Hướng dẫn lưu trữ website bằng Cloudflare và Nginx trên Ubuntu 20.04

Việc lưu trữ web bằng Cloudflare và Nginx trên Ubuntu 20.04 giúp tối ưu hiệu suất, tăng cường bảo mật và giảm tải cho máy chủ. Cloudflare đóng vai trò như một CDN và tường lửa bảo vệ website khỏi các cuộc tấn công DDoS, trong khi Nginx hoạt động như một web server mạnh mẽ, xử lý lưu lượng truy cập hiệu quả. Trong bài viết này, mình sẽ hướng dẫn bạn cách thiết lập và cấu hình Cloudflare kết hợp với Nginx để lưu trữ website trên Ubuntu 20.04 một cách đơn giản và tối ưu nhất.

Những điểm chính

• Điều kiện để lưu trữ web bằng Cloudflare và Nginx trên Ubuntu 20.04: Biết được các yêu cầu cần thiết để bắt đầu triển khai giải pháp lưu trữ web.
• Tạo chứng chỉ TLS CA: Hướng dẫn chi tiết cách tạo chứng chỉ TLS miễn phí từ Cloudflare Origin CA để bảo mật kết nối giữa Cloudflare và máy chủ Nginx.
• Cài đặt chứng chỉ TLS CA trong Nginx: Hướng dẫn cách cấu hình Nginx để sử dụng chứng chỉ TLS vừa tạo, bao gồm cài đặt HTTPS, chuyển hướng từ HTTP sang HTTPS và kiểm tra cấu hình.
• Thiết lập nguồn gốc được xác thực (Authenticated Origin Pulls): Hướng dẫn cấu hình Nginx để chỉ chấp nhận các yêu cầu hợp lệ từ Cloudflare bằng cách sử dụng chứng chỉ CA xác thực.
• Giới thiệu về VPS Vietnix: Đưa ra giải pháp máy chủ mạnh mẽ, đáng tin cậy cho những người chưa có máy chủ phù hợp.

Điều kiện để lưu trữ web bằng Cloudflare và Nginx trên Ubuntu 20.04

Để thực hiện lưu trữ web bằng Cloudflare và Nginx trên Ubuntu 20.04, bạn sẽ cần có:

• Một máy chủ Ubuntu 20.04 đã cấu hình tường lửa, user non-root với quyền sudo và được cài đặt sẵn Nginx.
• Một tài khoản Cloudflare.
• Một tên miền đã đăng ký và được thêm vào tài khoản Cloudflare, tên miền đó trỏ đến máy chủ Nginx của bạn.
• Máy chủ Nginx cần được cấu hình với tên miền bạn đã đăng ký.

Nếu bạn chưa có máy chủ phù hợp để triển khai website theo hướng dẫn, hãy tham khảo VPS Giá Rẻ, VPS SSD, VPS NVMe hoặc VPS AMD tại Vietnix. Vietnix cung cấp đa dạng gói VPS với cấu hình mạnh mẽ, tốc độ cao, cùng hệ điều hành Ubuntu 20.04 được cài đặt sẵn. Dịch vụ hỗ trợ 24/7 chuyên nghiệp của Vietnix sẽ giúp bạn dễ dàng thiết lập máy chủ và triển khai website một cách nhanh chóng. Liên hệ Vietnix ngay để được tư vấn chi tiết!

Bước 1: Tạo chứng chỉ TLS CA

TLS (Transport Layer Security) là giao thức đảm bảo mọi thao tác với dữ liệu của người trên trang web sẽ luôn được mã hóa và an toàn trong quá trình truyền tin. Giao thức này có thể được các tổ chức uy tín, đã được cấp phép và công nhận rộng rãi trên thế giới xác thực và cung cấp cho những người dùng dưới dạng chứng chỉ – certificate. Lúc này, các tổ chức đó sẽ được gọi là CA (Certificate Authority).

Tương tự như các CA khác, Cloudflare cho phép bạn tạo chứng chỉ TLS miễn phí do Cloudflare ký để cài đặt trên máy chủ Nginx. Khi sử dụng chứng chỉ TLS do Cloudflare tạo, bạn có thể bảo mật kết nối giữa máy chủ của Cloudflare và máy chủ Nginx của bạn.

Để tạo chứng chỉ với Origin CA, đầu tiên bạn thực hiện đăng nhập vào tài khoản Cloudflare trong trình duyệt web. Chọn miền mà bạn muốn bảo mật và điều hướng đến phần SSL/TLS trên bảng điều khiển Cloudflare. Từ đó, điều hướng đến mục Origin Server và nhấp vào nút Create Certificate:

Bạn lựa chọn mặc định Generate private key and CSR with Cloudflare.

Nhấp vào Next và bạn sẽ thấy hộp thoại bao gồm 2 mục Origin Certificate và Private Key. Bạn cần tải xuống cả Origin Certificate và Private Key từ Cloudflare sang máy chủ của mình. Nhớ sao chép sang máy chủ của bạn trước khi nhấp vào OK và không được chia sẻ chúng với bất kỳ ai.

Bạn sẽ sử dụng thư mục /etc/ssl trên máy chủ để lưu trữ Origin Certificate và Private Key vừa rồi. Thư mục này đã tồn tại sẵn trên máy chủ nên bạn chỉ việc sử dụng mà không cần phải tạo mới.

Thực hiện sao chép nội dung của Origin Certificate được hiển thị trong hộp thoại trên trình duyệt của bạn. Tiếp theo, hãy mở file /etc/ssl/cert.pem bằng trình soạn thảo văn bản ưa thích của bạn. Hướng dẫn này sẽ sử dụng nano với câu lệnh như sau:

sudo nano /etc/ssl/cert.pem

Dán nội dung chứng chỉ vào file. Sau đó lưu và thoát khỏi trình chỉnh sửa bằng cách tổ hợp nhấn Ctrl+X, khi được nhắc xác nhận thao tác, bạn nhấn phím Y rồi Enter.

Trở lại trình duyệt web, sao chép nội dung của Private key. Sau đó mở file /etc/ssl/key.pem để chỉnh sửa:

sudo nano /etc/ssl/key.pem

Dán private key vào file, lưu file và thoát khỏi trình chỉnh sửa.

Cảnh báo: Chứng chỉ Origin CA của Cloudflare chỉ được Cloudflare tin cậy và do đó chỉ nên được sử dụng bởi các máy chủ được kết nối dịch vụ với Cloudflare. Nếu tại bất kỳ thời điểm nào bạn tạm dừng hoặc tắt Cloudflare, web sẽ không nhận chứng chỉ và có thể gây ra lỗi chứng chỉ không đáng tin cậy.

Ngoài chứng chỉ Origin CA Cloudflare, bạn có thể cài đặt chứng chỉ SSL certificate thay thế. Giao thức SSL cũng có phương thức hoạt động tương tự như TLS khi giúp mã hóa dữ liệu truyền từ máy chủ đến người dùng và ngược lại. Từ đó đảm bảo thông tin luôn được bảo mật và tránh khỏi các cuộc nghe lén hay đánh cắp thông tin từ hacker. Bạn có thể tham khảo mua SSL hiện tại Vietnix với mức giá chỉ từ 160.000 VND/Năm.

Bước tiếp theo, bạn cần cập nhật cấu hình Nginx để có thể sử dụng chứng chỉ.

Bước 2: Cài đặt Chứng chỉ Origin CA trong Nginx

Lúc này, bạn đã tạo origin certificate và private key của Cloudflare và lưu các file vào máy chủ của mình. Bây giờ, bạn sẽ cập nhật cấu hình Nginx cho trang web để sử dụng chúng nhằm bảo mật kết nối giữa các máy chủ của Cloudflare và máy chủ của bạn.

Trước tiên, hãy đảm bảo rằng tường lửa UFW cho phép lưu lượng HTTPS được thông qua bằng cách bật thiết lập Nginx Full để mở cả cổng 80 (HTTP) và cổng 443 (HTTPS):

sudo ufw allow 'Nginx Full'

Thực hiện khởi tạo lại dịch vụ UFW để áp dụng các cấu hình mới:

sudo ufw reload

Cuối cùng, hãy kiểm tra xem các quy tắc mới của bạn có được cho phép không và UFW có đang hoạt động không:

sudo ufw status

Bạn sẽ thấy output như thế này:

Output
Status: active

To                           Action      From
--                             ------         ----
OpenSSH               ALLOW     Anywhere
Nginx Full              ALLOW     Anywhere
OpenSSH (v6)       ALLOW     Anywhere (v6)
Nginx Full (v6)       ALLOW     Anywhere (v6)

Tiếp theo, bạn cần điều chỉnh lại server block Nginx. Ban đầu khi cài đặt, Nginx tạo một server block mặc định. Thực hiện xóa block đó đi vì bạn sẽ cấu hình một server block mới với tùy chỉnh theo tên miền sẵn có bằng câu lệnh:

sudo rm /etc/nginx/sites-enabled/default

Tiếp theo, mở file cấu hình Nginx cho miền của bạn:

sudo nano /etc/nginx/sites-available/your_domain

Các file sẽ trông giống như sau:

server {
        listen 80;
        listen [::]:80;

        root /var/www/vietnix.com/html;
        index index.html index.htm index.nginx-debian.html;

        server_name vietnix.com www.vietnix.com;

        location / {
                try_files $uri $uri/ =404;
        }
}

Bạn sẽ phải sửa đổi file cấu hình Nginx để thực hiện các thao tác sau:

• Nghe trên cổng 80 và chuyển hướng tất cả các yêu cầu sử dụng https.
• Nghe trên cổng 443 và sử dụng origin certificate và private key đã được thêm vào trong phần trước.

File cấu hình cuối cùng sẽ trông giống như sau:

server {
    listen 80;
    listen [::]:80;
    server_name vietnix.com www.vietnix.com;
    return 302 https://$server_name$request_uri;
}

server {

    # SSL configuration

    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl_certificate         /etc/ssl/cert.pem;
    ssl_certificate_key     /etc/ssl/key.pem;

    server_name vietnix.com www.vietnix.com;

    root /var/www/vietnix.com/html;
    index index.html index.htm index.nginx-debian.html;


    location / {
            try_files $uri $uri/ =404;
    }
}

Lưu file và thoát khỏi trình chỉnh sửa.

Tiếp theo, hãy kiểm tra để đảm bảo rằng không có lỗi cú pháp trong bất kỳ file cấu hình Nginx nào bằng câu lệnh:

sudo nginx -t

Nếu không có vấn đề gì, Nginx sẽ thông báo mọi thứ chính xác, sau đó hãy khởi động lại Nginx để kích hoạt các thay đổi cấu hình mới:

sudo systemctl restart nginx

Bây giờ, hãy chuyển đến phần SSL/TLS của bảng điều khiển Cloudflare, chọn Overview và thay đổi chế độ mã hóa từ SSL/TLS encryption mode thành Full (strict). Lựa chọn này thông báo cho Cloudflare luôn mã hóa kết nối giữa Cloudflare và máy chủ Nginx của bạn.

Bây giờ, truy cập trang web của bạn tại địa chỉ https://vietnix.com để xác minh rằng trang web được thiết lập đúng cách. Bạn sẽ thấy trang chủ được hiển thị và trình duyệt sẽ báo cáo rằng trang web này an toàn.

Phần tiếp theo sẽ thiết lập Authenticated Origin Pulls để xác minh rằng máy chủ gốc của bạn thực sự đang giao tiếp với Cloudflare chứ không phải một số máy chủ giả mạo, nặc danh nào khác. Bằng cách đó, Nginx sẽ được cấu hình để chỉ chấp thuận các yêu cầu sử dụng chứng chỉ ứng dụng khách hợp lệ từ Cloudflare. Tất cả các yêu cầu chưa được chuyển qua Cloudflare sẽ bị hủy.

Bước 3: Thiết lập nguồn gốc được xác thực

Chứng chỉ Origin CA sẽ giúp Cloudflare xác minh rằng kết nối với đúng máy chủ gốc. Bước này sẽ sử dụng Xác thực ứng dụng khách TLS (TLS Client Authentication) để xác minh rằng máy chủ Nginx gốc của bạn đang kết nối với Cloudflare.

Trong quá trình bắt tay TLS do ứng dụng khách xác thực, cả hai bên đều phải được cung cấp chứng chỉ để xác minh. Máy chủ Nginx gốc đã được cấu hình để chỉ chấp thuận các yêu cầu sử dụng chứng chỉ ứng dụng khách hợp lệ từ Cloudflare. Các yêu cầu chưa được chuyển qua Cloudflare sẽ bị loại bỏ. Điều này có nghĩa là những kẻ tấn công không thể phá vỡ các biện pháp bảo mật của Cloudflare và kết nối trực tiếp với máy chủ Nginx của bạn. Qua đó, đảm bảo cho máy chủ luôn an toàn khỏi các cuộc tấn công không rõ nguồn gốc.

Cloudflare xuất trình các chứng chỉ được CA ký với chứng chỉ sau:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Bạn cũng có thể tải xuống chứng chỉ trực tiếp từ tài liệu của Cloudflare.

Sau đó tạo file /etc/ssl/cloudflare.crt để lưu trữ chứng chỉ của Cloudflare:

sudo nano /etc/ssl/cloudflare.crt

Thêm chứng chỉ vào file. Sau đó, lưu file và thoát khỏi trình chỉnh sửa.

Bây giờ hãy cập nhật cấu hình Nginx của bạn để sử dụng TLS Authenticated Origin Pulls và thực hiện mở file cấu hình cho miền của bạn:

sudo nano /etc/nginx/sites-available/your_domain

Thêm các chỉ thị ssl_client_certificate và ssl_verify_client như sau:

. . .

server {

    # SSL configuration

    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    ssl_certificate         /etc/ssl/cert.pem;
    ssl_certificate_key     /etc/ssl/key.pem;
    ssl_client_certificate /etc/ssl/cloudflare.crt;
    ssl_verify_client on;

    . . .

Lưu file và thoát khỏi trình chỉnh sửa.

Tiếp theo, hãy kiểm tra Nginx để đảm bảo rằng không có lỗi cú pháp nào trong cấu hình Nginx của bạn một lần nữa:

sudo nginx -t

Nếu không tìm thấy vấn đề gì, hãy khởi động lại Nginx để kích hoạt các thay đổi cấu hình:

sudo systemctl restart nginx

Cuối cùng, để bật Authenticated Pulls, hãy mở phần SSL/TLS trong bảng điều khiển Cloudflare, điều hướng đến phần Origin Server và bật tùy chọn Authenticated Origin Pulls.

Bây giờ, truy cập trang web https://vietnix.com để xác minh rằng trang web đã được thiết lập đúng cách. Bạn sẽ thấy trang chủ hiển thị một cách bình thường.

Để xác minh rằng máy chủ của bạn sẽ chỉ chấp nhận các yêu cầu được ký bởi CA của Cloudflare, hãy tắt tùy chọn Authenticated Origin Pulls và sau đó tải lại trang web của bạn. Bạn sẽ nhận được thông báo lỗi sau:

Máy chủ gốc của bạn phát sinh lỗi nếu CA của Cloudflare không ký yêu cầu.

Vietnix – Đơn vị cho thuê VPS uy tín, tốc độ cao, hỗ trợ 24/7

Vietnix là đơn vị uy tín trong lĩnh vực cung cấp VPS tốc độ cao, ổn định, với hơn 12 năm kinh nghiệm phục vụ khách hàng trong và ngoài nước. Hệ thống máy chủ mạnh mẽ, hỗ trợ nhiều hệ điều hành như Windows, Linux (Ubuntu, CentOS, Debian,…), giúp khách hàng dễ dàng triển khai các ứng dụng theo nhu cầu. Đặc biệt, Vietnix đạt chứng nhận ISO 9001 & ISO 27001, cam kết mang đến dịch vụ chất lượng, bảo mật cao. Đội ngũ kỹ thuật chuyên nghiệp hỗ trợ 24/7, sẵn sàng giải quyết mọi vấn đề nhanh chóng, đảm bảo hệ thống vận hành mượt mà và hiệu quả.

Thông tin liên hệ:

• Địa chỉ: 265 Hồng Lạc, Phường 10, Quận Tân Bình, Thành Phố Hồ Chí Minh
• Hotline: 1800 1093
• Email: sales@vietnix.com.vn
• Website: https://vietnix.vn/ 

Như vậy, qua bài viết này, bạn đã biết cách thiết lập lưu trữ web bằng Cloudflare và Nginx trên Ubuntu 20.04. Sự kết hợp giữa Cloudflare và Nginx không chỉ tối ưu tốc độ tải trang mà còn cải thiện bảo mật, giúp website của bạn hoạt động ổn định và an toàn hơn. Hy vọng hướng dẫn chi tiết này sẽ giúp bạn triển khai thành công hệ thống lưu trữ website của mình. Đừng ngần ngại để lại câu hỏi hoặc góp ý nếu bạn cần thêm sự hỗ trợ. Chúc bạn thành công!