vietnix-server

Để xác thực nội dung của CSR, bạn có thể đọc một file request bằng openssl rồi kiểm tra các trường thông tin bên trong:

openssl req -in vietnix-server.req -noout -subject

Output subject=C = VN, ST = Ho Chi Minh, L = Ho Chi Minh City, O = VietnixHosting, OU = Community, CN = vietnix-server

Sau khi hoàn tất, copy file vietnix-server.req vào CA Server bằng lệnh scp:

scp vietnix-server.re vietnix@your_ca_server_ip:/tmp/vietnixvietnix-server.req

Ở bước này, bạn đã tạo một yêu cầu ký chứng chỉ CSR cho server vietnix-server. Trong thực tế, yêu cầu này có thể được thực hiện khi cần một chứng chỉ TLS để kiểm thử trong giai đoạn stage hoặc develop của web server; hay từ một server OpenVPN cần yêu cầu chứng chỉ để user có thể kết nối đến. Trong bước tiếp theo ta sẽ thử ký một CSR bằng private key của CA Server.

(Không bắt buộc) – Ký CSR

Trong bước vừa rồi, bạn đã tạo một yêu cầu chứng chỉ và copy vào thư mục /tmp trên CA Server để mô phỏng lại quá trình yêu cầu trong thực tế của client.

Bây giờ CA Server cần phải import chứng chỉ để ký. Sau khi yêu cầu chứng chỉ được xác thực bởi CA và được chuyển tiếp về lại server thì client tin tưởng CA cũng có thể tin tưởng chứng chỉ vừa được phát hành.

Trong quá trình ký, ta sẽ hoạt động bên trong PKI của CA, nơi có công cụ easy-rsa.

Trước tiên, import yêu cầu bằng lệnh sau:

cd ~/easy-rsa ./easyrsa import-req /tmp/vietnix-server.req vietnix-server

Output . . . The request has been successfully imported with a short name of: sammy-server You may now use this name to perform signing operations on this request.

Bây giờ bạn có thể ký yêu cầu bằng script easyrsa với option sign-req, kèm theo đó là loại request cần ký và Common Name trong CSR. Trong đó loại request có thể là client, server hay ca. Vì ta đang thử ký chứng chỉ cho một server giả tưởng nên hãy chọn loại server:

./easyrsa sign-req server vietnix-server

Trong output, bạn sẽ được yêu cầu xác thực xem request có đến từ một nguồn tin cậy hay không. Nhập yes rồi nhấn ENTER để xác thực:

Output You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender.  Request subject, to be signed as a server certificate for 3650 days:  subject=     commonName                = vietnix-server   Type the word 'yes' to continue, or any other input to abort.   Confirm request details: yes . . . Certificate created at: /home/vietnix/easy-rsa/pki/issued/vietnix-server.crt

Nếu đã mã hóa CA key thì bạn sẽ được yêu cầu nhập mật khẩu tại bước này.

Bây giờ bạn đã ký thành công CSR vietnix-server.req bằng private key của CA Server trong /home/sammy/easy-rsa/pki/private/ca.key. Quá trình này sẽ tạo ra một file mới vietnix-server.crt chứa public key mã hóa của server và chữ ký mới từ CA Server. Chữ ký này dùng để cho những người tin tưởng CA biết rằng họ cũng có thể tin tưởng chứng chỉ sammy-server.

Trên thực tế, yêu cầu thường sẽ đến từ một web server hay VPN server, khi đó ta cần phải phân phối các file vietnix-server.crt và ca.crt mới từ CA Server đến server từ xa đã yêu cầu CSR này:

scp pki/issued/vietnix-server.crt sammy@your_server_ip:/tmp scp pki/ca.crt vietnix@your_server_ip:/tmp

Vậy là bạn đã hoàn tất việc cung cấp chứng chỉ cho một đại diện khác như web server, VPN, hay các công cụ quản lý cấu hình, hệ thống cơ sở dữ liệu,… hoặc đơn thuần chỉ cho mục đích xác thực client.

Thu hồi chứng chỉ – (Không bắt buộc)

Việc thu hồi chứng chỉ thường được thực hiện khi ta cần ngăn chặn không cho một user hay server sử dụng chứng chỉ này. Giả sử như trong trường hợp laptop của người dùng bị đánh cắp, hoặc server bị nhiễm độc,… thì việc thu hồi chứng chỉ sẽ giúp bảo mật thông tin, ngăn ngừa rủi ro rò rỉ dữ liệu.

Quá trình thu hồi chứng chỉ gồm 4 bước như sau:

1. Thu hồi chứng chỉ bằng lệnh /easyrsa revoke client_name.
2. Tạo CRL (Certificate Revocation List – danh sách thu hồi chứng chỉ) mới bằng lệnh ./easyrsa gen-crl.
3. Truyền file crl.pem vừa được cập nhật đến các server sử dụng CA của bạn, cũng như đến những hệ thống có bản sao của file này.
4. Restart mọi dịch vụ sử dụng CA và file CRL của bạn.

Chi tiết của các bước sẽ được trình bày dưới đây.

Thu hồi chứng chỉ

Để thu hồi chứng chỉ, trước tiên vào thư mục easy-rsa trên CA Server:

cd ~/easy-rsa

Tiếp theo, chạy script easyrsa với option revoke và tên client cần thu hồi. Ví dụ lệnh dưới đây sẽ dùng Common Name của chứng chỉ là sammy-server như các bước vừa rồi:

./easyrsa revoke vietnix-server

Sau đó nhập yes để xác nhận thu hồi:

Output Please confirm you wish to revoke the certificate with the following subject:  subject=     commonName                = vietnix-server   Type the word 'yes' to continue, or any other input to abort.   Continue with revocation: yes . . . Revoking Certificate 8348B3F146A765581946040D5C4D590A . . .

Ở dòng Revoking Certificate ta sẽ thấy được số serial của chứng chỉ. Nếu bạn muốn kiểm tra danh sách thu hồi (được thực hiện ở bước cuối cùng trong hướng dẫn) thì bạn sẽ cần đến số serial này.

Sau khi xác nhận xong thì CA Server sẽ thu hồi chứng chỉ. Tuy nhiên, các hệ thống remote dựa trên CA này vẫn chưa kiểm tra được xem các chứng chỉ này đã được thu hồi chưa. Do đó user và server vẫn có thể sử dụng chứng chỉ này cho đến khi CRL được phân phối đến mọi hệ thống sử dụng CA này.

Phân phối Certificate Revocation List

Sau khi tạo CRL trên CA Server xong thì bạn cần phân phối nó đến các hệ thống từ xa (remote system) dựa trên CA này bằng lệnh scp.

Hãy đảm bảo rằng bạn đã đăng nhập vào CA Server bằng user non-root. Chạy lệnh dưới đây và thay địa chỉ IP hoặc DNS của server vào your_server_ip:

scp ~/easy-rsa/pki/crl.pem vietnix@your_server_ip:/tmp

Cập nhật các dịch vụ hỗ trợ CRL

Việc nêu chi tiết từng bước cần thực hiện để cập nhật các dịch vụ đang sử dụng file crl.pem sẽ làm bài viết trở nên lan man và khó nắm bắt vấn đề hơn. Đo đó ta sẽ theo cách dễ nắm bắt nhất: copy file crl.pem vào vị trí các dịch vụ cần, sau đó restart bằng systemctl. Sau khi cập nhật xong, các dịch vụ sẽ tự động từ chối kết nối từ những client hay server có chứng chỉ đã được thu hồi.

Kiểm tra và xác thực nội dung của CRL

Nếu bạn muốn kiểm tra file CRL, chẳng hạn như để xác nhận danh sách các chứng chỉ đã được thu hồi, thì có thể dùng lệnh openssl trong thư mục easy-rsa trên CA Server:

cd ~/easy-rsa openssl crl -in pki/crl.pem -noout -text

Bên cạnh đó, bạn cũng có thể chạy lệnh dưới đây trên bất kỳ server hay hệ thống nào đã cài sẵn công cụ openssl và có bản sao của file crl.pem. Ví dụ dưới đây giả sử rằng bạn đã truyền file crl.pem đến một hệ thống thứ hai và bây giờ muốn xác thực xem chứng chỉ vietnix-server đã được thu hồi hay chưa. Khi đó bạn có thể dùng lệnh openssl, thay số serial bằng giá trị có được ở bước thu hồi chứng chỉ:

openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A

Output     Serial Number: 8348B3F146A765581946040D5C4D590A         Revocation Date: Apr  1 20:48:02 2020 GMT

Qua 10 năm hoạt động, Vietnix hiện đang là một trong những nhà cung cấp dịch vụ VPS tốc độ cao chất lượng, uy tín hàng đầu Việt Nam. Với sự đầu tư liên tục về hạ tầng và nhân sự để có thể nhanh chóng đáp ứng được các tiêu chuẩn khắt khe của thị trường hosting, VPS,… quốc tế, Vietnix hiện đã được hơn 50.000+ khách hàng trong lẫn ngoài nước tin tưởng trong đó có thể kể đến như: iVIVU.com, GTV, Vietnamwork, UBGroup, KINGFOOD,…

Năm 2022 vừa qua, Vietnix vinh dự nhận được giải thưởng “Thương hiệu Việt Nam xuất sắc 2022”, hạng mục “Sản phẩm dịch vụ xuất sắc”.

Nhanh tay liên hệ Vietnix để được tư vấn chi tiết về dịch vụ ngay hôm nay!

• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh.
• Hotline: 1800 1093 – 07 088 44444
• Email: sales@vietnix.com.vn

Lời kết

Qua bài viết này, bạn đã tạo một private CA bằng package Easy-RSA trên server Ubuntu 20.04. Bên cạnh đó bạn cũng đã tạo và ký một yêu cầu ký chứng chỉ (CSR) cho server khác và sử dụng lệnh để thu hồi chứng chỉ khi cần thiết. Hi vọng nội dung trên đã đem đến cho bạn nhiều kiến thức bổ ích. Trong quá trình thao tác nếu còn gì thắc mắc bạn có thể để lại bình luận bên dưới, Vietnix sẽ giải đáp ngay lập tức.