วิธีขอและใช้งานใบรับรอง SSL สำหรับชื่อโดเมน

ในยุคปัจจุบันของการพัฒนาเว็บไซต์ การเปิดใช้งาน HTTPS ด้วยใบรับรอง SSL/TLS สำหรับเว็บไซต์ของคุณเป็นสิ่งสำคัญ แม้กระทั่งในการพัฒนาแบบโลคอล ServBay จึงมีเครื่องมือที่ช่วยให้คุณบริหารจัดการและใช้งานใบรับรอง SSL ได้อย่างสะดวก ช่วยจำลองสภาพแวดล้อมเสมือนจริง ทดสอบฟีเจอร์ความปลอดภัย และเพิ่มความราบรื่นในการพัฒนา

เอกสารนี้อธิบายขั้นตอนการขอ จัดสรร และจัดการใบรับรอง SSL/TLS บน ServBay

แนะนำใบรับรอง SSL/TLS สำหรับชื่อโดเมน

ใบรับรอง SSL/TLS คือใบรับรองดิจิทัลที่ใช้ยืนยันตัวตนของเซิร์ฟเวอร์และเข้ารหัสข้อมูลระหว่างผู้ใช้ (เช่น เว็บเบราว์เซอร์) กับเว็บเซิร์ฟเวอร์ เมื่อติดตั้งใบรับรอง SSL แล้ว ที่อยู่เว็บไซต์จะเปลี่ยนจาก http:// เป็น https:// พร้อมแสดงไอคอนแม่กุญแจในแถบที่อยู่ของเบราว์เซอร์ บ่งบอกว่าการเชื่อมต่อได้รับการเข้ารหัสและปลอดภัย

ทำไมควรใช้ HTTPS ในการพัฒนาโลคอล?

• จำลองสภาพแวดล้อมจริง: โปรดักชั่นส่วนใหญ่บังคับใช้ HTTPS การพัฒนาด้วย HTTPS ในเครื่องช่วยลดความผิดพลาดที่อาจเจอเมื่อขึ้นโปรดักชั่น
• ทดสอบฟีเจอร์ด้านความปลอดภัย: ฟีเจอร์เว็บสมัยใหม่ เช่น Service Workers, Web Authentication, Geolocation API ทำงานในบริบทที่ปลอดภัย (HTTPS) เท่านั้น หากใช้ HTTPS ในเครื่องจะสามารถทดสอบฟีเจอร์เหล่านี้ได้สะดวก
• หลีกเลี่ยงการแจ้งเตือนเนื้อหาผสม: หากเว็บไซต์รันด้วย HTTPS แต่โหลดทรัพยากรจาก HTTP เบราว์เซอร์จะแจ้งเตือนปัญหาเนื้อหาผสม การใช้ HTTPS ตั้งแต่ขั้นตอนพัฒนาจะช่วยตรวจจับและแก้ไขปัญหานี้ได้ล่วงหน้า
• สนับสนุน HTTP/2 และ QUIC: โปรโตคอลยุคใหม่เหล่านี้ต้องใช้ HTTPS เป็นหลัก

การขอใบรับรอง SSL ผ่าน ServBay

ServBay รองรับ 2 วิธีหลักในการขอใบรับรอง SSL ได้แก่ 1) การขอใบรับรองความเชื่อถือในเครื่องด้วย ServBay CA (Certificate Authority) และ 2) การขอใบรับรองความเชื่อถือสาธารณะผ่านโปรโตคอล ACME (เช่น Let's Encrypt)

ข้อกำหนดเบื้องต้น

• ติดตั้งและเปิดใช้งาน ServBay เรียบร้อยแล้ว
• สร้างและตั้งค่าเว็บไซต์ที่ต้องการใช้ใบรับรอง SSL บน ServBay ไว้แล้ว
• กรณีขอใบรับรองสาธารณะผ่าน ACME ต้องใช้วิธีตรวจสอบโดเมนแบบ DNS

ขั้นตอน: เข้าสู่แผงจัดการใบรับรอง SSL

ในแอป ServBay ให้คลิก "SSL Certificates" ที่แถบด้านข้างเพื่อเข้าสู่หน้าจัดการใบรับรอง

วิธีที่ 1: ขอใบรับรองความเชื่อถือในเครื่องด้วย ServBay CA

ServBay CA คือหน่วยรับรองใบรับรองที่ผนวกมากับ ServBay โดยใบรับรองที่ออกโดย ServBay CA จะเชื่อถือได้เฉพาะอุปกรณ์ที่ไว้ใจ ServBay CA เท่านั้น ซึ่งเหมาะกับการพัฒนาในเครื่องมาก เพราะสามารถสั่งให้เครื่องของคุณเชื่อถือ ServBay CA ได้ง่าย ๆ

1. คลิกปุ่มเพิ่ม: ที่หน้า "SSL Certificates" คลิกปุ่ม "+" ด้านขวาบน
2. กรอกข้อมูลใบรับรอง: ที่หน้า "Request Certificate" มีรายละเอียดดังนี้
   • Common Name (ชื่อหลัก): ระบุชื่อใบรับรองเพื่อความเข้าใจ เช่น ServBay Demo Website Cert
   • Usage Purpose (วัตถุประสงค์): เลือกการใช้ TLS/SSL
   • Request Method (วิธีการขอ): เลือก ServBay CA
   • Issuer (ผู้ออก): เลือก ServBay User CA โดย ServBay จะแถม CA ระดับผู้ใช้สำหรับออกใบรับรองในเครื่อง
   • Algorithm (อัลกอริทึม): เลือกอัลกอริทึมเข้ารหัส แนะนำ ECC สำหรับความทันสมัยและประสิทธิภาพ หากต้องการรองรับระบบเก่ามากขึ้นให้เลือก RSA
   • Key Length (ความยาวกุญแจ): เลือกความยาวกุญแจ สำหรับ ECC แนะนำ 384 ส่วน RSA แนะนำ 2048 หรือ 4096 (ยาวขึ้นปลอดภัยขึ้น แต่อาจช้ากว่า)
   • Domain (ชื่อโดเมน): 【สำคัญ】 ใส่ชื่อโดเมนที่ต้องการปกป้อง หลายโดเมนได้โดยคั่นด้วยจุลภาค ชื่อเหล่านี้จะใส่ลงในฟิลด์ Subject Alternative Names (SANs) ตัวอย่างเช่น .servbay.demo, myproject.servbay.demo หรือโดเมนที่ตั้งค่าใน hosts หรือใน ServBay (รองรับ wildcard เช่น *.servbay.demo)
3. คลิกปุ่ม "Request": ตรวจสอบข้อมูลให้ถูกต้องและคลิก "Request" ที่ด้านล่างของหน้า

ServBay จะออกใบรับรองใหม่และเพิ่มเข้าสู่รายการโดยอัตโนมัติด้วย ServBay User CA

(ภาพตัวอย่างหน้าขอใบรับรองผ่าน ServBay CA)

จะเชื่อถือ ServBay User CA ได้อย่างไร?

เบราว์เซอร์และแอปทั่วไปจะเชื่อถือใบรับรอง ServBay CA ต่อเมื่อคุณติดตั้งและไว้วางใจรากของ ServBay User CA ไว้ในระบบปฏิบัติการ โดย ServBay มักติดตั้งให้โดยอัตโนมัติขณะติดตั้งโปรแกรม หรือสามารถเข้าไปเลือกติดตั้งเองที่เมนู Settings ของ ServBay หลังจากนี้ ใบรับรองที่ออกสำหรับ .servbay.demo หรือชื่อที่ระบุ ก็จะไม่แสดงคำเตือน "ไม่เชื่อถือ" อีกต่อไป

วิธีที่ 2: ขอใบรับรองสาธารณะผ่าน ACME (Let's Encrypt)

ACME (Automated Certificate Management Environment) คือโพรโทคอลอัตโนมัติที่ใช้ขอใบรับรอง SSL สาธารณะฟรีจาก CA อย่าง Let's Encrypt ใบรับรองที่ได้มา จะได้รับความเชื่อถือจากเว็บเบราว์เซอร์และอุปกรณ์เกือบทุกชนิด

1. คลิกปุ่มเพิ่ม: ที่หน้า "SSL Certificates" คลิกปุ่ม "+" ด้านขวาบน
2. กรอกข้อมูลใบรับรอง: ที่หน้า "Request Certificate"
   • Common Name (ชื่อหลัก): ใส่ชื่อที่เข้าใจง่าย
   • Usage Purpose (วัตถุประสงค์): เลือก TLS/SSL
   • Request Method (วิธีขอ): เลือก ACME
   • Issuer (ผู้ออก): เลือก Let's Encrypt, ZeroSSL หรือ Google Trust Services (เลือกผู้ให้บริการที่ต้องการ)
   • Algorithm (อัลกอริทึม): แนะนำ ECC
   • Key Length (ความยาวกุญแจ): เลือกขนาดตามต้องการ
   • Domain (ชื่อโดเมน): 【สำคัญ】 ระบุรายชื่อโดเมนที่ต้องการขอใบรับรอง โดเมนต้องเป็นโดเมนสาธารณะ และคุณต้องมีสิทธิ์ควบคุมโดเมนนั้น การตรวจสอบและขอใบรับรองจะผ่านโปรโตคอล ACME (สามารถกรอกหลายชื่อโดเมน รองรับ wildcard เช่น *.yourdomain.com กรณี wildcard ต้องยืนยันแบบ DNS)
   • Email (อีเมล): กรอกอีเมลที่ถูกต้อง เพื่อใช้รับการแจ้งเตือนหมดอายุเป็นต้น
   • DNS Provider (ผู้ให้บริการ DNS): เลือกผู้ให้บริการ DNS สำหรับโดเมน ซึ่งใช้ยืนยันความเป็นเจ้าของโดเมนอัตโนมัติและออกใบรับรอง
3. คลิกปุ่ม "Request": ตรวจสอบให้ถูกต้องและคลิกที่ปุ่ม "Request" ด้านล่าง

ServBay จะเริ่มต้นโพรเซส ACME ติดต่อกับ CA ที่เลือกไว้ ตรวจสอบสิทธิ์ความเป็นเจ้าของโดเมน และขอใบรับรอง กระบวนการนี้อาจใช้เวลาขึ้นอยู่กับการยืนยันและเครือข่าย เมื่อเสร็จสิ้นจะมีใบรับรองเพิ่มในรายการ

การต่ออายุใบรับรอง ACME อัตโนมัติ:

ใบรับรองที่ออกผ่าน ACME (เช่น Let's Encrypt) จะมีอายุสั้น (โดยปกติ 90 วัน) ServBay จะต่ออายุให้อัตโนมัติก่อนหมดอายุ ไม่ต้องดำเนินการเอง

การจัดสรรใบรับรองให้เว็บไซต์

หลังขอใบรับรอง SSL สำเร็จ จะต้องนำไปผูกกับเว็บไซต์เป้าหมายใน ServBay เพื่อเปิดใช้งาน HTTPS

1. เปิดเมนูจัดการเว็บไซต์: ทางแถบข้างของ ServBay คลิก "Websites"
2. แก้ไขเว็บไซต์เป้าหมาย: หาเว็บไซต์ที่ต้องการใช้งาน SSL และคลิกเข้าไป
3. ตั้งค่า SSL: หาโซนการตั้งค่าเกี่ยวกับ SSL/HTTPS
4. เปิดใช้ HTTPS และเลือกใบรับรอง: เลือกเปิดใช้งาน HTTPS และเลือกใบรับรองในลิสต์ที่เพิ่งขอ (กรณี ACME จะโชว์รายการใบรับรองที่ได้ พร้อม common name และโดเมนที่เกี่ยวข้อง)
5. บันทึกการตั้งค่า: กดบันทึก

หลังบันทึก ServBay จะรีโหลดค่ากำหนดของเว็บเซิร์ฟเวอร์ (เช่น Caddy, Apache, หรือ Nginx) ให้ใบรับรอง SSL ใหม่ออกฤทธิ์ ขณะนี้คุณสามารถเข้าถึงเว็บไซต์ของคุณผ่าน https://ชื่อโดเมนของคุณ ได้แล้ว

การจัดการใบรับรอง

ที่แผง "SSL Certificates" สามารถบริหารใบรับรองที่มีในระบบ

การต่ออายุใบรับรอง

• ใบรับรอง ServBay CA: อายุยาวโดยปกติ 800 วัน หากใกล้หมดอายุให้หาใบรับรองจากลิสต์ คลิกปุ่มรีเฟรชหรือวงกลม ตรงขวาเพื่อขอต่ออายุ โดยระบบจะบวกอายุเพิ่ม 800 วันจากวันที่ปัจจุบัน
• ใบรับรอง ACME: ระบบจะต่ออายุให้อัตโนมัติ ไม่ต้องทำเอง

การส่งออกใบรับรอง

สามารถส่งออกใบรับรองนำไปใช้ที่อื่นได้ (เช่น นำไปใช้กับอุปกรณ์หรือบริการอื่น โดยเครื่องเหล่านั้นต้องเชื่อถือ ServBay CA เช่นกัน)

1. เข้าหน้าจัดการใบรับรอง SSL
2. หาใบรับรองที่ต้องการส่งออก
3. คลิกปุ่มส่งออก: กดไอคอนส่งออก (ลูกศรชี้ขวา ➡️) ด้านขวาของใบรับรองที่ต้องการ
4. เลือกโฟลเดอร์ปลายทาง: ในกล่องบันทึกไฟล์ที่เด้งขึ้นมา เลือกตำแหน่งที่ต้องการบันทึกไฟล์หลังส่งออก
5. แจกจ่ายใบรับรอง: ไฟล์ที่ส่งออกมักจะเป็น ZIP ประกอบด้วยไฟล์ใบรับรอง (.crt หรือ .cer), ไฟล์กุญแจ (.key) พร้อมไฟล์ CA-chain สามารถนำไปติดตั้งหรือแจกจ่ายได้ตามต้องการ

การลบใบรับรอง

หากไม่ได้ใช้งานใบรับรองใด ๆ แล้ว สามารถลบทิ้งได้

1. เข้าแผงจัดการใบรับรอง SSL
2. หาใบรับรองที่ต้องการลบ
3. คลิกปุ่มลบ: กดไอคอนถังขยะตรงขวา
4. ยืนยันการลบ: ในกล่องยืนยัน ให้กดยืนยันการลบ หมายเหตุ: การลบใบรับรองนี้ไม่สามารถคืนกลับได้ กรณีใบรับรองกำลังถูกใช้งานในเว็บไซต์ ต้องตั้งค่าใบรับรองใหม่หรือปิด HTTPS ก่อน มิฉะนั้นเว็บไซต์จะเข้าไม่ได้

คำถามที่พบบ่อย (FAQ)

ถาม: ทำไมเบราว์เซอร์ยังแจ้งเตือน "ไม่เชื่อถือ" เมื่อใช้ใบรับรองที่ออกโดย ServBay CA?

ตอบ: โดยค่าเริ่มต้น ใบรับรองของ ServBay CA ไม่ได้รับความเชื่อถือจากระบบหรือเบราว์เซอร์ คุณต้องติดตั้ง root certificate ของ ServBay User CA ลงในเครื่องของคุณ สามารถตรวจสอบวิธีการติดตั้งได้ที่เมนูการตั้งค่าหรือเอกสารใน ServBay

ถาม: ขอใบรับรอง ACME (Let's Encrypt) แล้วแต่ไม่สำเร็จ ควรทำอย่างไร?

ตอบ: ปัญหาส่วนใหญ่มาจากการยืนยันโดเมนล้มเหลว

• หากใช้การตรวจสอบแบบ dns-01 ให้ตรวจสอบค่า TXT ใน DNS ที่ตั้งไปว่าสะกดถูก ถูกต้อง และประกาศสำเร็จแล้ว (การอัปเดต DNS อาจใช้เวลาสักพัก) สามารถดูรายละเอียดปัญหาได้จาก log ของ ServBay

ถาม: ขอใบรับรองใบเดียวสำหรับหลายโดเมนใน ServBay ได้หรือไม่?

ตอบ: ได้ ในขั้นตอนขอใบรับรอง เพียงกรอกโดเมนหลายรายการ (คั่นด้วยจุลภาค) ลงในฟิลด์ "Domain" ระบบจะออกใบรับรองแบบ SANs ที่รองรับทั้งหมด

ถาม: ServBay รองรับเว็บเซิร์ฟเวอร์อะไรบ้าง? การผูกใบรับรองเหมือนกันไหม?

ตอบ: ServBay รองรับ Caddy, Apache และ Nginx โดยการจัดการใบรับรองผ่านอินเทอร์เฟซเดียวกันและใช้กับเว็บใด ๆ ใน ServBay ได้ทันที ServBay จะกำหนดค่าระบบเซิร์ฟเวอร์ให้อัตโนมัติ

สรุป

ServBay มอบประสบการณ์การบริหารจัดการใบรับรอง SSL ที่ทรงพลังและใช้งานง่ายสำหรับสภาพแวดล้อมการพัฒนาในเครื่อง ผ่าน ServBay CA สามารถขอใบรับรองสำหรับโดเมนโลคอลเพื่อใช้งานและทดสอบ HTTPS ได้รวดเร็ว และด้วยการรองรับ ACME ยังช่วยขอและจัดการใบรับรองสาธารณะ (Let's Encrypt, ZeroSSL, Google Trust Services) ได้โดยตรงบน ServBay การเข้าใจขั้นตอนและฟีเจอร์เหล่านี้จะเสริมความปลอดภัยและมาตรฐานสมัยใหม่ให้กับเว็บไซต์ของคุณ

หากพบปัญหาในการขอใบรับรองหรือใช้งาน แนะนำให้ศึกษาจากคู่มืออย่างเป็นทางการหรือสอบถามในชุมชน ServBay เพื่อรับการช่วยเหลือเพิ่มเติม