Khi phát triển và triển khai ứng dụng web, một trong những yêu cầu quan trọng nhất là bảo mật, đặc biệt là khi truyền dữ liệu qua Internet. Đối với các lập trình viên PHP, thường sử dụng Apache và cài SSL trực tiếp trên Apache. Trong trường hợp bạn đang làm việc với Go, ngôn ngữ này có cách hoạt động khác. Go không yêu cầu sử dụng Apache hoặc Nginx để làm web server, nhưng việc sử dụng chúng làm reverse proxy giúp tối ưu hóa và tăng cường bảo mật cho ứng dụng Go.
Bài viết này sẽ hướng dẫn bạn cách chạy ứng dụng Go và cài đặt SSL một cách chi tiết, từ việc chạy ứng dụng trực tiếp với Go đến việc tích hợp với web server như Nginx hoặc Apache để cài SSL.
Go có sẵn một thư viện tích hợp để xây dựng một web server cơ bản mà không cần cài thêm các công cụ khác. Đặc biệt, Go hỗ trợ SSL thông qua chức năng ListenAndServeTLS, cho phép bạn triển khai HTTPS ngay trong ứng dụng của mình.
Dưới đây là cách bạn có thể tạo một ứng dụng Go với web server chạy trên HTTPS:
package main
import (
"fmt"
"net/http"
)
func handler(w http.ResponseWriter, r *http.Request) {
fmt.Fprintf(w, "Hello, secure world!")
}
func main() {
http.HandleFunc("/", handler)
// Cung cấp đường dẫn đến certificate và private key
err := http.ListenAndServeTLS(":443", "server.crt", "server.key", nil)
if err != nil {
panic(err)
}
}Trong đoạn mã trên, bạn cần cung cấp hai file: server.crt và server.key, lần lượt là file chứng chỉ SSL và file chứa khóa bí mật (private key). Để lấy hai file này, bạn có thể tự tạo chứng chỉ SSL cho môi trường phát triển hoặc sử dụng chứng chỉ SSL từ tổ chức phát hành uy tín cho môi trường sản xuất.
Để tạo chứng chỉ SSL tự ký, bạn có thể dùng lệnh sau trên terminal:
openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -days 365 -nodesLệnh này sẽ tạo ra một chứng chỉ SSL tự ký và khóa bí mật. Chúng sẽ được sử dụng để chạy ứng dụng Go với HTTPS trên môi trường phát triển.
Chạy trực tiếp SSL trong ứng dụng Go là phương pháp đơn giản và tiện lợi, nhưng nó có những hạn chế. Go tự xử lý các kết nối và chứng chỉ SSL, điều này có thể không tối ưu trong môi trường sản xuất lớn. Do đó, khi bạn cần một giải pháp mạnh mẽ và linh hoạt hơn, nên sử dụng Nginx hoặc Apache làm reverse proxy và để chúng xử lý SSL.
Trong thực tế, ứng dụng Go thường được triển khai sau một reverse proxy như Nginx hoặc Apache. Điều này không chỉ giúp ứng dụng chịu tải tốt hơn mà còn giúp bạn dễ dàng cấu hình SSL trên Nginx hoặc Apache.
Nếu bạn chưa cài đặt Nginx, bạn có thể thực hiện bằng lệnh sau trên hệ điều hành Ubuntu:
sudo apt update
sudo apt install nginxSau khi cài đặt Nginx, bạn có thể khởi chạy dịch vụ bằng lệnh:
sudo systemctl start nginxCertbot là công cụ hỗ trợ lấy chứng chỉ SSL miễn phí từ Let’s Encrypt. Để cài đặt Certbot và plugin Nginx:
sudo apt install certbot python3-certbot-nginxBây giờ, bạn cần cấu hình Nginx để chuyển tiếp các yêu cầu từ port 80 hoặc 443 đến ứng dụng Go, thường chạy trên port 8080.
Mở file cấu hình Nginx (thường là /etc/nginx/sites-available/default) và thêm cấu hình sau:
server {
listen 80;
server_name your_domain.com;
location / {
proxy_pass http://localhost:8080; # Port mà ứng dụng Go đang chạy
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}
server {
listen 443 ssl;
server_name your_domain.com;
ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;
location / {
proxy_pass http://localhost:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Trong cấu hình trên, Nginx sẽ chuyển tiếp các yêu cầu từ port 443 (HTTPS) đến ứng dụng Go đang chạy trên port 8080.
Sau khi cấu hình Nginx xong, bạn có thể sử dụng Certbot để lấy chứng chỉ SSL từ Let’s Encrypt:
sudo certbot --nginxCertbot sẽ tự động cấu hình SSL cho Nginx và lấy chứng chỉ từ Let’s Encrypt. Quá trình này diễn ra tự động, bạn chỉ cần nhập thông tin domain và email.
Sau khi Certbot lấy được chứng chỉ SSL, bạn cần khởi động lại Nginx để áp dụng thay đổi:
sudo systemctl restart nginxNếu bạn muốn sử dụng Apache thay vì Nginx, bạn có thể làm theo các bước tương tự như với Nginx, nhưng thay đổi cách cấu hình.
Đầu tiên, cài đặt Apache và Certbot:
sudo apt update
sudo apt install apache2
sudo apt install certbot python3-certbot-apacheMở file cấu hình Apache (thường là /etc/apache2/sites-available/000-default.conf) và thêm cấu hình sau:
<VirtualHost *:80>
ServerName your_domain.com
Redirect permanent / https://your_domain.com/
</VirtualHost>
<VirtualHost *:443>
ServerName your_domain.com
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/your_domain.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/your_domain.com/privkey.pem
ProxyPass / http://localhost:8080/
ProxyPassReverse / http://localhost:8080/
</VirtualHost>Sử dụng Certbot để lấy chứng chỉ SSL cho Apache:
sudo certbot --apacheCertbot sẽ tự động cấu hình Apache với chứng chỉ SSL từ Let’s Encrypt.
Sau khi lấy được chứng chỉ SSL, khởi động lại Apache để áp dụng thay đổi:
sudo systemctl restart apache2Cài đặt SSL cho ứng dụng Go là một bước quan trọng trong việc bảo vệ dữ liệu người dùng và tăng cường bảo mật cho hệ thống. Tùy vào yêu cầu dự án và quy mô ứng dụng, bạn có thể chọn phương pháp phù hợp: sử dụng trực tiếp Go để quản lý SSL hoặc tích hợp với các web server như Nginx và Apache để tối ưu hóa và quản lý bảo mật hiệu quả hơn.
