Hướng dẫn sử dụng Load Balancer Certificates trong
Portal Cloud Gdata
Giới thiệu
Load Balancer Certificates trong Portal Cloud Gdata cho phép người dùng upload và quản lý SSL Certificate để sử dụng cho HTTPS Load Balancer.
Tính năng này giúp:
• Mã hóa kết nối HTTPS
• Bảo vệ dữ liệu truyền tải
• Tăng độ bảo mật Website và API
• Triển khai SSL Termination trên Load Balancer
• Quản lý tập trung chứng chỉ số
Portal hỗ trợ SSL Certificate theo chuẩn PEM.
Load Balancer Certificates dùng để làm gì
Certificate được sử dụng khi:
• Cấu hình HTTPS Listener
• SSL Offloading
• SSL Termination
• Reverse Proxy HTTPS
• Bảo mật Website và API
Sau khi upload certificate, người dùng có thể chọn certificate này khi tạo Listener HTTPS trong Load Balancer.
Điều kiện trước khi thực hiện
Trước khi upload SSL Certificate, người dùng cần chuẩn bị:
• Đã có SSL Certificate hợp lệ
• Có Private Key tương ứng
• Chứng chỉ ở định dạng PEM
• Đã đăng nhập Portal Cloud Gdata
• Có quyền sử dụng Load Balancer
Các thành phần của SSL Certificate
Một SSL Certificate thường bao gồm:
• Certificate
• Intermediate Certificate
• Private Key
• Passphrase nếu Private Key có mật khẩu
Certificate
Là chứng chỉ SSL chính của domain.
Ví dụ:
• *.domain.com
Intermediate Certificate
Là chứng chỉ trung gian dùng để xác thực chuỗi chứng chỉ SSL.
Không phải SSL nào cũng yêu cầu Intermediate.
Private Key
Là khóa bí mật tương ứng với Certificate.
Private Key phải khớp với Certificate.
Passphrase
Là mật khẩu của Private Key nếu khóa được mã hóa.
Nếu Private Key không có mật khẩu thì để trống.
Định dạng SSL Certificate được hỗ trợ
Portal Cloud Gdata hỗ trợ:
• PEM Certificate
• PEM Private Key
Ví dụ định dạng PEM:
Certificate:
-----BEGIN CERTIFICATE-----
Nội dung chứng chỉ
-----END CERTIFICATE-----
Private Key:
-----BEGIN PRIVATE KEY-----
Nội dung private key
-----END PRIVATE KEY-----
Lưu ý quan trọng trước khi upload
• Certificate và Private Key phải khớp nhau
• Chứng chỉ phải còn hiệu lực
• Không upload sai định dạng
• Không chia sẻ Private Key cho bên thứ ba
• Nên sử dụng chứng chỉ từ CA uy tín
• Wildcard SSL được hỗ trợ nếu đúng định dạng PEM
Hướng dẫn upload SSL Certificate chi tiết
Bước 1: Truy cập chức năng SSL Termination
Tại menu Network, chọn:
Load Balancers → SSL Termination
Hệ thống sẽ hiển thị danh sách SSL Certificate hiện có.
Nếu chưa có certificate nào, danh sách sẽ trống.
Kiểm tra:
• Tên chứng chỉ
• Expired On
• Trạng thái
• Ngày tạo
Lưu ý:
• Chỉ certificate ACTIVE mới sử dụng được
• Certificate hết hạn cần được thay thế
Bước 2: Tạo mới Certificate
Nhấn nút Thêm mới để mở giao diện upload SSL Certificate.
Hệ thống sẽ hiển thị form cấu hình gồm:
• Tên
• Certificate
• Intermediates
• Private Key
• Passphrase
Kiểm tra:
• Các trường bắt buộc hiển thị đầy đủ
• Form upload hoạt động bình thường
Bước 3: Nhập tên Certificate
Tại trường Tên, nhập tên để dễ quản lý.
Khuyến nghị sử dụng:
• Domain name
• Service name
• Environment name
Ví dụ:
• demo-ssl
• api-gdata-ssl
• wildcard-gdata
Lưu ý:
• Nên đặt tên dễ nhận biết
• Không nên đặt tên trùng nhau
• Tên certificate không ảnh hưởng domain thực tế
Bước 4: Upload Certificate
Tại mục Certificate:
• Dán nội dung PEM Certificate
hoặc
• Upload file certificate
Ví dụ:
-----BEGIN CERTIFICATE-----
Nội dung certificate
-----END CERTIFICATE-----
Kiểm tra:
• Đúng chuẩn PEM
• Có BEGIN CERTIFICATE
• Có END CERTIFICATE
• Không thiếu ký tự
Lưu ý:
• Không chỉnh sửa nội dung PEM
• Không thêm khoảng trắng thừa
• Không copy thiếu dòng đầu hoặc cuối
Bước 5: Upload Intermediate Certificate
Nếu CA cung cấp Intermediate Certificate, nhập vào mục Intermediates.
Ví dụ:
-----BEGIN CERTIFICATE-----
Intermediate Certificate
-----END CERTIFICATE-----
Khi nào cần Intermediate Certificate
Thường cần khi:
• SSL từ CA public
• Chứng chỉ multi-chain
• Chứng chỉ enterprise
Có thể bỏ trống khi:
• Self-signed certificate
• CA không cung cấp intermediate
Lưu ý:
• Sai Intermediate có thể gây lỗi HTTPS
• Một số trình duyệt yêu cầu full chain
Bước 6: Upload Private Key
Tại mục Private Key:
• Dán nội dung PEM Private Key
hoặc
• Upload file key
Ví dụ:
-----BEGIN PRIVATE KEY-----
Nội dung private key
-----END PRIVATE KEY-----
Kiểm tra:
• Private Key đúng chuẩn PEM
• Khớp với Certificate
• Không lỗi format
Lưu ý bảo mật:
• Không chia sẻ Private Key
• Không gửi qua email công khai
• Không lưu tại nơi không an toàn
Bước 7: Nhập Passphrase nếu có
Nếu Private Key được mã hóa bằng mật khẩu:
• Nhập Passphrase tương ứng
Nếu không có mật khẩu:
• Để trống trường này
Lưu ý:
• Passphrase sai sẽ khiến certificate không hoạt động
• Nên lưu trữ passphrase an toàn
Bước 8: Xác nhận upload Certificate
Sau khi hoàn tất thông tin:
• Kiểm tra lại toàn bộ dữ liệu
• Nhấn nút Xác nhận
Hệ thống sẽ upload và xác thực certificate.
Kết quả sau khi upload thành công
Certificate sẽ xuất hiện trong danh sách với trạng thái:
• ACTIVE
Thông tin hiển thị gồm:
• Tên chứng chỉ
• Trạng thái
• Ngày tạo
• Ngày hết hạn nếu có
Cách sử dụng Certificate cho Load Balancer
Sau khi upload thành công, certificate có thể được chọn khi cấu hình HTTPS Listener.
Tại bước tạo Listener:
• Chọn Protocol: HTTPS
• Chọn Certificate tương ứng
Load Balancer sẽ thực hiện SSL Termination và xử lý HTTPS traffic.
Ví dụ mô hình triển khai
Client HTTPS
↓
Load Balancer HTTPS
↓
Backend HTTP hoặc HTTPS
Mô hình này giúp:
• Giảm tải mã hóa SSL cho backend
• Quản lý SSL tập trung
• Tăng hiệu năng hệ thống
Các lỗi thường gặp
Lỗi: Certificate không hợp lệ
Nguyên nhân:
• Sai format PEM
• Thiếu dòng BEGIN hoặc END
• Certificate bị lỗi
Cách xử lý:
• Kiểm tra format PEM
• Upload lại đúng nội dung
• Kiểm tra certificate bằng OpenSSL
Lỗi: Private Key không khớp
Nguyên nhân:
• Sai private key
• Key thuộc certificate khác
Cách xử lý:
• Kiểm tra lại cặp key và certificate
• Generate lại CSR nếu cần
Lỗi: HTTPS báo không tin cậy
Nguyên nhân:
• Thiếu Intermediate Certificate
• Certificate self-signed
• Certificate hết hạn
Cách xử lý:
• Upload Intermediate đúng chain
• Gia hạn SSL
• Sử dụng CA hợp lệ
Lỗi: Certificate upload thất bại
Nguyên nhân:
• Sai định dạng
• Nội dung PEM lỗi
• Passphrase sai
Cách xử lý:
• Kiểm tra PEM format
• Kiểm tra passphrase
• Upload lại certificate
Khuyến nghị bảo mật
• Luôn sử dụng HTTPS cho dịch vụ public
• Không chia sẻ Private Key
• Gia hạn SSL trước khi hết hạn
• Sử dụng SSL từ CA uy tín
• Theo dõi thời gian hết hạn certificate
• Không dùng SSL quá cũ hoặc thuật toán yếu
• Hạn chế sử dụng self-signed certificate cho production
• Nên triển khai SSL Termination tại Load Balancer để tối ưu hệ thống