របៀប Sign Certificate ជាមួយ Let’s Encrypt នៅក្នុង Private Server

2018-05-12 chamroeunrith Security

អ្នកអាយធីប្រាកដជាស្គាល់ហើយថាអ្វីទៅជា Let’s Encrypt ជាអ្នកដែលផ្តល់ Digital Certificate សម្រាប់អោយអ្នកយកមកប្រើប្រាស់នៅក្នុង Server របស់អ្នកបាន តែបានតែករណីដែលអ្នកមាន Server មាន Public IP Address តែប៉ុណ្ណោះ។ ប្រសិនបើ Server របស់យើងនៅក្នុង NAT របស់ Router នោះអ្នកមិនអាចនោះទេ។

ថ្ងៃនេះនិងលើកយកការ Sign Certificate ជាមួយ Let’s Encrypt មកបង្ហាញ បើទោះបីអ្នកប្រើប្រាស់ Local Server ដូចជា Server ដែលមាន IP Address 192.168.1.13 ជាដើម។ អ្នកនៅតែអាចទទួលយក Certificate មកប្រើប្រាស់បានធម្មតាដូច Public Server ដូចគ្នាដែរ។

សម្មតថាអ្នកមាន Router Mikrotik មួយព្រមទាំងមាន Public IP មួយ និងមាន Private Server ដែលជា Ubuntu មាន IP Address 192.168.1.13

អ្នកត្រូវ Login ចូលទៅក្នុង Mikrotik ដូចខាងក្រោមនេះ ដោយអ្នកអាចប្រើ Winbox login ក៏បាន ឬ តាម SSH ដូចខាងក្រោមនេះក៏បាន

អ្នកត្រូវសរសេរ Firewall Rule ដូចក្នុងរូបខាងលើនេះដើម្បី Forward public ip ទៅជាមួយ Port 80 ទៅកាន់ Private IP 192.168.1.13 នៅពេលដែលអ្នកសរសេរត្រូវអ្នកនិងទទួលបានដូចរូបខាងក្រោមនេះ។

រូបខាងក្រោមនេះ ជា Private Server ដែលមាន IP Address 192.168.1.13

ជំហ៊ានបន្ទាប់មកទៀតអ្នកត្រូវចូលទៅកាន់ Godaddy DNS Server ដើម្បី បង្កើត Hostname មួយអោយដូចទៅនិង Private Server Name

អ្នកអាចធ្វើតេសន៏មើលថាវាដើរត្រូវឬទេ?

បន្ទាប់មកទៀតអ្នកត្រូវកែ file /etc/hosts ដូចរូបខាងក្រោមនេះនៅក្នុង Private Server របស់អ្នក

បន្ទាប់មកទៀតអ្នកត្រូវចូលទៅកាន់ Private Server របស់អ្នក ដោយសរសេរ command ដូចខាងក្រោមនេះ

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache

ពេលដែលអ្នកតម្លើងរួចរាល់ហើយអ្នកអាចប្រើប្រាស់ Command ខាងក្រោមនេះដើម្បីទទួលបាន Certificate មកដាក់ក្នុង Server របស់អ្នកបានហើយ

sudo  certbot      –apache

អ្នកត្រូវតែអានការណែនាំរបស់ Certbot ដូចជាដាក់ Email Address, ដាក់ Domain Name ជាដើម និង ចុងក្រោយអ្នកអាចជ្រើសរើសអោយ Redirect ឬ មិន Redirect ទៅកាន់ Https ជាដើម។

តែគួរតែ Redirect ពី HTTPទៅកាន់ HTTPS ដើម្បីអោយមានសុវត្ថិភាព។

ពេលនេះអ្នកអាចសាកល្បងចូលទៅកាន់ website របស់អ្នកម្តងទៀតវានិងRedirect ទៅកាន់ https មិនខាន

តែអ្នកកុំភ្លេចចូលទៅកាន់ Router របស់អ្នកវិញ ហើយ Forward port 443 បន្ថែម ព្រោះខាងលើ Forward តែ port 80 ប៉ុណ្ណោះ។

អ្នកអាចយក Certificate នេះទៅប្រើជាមួយ Email Server ដូចជា Postfix ក៏បាន នៅក្នុង /etc/letsencrypts/live/domainname/

មូលហេតុដែលយើងប្រើប្រាស់ដូចនេះព្រោះយើងមិនចង់អោយ Server របស់យើងរងការវាយប្រហារពីខាងក្រៅផ្ទាល់ ដូចជា DDOS ជាដើម។ ដូចនេះ យើង គ្រាន់តែបើក Port ណាដែលចង់អោយអ្នកខាងក្រៅចូលមកបានហើយ មិនចាំបាច់បើកទាំងអស់នោះទេ។