Hướng dẫn backup chứng thư số SSL

Ngày đăng: 2015-09-23 12:25:47 | Cập nhật: 2015-11-19 15:47:05

Sau khi cài đặt thành công chứng thư số SSL cho máy chủ, bạn nên backup lại cả bộ chứng thư số bao gồm: private key, certificate, Intermediate CAs để dự phòng. Tùy loại máy chủ mà bạn đang sử dụng, bạn sẽ thực hiện việc backup theo hướng dẫn tương ứng.

Microsoft IIS
Microsoft Exchange Server
Microsoft OCS / Microsoft Lync
Apache
nginx
Tomcat/JBoss
IBM Websphere
Oracle HTTP Server
MDaemon
Zimbra
Postfix
F5 BIG-IP

 

Hướng dẫn backup chứng thư số SSL cho Microsoft IIS 5.0, 6.0, 7.0, 8.0

Microsoft quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.

Bước 1: Tạo một Microsoft Management Console (MMC) Snap-in

1. Nhấn Start, chọn Run... và gõ lệnh mmc

2. Chọn File > Add/Remove snap-in...

3. Chọn Certificates từ khung bên trái rồi nhấn nút Add.

4. Nhấn OK để trở về màn hình MMC.

 

Bước 2: Export bộ chứng thư số

1. Trong màn hình Certificates Snap-in vừa tạo, chọn mục Personal > Certificates. Danh sách chứng thư số SSL trên máy chủ sẽ xuất hiện trong khung bên phải.

2. Chọn chứng thư số cần backup sau đó nhấp chuột phải, chọn All Tasks > Export. Màn hình Certificate Export Wizard sẽ xuất hiện.

3. Chọn vào mục Yes, export the private key. Lưu ý: Bạn cần phải chọn mục này, nếu không file backup sẽ không thể sử dụng vì thiếu private key. Nhấn Next.

4. Trong màn hình Export File Format, bạn chọn Personal Information Exchange  - PKCS#12 (.pfx).

5. Chọn mục Include all certificates in the certificate path if possible. Bạn cần chọn mục này để backup kèm theo các Intermedaite CAs.

6. Không chọn mục Require Strong Encryption. Lưu ý: Nếu chọn mục này, mỗi lần IIS khởi động lại, bạn sẽ cần phải nhập lại mật khẩu của private key, rất bất tiện. Nhấn Next.

7. Nhập vào mật khẩu để bảo vệ cho file backup và nhấn Next.

8. Chọn thư mục và đặt tên cho file backup và  Next.

9. Kiểm tra lại thông tin và nhấn Finish.

Bạn đã backup thành công bộ chứng thư số SSL cho IIS.

 

Hướng dẫn backup chứng thư số SSL cho Apache

Apache sử dụng 3 file sau đây để cấu hình SSL: private.key, certificate.crt, intermediate.crt (tên file có thể khác nhau tùy vào mỗi hệ thống).

Nếu bạn vừa cài đặt chứng thư số SSL cho máy chủ xong, bạn sẽ nhớ vị trí của 3 file này. Nếu bạn không nhớ vị trí của chúng, bạn có thể tìm thấy bằng cách mở file cấu hình của Apache (thường có tên là httpd.conf, hoặc httpd-ssl.conf, hoặc ssl.conf). Tìm đoạn cấu hình sau:

SSLCertificateFile .../path/to/certificate.crt
SSLCACertificateFile .../path/to/intermediate.crt
SSLCertificateKeyFile .../path/to/private.key

Bạn cần lưu trữ lại 3 file này và file cấu hình của Apache.

 

Hướng dẫn backup chứng thư số SSL cho nginx

nginx sử dụng 2 file sau đây để cấu hình SSL: private.key, certificate.crt (tên file có thể khác nhau tùy vào mỗi hệ thống). Trong trường hợp bạn có cấu hình OCSP stapling cho nginx, bạn cần tìm thêm file cabundle.crt.

Nếu bạn vừa cài đặt chứng thư số SSL cho máy chủ xong, bạn sẽ nhớ vị trí của các file này. Nếu bạn không nhớ vị trí của chúng, bạn có thể tìm thấy bằng cách mở file cấu hình của nginx (thường có tên là nginx.conf, hoặc default.conf, hoặc ssl.conf trong thư mục /etc/nginx/). Tìm đoạn cấu hình sau:

ssl_certificate .../path/to/certificate.crt;
ssl_certificate_key .../path/to/private.key;

Nếu bạn có cấu hình OCSP stapling cho nginx, bạn cần tìm thêm đoạn sau:

ssl_trusted_certificate .../path/to/cabundle.crt;

Bạn cần lưu trữ lại 3 file này và file cấu hình của nginx.

 

Hướng dẫn backup chứng thư số SSL cho Tomcat/JBoss

Tomcat/JBoss dùng Java Keystore để lưu trữ cả bộ chứng thư số SSL trong một file duy nhất. Bạn cần tìm ra file này và mật khẩu để backup.

Bạn mở file cấu hình của Tomcat/JBoss (thường có tên server.xml) và tìm đoạn cấu hình sau:

<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="tomcat" keystoreFile="/usr/local/ssl/keystore.jks" keystorePass="changeit" />

Trong đoạn cấu hình trên, file Java Keystore chính là /usr/local/ssl/keystore.jks và mật khẩu của Keystore là changeit.

Bạn cần backup lại file keystore.jks, mật khẩu của Keystore, và file cấu hình Tomcat (server.xml).

 

Hướng dẫn backup chứng thư số SSL cho IBM Websphere

1. Gõ lệnh ikeyman trên dòng lệnh Unix hoặc chạy tiện ích Key Management trong thư mục IBM Websphere Server (Windows)

2. Chọn Key Database File từ menu chính, sau đó chọn Open

3. Trong cửa sổ Open, nhập tên Key Database hoặc nhấp key.kdb file nếu bạn đang dùng Key DB mặc định. Nhấp OK

4. Trong cửa sổ Password Prompt, nhập mật khẩu và nhấn OK

5. Chọn Personal Certificates trong mục Key Database, và nhấn nút Export/Import

6. Trong màn hình Export/Import Key, chọn Export Key

7. Chọn Key database file type là PKCS12. Nhập tên file. Có thể Browse để chọn vị trí chính xác.

8. Nhấn OK.

9. Nhập và xác nhận mật khẩu. Nhấn OK để xuất ra file PFX.

 

Hướng dẫn backup chứng thư số SSL cho Oracle HTTP Server

Oracle HTTP Server dùng Oracle Wallet để lưu trữ bộ chứng thư số SSL. Wallet mặc định được lưu trữ tại thư mục ORACLE_HOME/Apache/Apache/conf/ssl.wlt/default. Bạn cần kiểm tra lại chính xác Wallet đang được sử dụng trong file cấu hình Oracle HTTP Server tại địa chỉ ORACLE_HOME/Apache/Apache/conf/ssl.conf. Bạn sẽ tìm thấy 2 dòng cấu hình sau:

SSLWallet file:/etc/ORACLE/Apache/Apache/conf/ssl.wlt/default
SSLWalletPassword your_password

Bạn cần lưu trữ lại wallet và mật khẩu.

 

Hướng dẫn backup chứng thư số SSL cho Microsoft Exchange Server

Microsoft Exchange Server quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.

Vui lòng tham khảo hướng dẫn backup dành cho Microsoft IIS.

 

Hướng dẫn backup chứng thư số SSL cho Microsoft OCS / Microsoft Lync

Microsoft OCS / Microsoft Lync quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.

Vui lòng tham khảo hướng dẫn backup dành cho Microsoft IIS.

 

Hướng dẫn backup chứng thư số SSL cho MDaemon

MDaemon quản lý chứng thư số SSL tập trung bằng MMC Snap-in có tên là Certificates.

Vui lòng tham khảo hướng dẫn backup dành cho Microsoft IIS.

 

Hướng dẫn backup chứng thư số SSL cho Zimbra

Bộ chứng thư số SSL cho Zimbra được lưu trữ tại địa chỉ sau trên máy chủ:

/opt/zimbra/ssl/zimbra/commercial/commercial.key
/opt/zimbra/ssl/zimbra/commercial/commercial.crt
/opt/zimbra/ssl/zimbra/commercial/commercial_ca.crt


Bạn chỉ cần tải về 3 file trên để backup.

 

Hướng dẫn backup chứng thư số SSL cho Postfix

Bạn có thể tìm thấy thư mục chứa bộ chứng thư số SSL trong file cấu hình của Postfix (/etc/postfix/main.cf). Tìm đoạn cấu hình sau:

smtpd_tls_key_file = /etc/postfix/ssl/private.key
smtpd_tls_cert_file = /etc/postfix/ssl/certificate.crt
smtpd_tls_CAfile = /etc/postfix/ssl/intermediate.crt

Bạn chỉ cần tải về 3 file trên để backup.

 

Hướng dẫn backup chứng thư số cho F5 BIG-IP

Để backup chứng thư số cho F5 BIG-IP, bạn tham khảo hướng dẫn từ link sau:

Hướng dẫn export chứng thư số và private key từ F5 BIG-IP