Để bắt đầu làm việc với các giao thức mã hóa, trước hết cần cài đặt thư viện OpenSSL trên hệ thống. Đối với môi trường Windows, người dùng nên tải bộ cài đặt phù hợp với kiến trúc hệ điều hành (Win64 hoặc Win32) từ các nguồn phân phối uy tín.
1.1. Các bước cài đặt
Trong quá trình cài đặt, tại mục Select Additional Tasks, hệ thống sẽ hỏi về vị trí sao chép các file DLL. Khuyến nghị không nên copy các file này vào thư mục hệ thống (System32) để tránh xung đột phiên bản với các phần mềm khác như Git hay VMware. Hãy giữ chúng trong thư mục cài đặt mặc định của OpenSSL.
1.2. Kiểm tra phiên bản
Sau khi cài đặt xong, mở Command Prompt và chạy lệnh sau để xác minh:
openssl version -aNếu kết quả trả về không đúng phiên bản vừa cài, có thể do các công cụ khác đã cài sẵn OpenSSL cũ hơn. Để khắc phục, hãy đưa đường dẫn thư mục bin của OpenSSL mới vào biến môi trường Path của hệ thống, đảm bảo nó được ưu tiên tìm kiếm đầu tiên.
2. Thiết lập hạ tầng khóa công khai (PKI)
Quy trình tạo chứng chỉ thường bao gồm 3 thành phần chính: Chứng chỉ gốc (CA), chứng chỉ máy chủ (Server) và chứng chỉ máy khách (Client). CA đóng vai trò là bên tin cậy để ký xác thực cho các chứng chỉ còn lại.
2.1. Tạo chứng chỉ gốc (CA Root)
Đây là bước khởi tạo cơ quan chứng chỉ riêng. Chỉ cần thực hiện một lần cho mỗi dự án.
2.1.1. Sinh khóa bí mật cho CA
Sử dụng thuật toán RSA với độ dài 2048 bit để tạo khóa riêng. File đầu ra sẽ là root_private.pem.
openssl genrsa -out root_private.pem 2048Để kiểm tra tính toàn vẹn của khóa vừa tạo, sử dụng lệnh:
openssl rsa -in root_private.pem -checkNếu hiển thị thông báo RSA key ok, khóa đã được tạo thành công.
2.1.2. Tạo yêu cầu ký chứng chỉ (CSR)
Tạo file CSR chứa thông tin định danh cho CA, sử dụng khóa riêng đã sinh ở trên. Thuật toán băm SHA-256 được khuyến nghị sử dụng.
openssl req -new -sha256 -key root_private.pem -subj "/C=VN/O=MyOrganization/CN=localhost" -out root_request.csrChuỗi -subj định nghĩa các thông tin như quốc gia (C), tổ chức (O) và tên chung (CN).
2.1.3. Tự ký chứng chỉ gốc
Dùng CSR và khóa riêng để tạo ra chứng chỉ gốc tự ký (self-signed). Chứng chỉ này có hiệu lực trong 365 ngày.
openssl x509 -req -days 365 -sha256 -in root_request.csr -signkey root_private.pem -out root_public.pemFile root_public.pem chính là chứng chỉ CA sẽ được dùng để ký cho các chứng chỉ con.
2.2. Tạo chứng chỉ cho máy chủ (Server)
Quy trình này sử dụng CA đã tạo ở trên để cấp phát chứng chỉ cho server.
2.2.1. Sinh khóa riêng cho Server
openssl genrsa -out service_private.pem 20482.2.2. Tạo CSR cho Server
openssl req -new -sha256 -key service_private.pem -subj "/C=VN/O=MyOrganization/CN=localhost" -out service_request.csr2.2.3. Ký chứng chỉ Server bằng CA
Sử dụng khóa và chứng chỉ của CA để ký vào CSR của server, tạo ra chứng chỉ hợp lệ service_cert.pem.
openssl x509 -req -in service_request.csr -CA root_public.pem -CAkey root_private.pem -CAcreateserial -out service_cert.pem -days 365 -sha2562.3. Tạo chứng chỉ cho máy khách (Client)
Tương tự như quy trình của server, nhưng dùng cho việc xác thực người dùng hoặc ứng dụng client.
2.3.1. Sinh khóa riêng cho Client
openssl genrsa -out user_private.pem 20482.3.2. Tạo CSR cho Client
openssl req -new -sha256 -key user_private.pem -subj "/C=VN/O=MyOrganization/CN=UserClient" -out user_request.csr2.3.3. Ký chứng chỉ Client bằng CA
openssl x509 -req -in user_request.csr -CA root_public.pem -CAkey root_private.pem -CAcreateserial -out user_cert.pem -days 365 -sha256