Cài đặt chứng chỉ SSL miễn phí Let's Encrypt cho Spring Boot

Mục tiêu của bài viết
Đăng ký chứng chỉ SSL
Chuyển đổi sang định dạng PKCS-12
Cấu hình Spring Boot

1. Mục tiêu của bài viết

Let’s Encrypt là một tổ chức cung cấp chứng chỉ SSL miễn phí được phát triển bởi Internet Security Research Group (ISRG). Let's Encrypt cung cấp 2 loại chứng chỉ đó là SSL cho tên miền tiêu chuẩn, và Wildcard SSL cho cả hai: tên miền tiêu chuẩn và các tên miền con (subdomain).

Trong bài viết này tôi sẽ hướng dẫn bạn tạo đăng ký chứng chỉ SSL Let's Encrypt cho tên miền của bạn và triển khai nó cho ứng dụng Spring Boot.

Các bước hướng dẫn được thực hiện trên hệ điều hành Ubuntu vì hệ điều hành này sẵn có các công cụ như openssl, keytool. Tuy nhiên bạn có thể làm việc với hệ điều hành Windows nếu bạn cài đặt thêm các công cụ trên.

Mặc dù chứng chỉ SSL được cung cấp bởi Let's Encrypt là miễn phí nhưng nó có thời gian hợp lệ rất ngắn, cụ thể là 90 ngày, như vậy sau mỗi 90 ngày bạn lại phải tạo lại chứng chỉ SSL. Nhưng ơn trời, các bước để tạo lại chứng chỉ rất đơn giản và không mất nhiều thời gian.

Có thể bạn quan tâm:
Cấu hình Spring Boot chuyển hướng HTTP sang HTTPS

2. Đăng ký chứng chỉ SSL

Có rất nhiều cách để đăng ký chứng chỉ Let's Encrypt, nhưng tôi khuyến nghị bạn đăng ký tại sslforfree.com, Website này cho phép bạn tạo một tài khoản với email của bạn, và đăng ký chứng chỉ SSL cho tên miền của bạn. Khi cần tạo lại chứng chỉ bạn chỉ cần một Click đơn giản để download về chứng chỉ mới có thời hạn 90 ngày.

https://www.sslforfree.com/

Trên sslforfree.com nhập vào tên miền của bạn, và nhấn nút "Create Free SSL Certificate".

Website sslforfree sẽ yêu cầu bạn đăng ký một tài khoản:

Tiếp theo, bạn sẽ trải qua bước xác minh rằng bạn thực sự là chủ sở hữu của tên miền đó, và khai báo các thông tin về tên miền của bạn, chẳng hạn Quốc gia, Thành Phố, tên Công Ty của bạn,...

Cuối cùng Let's Encrypt sẽ cho phép bạn download một file ZIP chứa 3 tập tin.

Chú ý: Với các ứng dụng Web viết bằng ngôn ngữ Java bạn cần chọn "Server Type" là Tomcat.

certificate.crt: Certificate generated for your domain name.
private.key: Private key of your certificate.
ca_bundle.crt: Intermediate CA (Certificate Authority)

3. Chuyển đổi sang định dạng PKCS-12

Giải nén file ZIP mà bạn có được ở bước trên vào một thư mục nào đó trên Ubuntu. Chẳng hạn:

/home/{username}/mydomain.com

Các ứng dụng Java có thể đọc được các chứng chỉ khi chúng có định dạng PKCS-12 (*.p12), vì vậy bạn phải chuyển đổi các file có được ở bước trước sang định dạng này.

openssl pkcs12 -export -in /home/tran/mydomain.com/certificate.crt -inkey /home/tran/mydomain.com/private.key -name mydomain -out /home/tran/mydomain.com/mydomain_com.p12

keytool -importkeystore -deststorepass YourPassword -destkeystore /home/tran/mydomain.com/mydomain_com.jks -srckeystore /home/tran/mydomain.com/mydomain_com.p12 -srcstoretype PKCS12

Sau khi thực thi 2 lệnh trên bạn sẽ có thêm 2 file mới như hình minh hoạ dưới đây:

4. Cấu hình Spring Boot

Trên dự án Spring Boot, mở tập tin application.properties để cấu hình SSL.

application.properties

server.port=443

server.ssl.key-store=file:/home/tran/mydomain.com/mydomain_com.p12

server.ssl.key-store-password=YourPasswoord

server.ssl.key-alias=mydomain

Triển khai lại Website của bạn và truy cập vào nó với HTTPS:

https://mydomain.com

Chú ý: Nếu bạn đóng gói ứng dụng Spring Boot dưới dạng JAR (hoặc WAR) và chạy trực tiếp thông qua COMMAND, bạn có thể không cần thêm bất cứ thứ gì vào application.properties, chỉ cần chạy ứng dụng như sau:

java -jar mydomaintest-1.0.war --server.port=443 -Dserver.ssl.key-store=file:/home/tran/mydomain.com/mydomain_com.jks -Dserver.ssl.key-store-password=YourPassword -Dserver.ssl.key-alias=mydomain