Bảo mật quá trình cài đặt ISPConfig 3 với
Certificate Class1 SSL của StartSSL
Trong bài viết dưới đây, chúng tôi sẽ hướng dẫn và giới thiệu với các bạn
những thao tác cơ bản để tạo và sử dụng Free Class1 SSL Certificate từ SSL
để bảo mật quá trình cài dặt ISPConfig 3 và loại bỏ những thông báo về việc
tự tạo Certificate. Bài thử nghiệm dưới đây dựa trên việc sử dụng SSL certificate
qua giao diện web của ISPConfig (Apache2 và nginx), Postfix (đối với kết nối
TLS), Courier và Dovecot (dành cho POP3s và IMAPs), cuối cùng là
PureFTPd (với kết nôi TLS/FTPES). Cách thực hiện này có thể được áp dụng
trên Debian hoặc Ubuntu với cách làm tương tự, không có gì khác biệt quá nhiều.
Trước tiên, các bạn cần đảm bảo rằng đã thiết lập được hệ thống theo đúng mô
hình sau. Tại đây chúng tôi sử dụng hostname server1.example.com, và StartSSL
sẽ cho phép người dùng tạo certificate Class1 đối với domain chính và 1 sub
domain, do vậy các bạn cần tạo certificate tương ứng dành cho example.com và
server1.example.com. Điều này cũng có nghĩa là chúng ta phải “thông báo” tới
tất cả tài khoản người dùng về việc sử dụng domain example.com hoặc sub
domain server1.example.com đối với tất cả các dịch vụ (giao diện điều khiển
ISPConfig, Postfix, Courier/Dovecot, PureFTPD ) vì nếu không thì hệ thống
sẽ liên tục hiển thị các thông báo khác nhau về certificate.
Trong trường hợp bạn muốn dùng nhiều địa chỉ hostname khác nhau với các dịch
vụ (ví dụ mail.example.com đối với Postfix, ispconfig.example.com với
ISPConfig ) thì nên sử dụng certificate Class2 của StartSSL. Thực chất đây
không phải miễn phí, nhưng nó lại hỗ trợ chúng ta tạo cho nhiều sub domain khác
nhau và thậm chí là nhiều domain. Về mặt kỹ thuật thì cách thức triển khai không
có gì khác biệt, ngoại trừ phần intermediate certificate sub.class1.server.ca.pem
của StartSSL thì các bạn nên thay thế bằng sub.class2.server.ca.pem. Chúng tôi
sẽ đề cập cụ thể hơn những sự khác biệt này trong toàn bộ bài hướng dẫn.
Tất cả lệnh được thực hiện ở đây dưới quền cao nhất – root, do vậy các bạn hãy sử
dụng lệnh sau trong Ubuntu:
sudo su
Tạo Certificate Signing Request – CSR:

Niedersachsen
Locality Name (eg, city) []: < Lueneburg
Organization Name (eg, company) [Internet Widgits Pty
Ltd]: < My Company Ltd.
Organizational Unit Name (eg, section) []: < IT
Common Name (eg, YOUR name) []: < example.com
Email Address []: <
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: < nhấn ENTER
An optional company name []: < nhấn ENTER
writing RSA key
Nếu các bước khởi tạo certificate ban đầu với dữ liệu bị sai lệch thì có thể cập
nhật ISPConfig bằng cách gõ lệnh:
ispconfig_update.sh
Hoặc nếu đã cài đặt phiên bản ISPConfig mới nhất thì sử dụng lệnh:
cd /tmp
wget />stable.tar.gz
tar xvfz ISPConfig-3-stable.tar.gz
cd ispconfig3_install/install
php -q update.php
Quá trình này sẽ cho phép người dùng tạo mới certificate của ISPConfig 3 bằng
cách trả lời câu hỏi dưới đây với phương án yes:
Create new ISPConfig SSL certificate (yes,no) [no]: <
chọn yes
Còn nếu bạn đang dùng ISPConfig phiên bản cũ hơn 3.0.4 thì nên cập nhật bằng
lệnh:
ispconfig_update.sh
Cú pháp trên cũng cho phép người dùng tạo kết nối SSL dành cho ISPConfig 3
bằng cách trả lời câu hỏi với tùy chọn yes:

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
9Z5RhXTfOz8F2wsNH5yP9eqkVlkYKpIwyUHoZtUSp+xz
END CERTIFICATE REQUEST

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
c2x1wonVRVmKovt2OuM1ZqZw0Ynk
END CERTIFICATE
Tiếp theo, tải phần Root CA của StartSSL và Class1 Intermediate Server CA:
cd /usr/local/ispconfig/interface/ssl
wget
wget

Nếu dùng certificate Class2 thì tải sub.class2.server.ca.pem thay vì
sub.class1.server.ca.pem. Sau đó, đổi tên cả 2 file này:
mv ca.pem startssl.ca.crt
mv sub.class1.server.ca.pem
startssl.sub.class1.server.ca.crt
Thay đổi câu lệnh thứ 2 trong trường hợp bạn dùng certificate Class2. Tuy nhiên,
có một vài dịch vụ có yêu cầu sử dụng file .pem được tạo theo cách sau (thay đổi
lệnh thứ 2 sao cho phù hợp nếu dùng certificate Class2):
cat startssl.sub.class1.server.ca.crt startssl.ca.crt >
startssl.chain.class1.server.crt
cat ispserver.{key,crt}

sau đó reload lại nginx:
/etc/init.d/nginx reload
Với Postfix:
Đối với Postfix, chúng ta cần phải sao lưu /etc/postfix/smtpd.cert,
/etc/postfix/smtpd.key sau đó tạo symlink tới
/usr/local/ispconfig/interface/ssl/ispserver.crt và
/usr/local/ispconfig/interface/ssl/ispserver.key:
cd /etc/postfix
mv smtpd.cert smtpd.cert_bak
mv smtpd.key smtpd.key_bak
ln -s /usr/local/ispconfig/interface/ssl/ispserver.crt
smtpd.cert
ln -s /usr/local/ispconfig/interface/ssl/ispserver.key
smtpd.key
Tiếp theo, gán smtpd_tls_CAfile vào file /etc/postfix/main.cf:
postconf -e 'smtpd_tls_CAfile =
/usr/local/ispconfig/interface/ssl/startssl.chain.class
1.server.crt'
Và cuối cùng là khởi động lại Postfix:
/etc/init.d/postfix restart
Với Dovecot:
Để thực hiện, các bạn mở file /etc/dovecot/dovecot.conf:
vi /etc/dovecot/dovecot.conf
và gán thêm dòng ssl_ca_file =
/usr/local/ispconfig/interface/ssl/startssl.chain.class1.server.crt (lưu ý rằng các
bạn phải làm lại thao tác này sau khi cập nhật ISPConfig):
[ ]
ssl_cert_file = /etc/postfix/smtpd.cert
ssl_key_file = /etc/postfix/smtpd.key
## must be re-added after an ISPConfig update!!!

/etc/init.d/pure-ftpd-mysql restart
Monit:
Nếu các bạn đã cài đặt và sử dụng Monit qua giao thức HTTPS, thì có thể dùng
certificate StartSSL để loại bỏ bớt các thông báo không thực sự cần thiết. Mở file
/etc/monit/monitrc:
vi /etc/monit/monitrc
và xác định rõ /usr/local/ispconfig/interface/ssl/ispserver.pem tại dòng
PEMFILE. Ví dụ như dưới đây:
[ ]
set httpd port 2812 and
SSL ENABLE
PEMFILE
/usr/local/ispconfig/interface/ssl/ispserver.pem
allow admin:secret
[ ]
Khởi động lại Monit:
/etc/init.d/monit restart
Như vậy là chúng ta đã hoàn tất các bước cơ bản để bảo mật quá trình cài đặt
ISPConfig 3 với Certificate Class1 SSL của StartSSL. Chúc các bạn thành
công!