SSL อยากได้ต้องทำอย่างไร (ตอนที่ 2)

CA ทำหน้าที่อะไร?

Certificate authority, หรือ Certification authority เรียกสั้น ๆ ว่า CA (ซีเอ) เป็นกลุ่มองค์กรกลางที่ไม่เกี่ยวข้องกับเครื่องสำอางเกาหลี (ห๊ะ!! นั้นมัน ZA Cosmetics) ทำหน้าที่ออกเอกสารรับรอง (Certificate) แบบ Digital ให้กับผู้ที่ต้องการใช้งาน SSL ซึ่งในการจะออกเอกสารรับรองนั้นจะต้องมีการพิสูจน์ตัวตน (Authentication) และ การยืนยันตัวตน (Verification) ก่อน

สำหรับผู้ที่ต้องการขอ Digital Certificate จะต้องทำการ Register กับทาง CA ซึ่งสามารถทำได้ผ่านหน้า Website ของทาง CA เอง หรือ ผ่าน Reseller ของทาง CA ก็ได้ (ผมแนะนำให้ทำผ่าน Reseller นะ เพราะ จะได้ถูกกว่าราคาหน้า Web เล็กน้อย) ซึ่งสิ่งที่จำเป็นที่จะใช้ในการ Register นอกจาก Profile ก็คือ CSR (Certificate Signed Request)

CSR คือ ข้อมูลพื้นฐานของ Digital Certificate ซึ่งนำมา encrypt ด้วย Private Key ของ Server ที่จะเป็นผู้ถือ Certificate นั้นเอง ซึ่งจะประกอบด้วย

Common Name (CN) หรือ ชื่อสามัญ (ในการจดทะเบียน Website มันก็คือ URL น้ันเอง)
Organization (O) หรือ ชื่อองค์กร
Organization Unit (OU) หรือ ชื่อสังกัด
Locality (L) หรือ ชื่อท้องถิ่ม สำหรับประเทศไทย ก็คือ ตำบล นั้นเอง
Stage (S) หรือ ชือจังหวัด
County (C) หรือ ชื่อประเทศ * ต้องใช้ตัวย่อที่ถูกต้อง เช่น ประเทศไทยใช้ TH (Case Sencitive)

ข้อควรระวัง คือ สำหรับ Website CN จะเป็นตัวที่สื่อถึง URL ที่จะได้รับการรับรองเท่านั้น และ ไม่รองรับถึงการทำ Alias ใดๆ เช่น

Website หลัก Alias
URL yuttana.th.com http://www.yuttana.th.com
จดทะเบียน SSL Yes No
เมื่อเปิด HTTPS
Website
เปิดได้ปกติ
image_thumb9
ออกอาการงอแงimage_thumb10

* ในการจดทะเบียนจริง ๆ มี Certificate Model หลายแบบ ซึ่งที่กำลังกล่าวถึงจะเป็นแบบมาตรฐานทั่วไป แต่ก็ยังมี Model แบบ SAN Certificate และ Wildcard ด้วย

ซึ่ง SSL Certificate ตอนนี้มี Product Line อยู่ประมาณ 3 แบบ

1. SSL Certificate แบบ Standard Common Name
เป็น Certificate ทั่วไป จะผูกกับ 1 ชื่อสามัญ (Common Name) เท่านั้น การใช้งาน SSL Certificate ลักษณะนี้มันจะใช้งานกับพวก Server ทั่วไป

ข้อควรระวัง การใช้งานของ Certificate จะผูกกับชื่อเพียงชื่อเดียว และ เปลี่ยนแปลงไม่ได้ ควรจะตกลงชื่อที่จะจดทะเบียนให้เรียบร้อยก่อน

2. Subject Alternative Name (SAN) Certificate

เป็น Certificate แบบหลายชื่อ ซึ่งไม่บังคับว่าจะต้องเป็น Domain เดียวกัน การใช้งาน SSL Certificate ลักษณะนี้ ปกติจะใช้กับพวก Server ที่ใช้ Secure Protocal หลายแบบเช่น Mail Server อย่าง Microsoft Exchange (จะมี POPS/IMAPS/SMTPS/HTTPS) เป็นต้น

3. Wildcard Certificate

เป็น Certificate แบบครอบคลุมระดับ Domain โดยไม่จำกัดปริมาณของ Sub Domain ที่อยู่ภายใน Domain นั้น โดยจะใช้ CN ว่า *.Domain.com เป็นต้น

Tip เล็กน้อยเกี่ยวกับ SSL Certificate

– ในการใช้งาน SSL Certificate จะคิดเป็นลักษณะ License ต่อเครื่อง
– มีหลายเครื่องก็ต้องซื้อหลาย Licenses เพราะ ต้องส่ง CSR ที่สร้างจาก Private Key คนละตัวกัน
– [ในทางปฏิบัติ] จะใช้ Shared Private Key เดียวกันก็ได้
– [ในทางปฏิบัติ] Certificate ก็สามารถ Export จาก Server เดิมกระจายตาม Server ใหม่ได้เช่นกัน
– [ในทางปฏิบัติ] ถ้าใช้ Shared Private Key หรือ Certificate ถ้า Private Key หลุดไป ก็ซวยยกฝูง

หลังจากเลือก Product Line กับแล้วต่อไปก็เลือกระดับของ Product ตามความน่าเชื่อถือกันแล้ว ไปเจอกันในคราวต่อไปครับ

บทความก่อนหน้านี้ – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 1)
บทความตอนจบ – SSL อยากได้ต้องทำอย่างไร (ตอนที่ 3)

Advertisements

About yuttanah

Just the Line who Live in Live way
This entry was posted in SSL Certificate and tagged , , . Bookmark the permalink.

One Response to SSL อยากได้ต้องทำอย่างไร (ตอนที่ 2)

  1. Pingback: SSL อยากได้ต้องทำอย่างไร (ตอนที่ 1) | This Line is My Blog

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s