Đầu năm 2018, Let’s Encrypt thông báo sắp sửa cung cấp chứng chỉ Wildcard SSL . Sau nhiều lần trì hoãn thì cuối cùng ngày hôm nay, chúng ta đã có thể đăng ký kích hoạt chứng chỉ này hoàn toàn miễn phí.
Đây là một cột mốc quan trọng giúp tiến dần hơn tới mục tiêu biến HTTPS thành giao thức được sử dụng 100% trên Internet. Trước đây, Let’s Encrypt chỉ phát hành chứng chỉ Domain Validation SSL – chứng thực cho Domain Name.
Cụ thể, Let’s Encrypt Wildcard SSL là chứng chỉ SSL có thể dùng cho tất cả các subdomain của tên miền có dạng *.domain.com. Bạn chỉ cần kích hoạt một lần là toàn bộ subdomain về sau có thể cài đặt sử dụng chứng chỉ ngay được. Wildcard SSL lý tưởng cho việc sử dụng nhiều tên miền phụ như WordPress Multisite (dạng subdomain), gian hàng online…
Quy trình cài đặt chứng chỉ Wildcard SSL hơi khác so với cài đặt Let’s Encrypt thông thường, ngoài ra không phải ai cũng có nhu cầu sử dụng Wildcard nên Học VPS sẽ viết một bài hướng dẫn riêng. Wildcard SSL cũng có giới hạn thời gian sử dụng 3 tháng nên bạn cần cấu hình certbot tự động gia hạn sử dụng crontab.
Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”
Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.
1. Chuẩn bị hệ thống
– Cài đặt Let’s Encrypt (bỏ qua nếu đã thực hiện)
# yum -y install git && git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt
– Wildcard SSL yêu cầu Cerbot phiên bản 0.22.0 trở lên. Việc kiểm tra phiên bản sẽ tự động cập nhật Certbot lên bản mới nhất.
# cd /opt/letsencrypt # ./certbot-auto --version Upgrading certbot-auto 0.21.1 to 0.22.2... Replacing certbot-auto... certbot 0.22.2
2. Kích hoạt chứng chỉ Let’s Encrypt Wildcard SSL
Wildcard SSL chỉ dành cho các subdomain dạng *.domain.com, không thể bảo mật cho domain.com. Vì vậy, nếu cần dùng bạn nên kích hoạt đồng thời domain SSL và Wildcard SSL trong 1 chứng chỉ.
Ví dụ trong bài mình sẽ hướng dẫn phát hành chứng chỉ cho cả domain hocvps.com và toàn bộ các subdomain *.hocvps.com.
# cd /opt/letsencrypt # ./certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns -d hocvps.com -d *.hocvps.com
Let’s Encrypt sẽ cài đặt những công cụ cần thiết. Sau đó, bạn hãy nhập địa chỉ mail, đồng ý với các quy định.
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): admin@gmail.com
-------------------------------------------------------------------------------
Nhập địa chỉ email sử dụng để gửi thông báo.
Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory ------------------------------------------------------------------------------- (A)gree/(C)ancel: A ------------------------------------------------------------------------------- Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about EFF and our work to encrypt the web, protect its users and defend digital rights. ------------------------------------------------------------------------------- (Y)es/(N)o: N
Chấp nhận quy định nhấn A và đồng ý nhận tin tức qua email, Y/N đều được.
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for hocvps.com
dns-01 challenge for hocvps.com
-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
-------------------------------------------------------------------------------
Đồng ý chia sẻ thông tin IP Log (phải đồng ý)
Please deploy a DNS TXT record under the name _acme-challenge.hocvps.com with the following value: 5am86r64Bbx0cd1rCT2NapwNGsVLQkInx73WgM4vp-w Before continuing, verify the record is deployed. ------------------------------------------------------------------------------- Press Enter to Continue ------------------------------------------------------------------------------- Please deploy a DNS TXT record under the name _acme-challenge.hocvps.com with the following value: dWY-f4K22BSI1DEOqnfJ-v0TXPgcaXLhsKx7lAgRLNs Before continuing, verify the record is deployed. ------------------------------------------------------------------------------- Press Enter to Continue
Đây là bước quan trọng nhất, xác thực quyền sở hữu domain bằng cách tạo 2 record TXT với nội dung hiển thị trên màn hình. Xong nhấn Enter.
- Value1 hiện ra bạn cập nhật trên DNS Domain rồi Enter và tiếp tục với Value2.
- Nhiều DNS Server update record rất chậm, mất vài giờ hoặc một vài ngày mới nhận record TXT. Để kiểm tra domain đã update record chưa, các bạn có thể dùng tool DNS Text Lookup. Nếu record chưa được update, quá trình kích hoạt sẽ Fail.
- Giá trị của TXT Record có thể thay đổi/không đổi qua các lần kích hoạt. Nếu kích hoạt fail, bạn cứ giữ nguyên nội dung TXT Record để dùng vào lần kích hoạt ngay sau đó (value có thể chưa đổi).
Nếu không có vấn đề gì xảy ra, bạn xe nhận được thông báo chúc mừng Congratulations! như bên dưới:
Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/hocvps.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/hocvps.com/privkey.pem Your cert will expire on 2018-06-16. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Kiểm tra lại nội dung chứng chỉ
# ./certbot-auto certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Found the following certs:
Certificate Name: hocvps.com
Domains: hocvps.com *.hocvps.com
Expiry Date: 2018-06-16 14:51:20+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------
Như vậy, bạn đã phát hành thành công chứng chỉ Let’s Encrypt – bao gồm cả DV SSL và Wildcard SSL. Bước tiếp theo, hãy cài đặt trên Webserver như Hướng dẫn cài đặt chứng chỉ bảo mật Let’s Encrypt (phần 2/ Cấu hình Nginx) và cấu hình tự động gia hạn với crontab (phần 4/ Tự động gia hạn Let’s Encrypt). Đồng thời tham khảo Cấu hình Webserver cho SSL của WP Multisite
3. Một số vấn đề gặp phải
– Tùy theo nhu cầu sử dụng, có thể phát hành đồng thời/riêng lẻ các chứng chỉ của một domain. Ví dụ hocvps.com, hoidap.hocvps.com hay *.hocvps.com và *.hoidap.hocvps.com.
# ./certbot-auto certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Found the following certs:
Certificate Name: hocvps.com
Domains: hocvps.com
Expiry Date: 2018-06-16 14:51:20+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
Certificate Name: hocvps.com-0001
Domains: *.hocvps.com
Expiry Date: 2018-06-16 14:54:34+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/hocvps.com-0001/fullchain.pem
Private Key Path: /etc/letsencrypt/live/hocvps.com-0001/privkey.pem
Certificate Name: hoidap.hocvps.com
Domains: hoidap.hocvps.com
Expiry Date: 2018-06-16 14:56:41+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/sub.hocvps.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/sub.hocvps.com/privkey.pem
-------------------------------------------------------------------------------
– Nếu đã sở hữu chứng chỉ cho domain.com, bạn chỉ cần chạy lệnh như hướng dẫn và chứng chỉ cũ sẽ được cập nhật bổ sung với lựa chọn E(Expand)
------------------------------------------------------------------------------- You have an existing certificate that contains a portion of the domains you requested (ref:/etc/letsencrypt/renewal/hocvps.com.conf) It contains these names: hocvps.com You requested these names for the new certificate: hocvps.com, *.hocvps.com. Do you want to expand and replace this existing certificate with the new certificate? ------------------------------------------------------------------------------- (E)xpand/(C)ancel: E
– Xác thực domain thất bại nếu TXT Record sai, thông báo:
Domain: hocvps.com Type: unauthorized Detail: Incorrect TXT record "xxx" (and 1 more) found at _acme-challenge.hocvps.com
Tùy trường hợp, value của TXT Record _acme-challenge sẽ thay đổi/không đổi qua các lần xác thực domain nên bạn hãy kiểm tra thật cẩn thận TXT Record với tool DNS Text Lookup rồi chạy lại lệnh phát hành.
@Luân Trần ơi cho mình hỏi, mình có cài ssl comado thành công rồi, nhưng giờ mình có bật đám mây màu vàng từ cloudflare để cải thiện tốc độ từ local Sing…Nếu như bật như vậy làm sao nó hiển thị: Issued by: Sectigo RSA Doamin…. thay vì Cloudflare Inc ECC…
Giờ nó báo
Certbot will no longer receive updates.
Please visit https://certbot.eff.org/ to check for other alternatives.
thì có cần lưu ý gì về cách cài hay gia hạn SSL không nhỉ? lệnh ./certbot-auto –version cũng không còn cập nhật certbot được
Cho mình hỏi mình có 3 website trên vps thì làm sao để nó tự gia hạn ssl cho từng website vậy thanks.
mình mới vào xem để cấp renew lại cái ssl cho 200 cá sub doamin ,chỉ cần thao táo trên domain chính các sub đều nhận được ,đỡ phải set từng sub chắc rip
Bài viết rất tuyệt vời
Kích hoạt chứng chỉ Let’s Encrypt Wildcard SSL ở bước nhận thông báo ở mail nhưng k thấy thông báo j cả, kể cả thùng rác
mỗi lần khách hàng yêu cầu cấp chứng chỉ SSL, đinh nhờ sếp chỉ nhưng rất ngại, nhưng thì qua bài viết này tui đã làm được rồi cảm ơn ad
Trước giờ mỗi lần khách yêu cầu cấp chứng chỉ SSL thì mình luôn nhờ sếp làm không, nhưng giờ thì mình biết phải làm như thế nào rồi. Cảm ơn bài viết của bạn nhe.
bài viết của bạn rất tuyệt vời, cám ơn bạn đã chia sẻ
Xin chào,
Website của mình đang ở dạng Multi-site và mình đã cấu hình SSL wildcard theo hướng dẫn của bạn nhưng mình gặp 02 vấn đề, rất mong được giúp đỡ:
1. Mình không thể truy cập vào liên kết con nếu không có chữ https:// trước tên miền.
VD: Khi gõ timnha.ihousel.com sẽ không đến được site con mà sẽ đến trang 404 của website ihousel.com. Muốn đến được trang này mình phải gõ đầy đủ là https://timnha.ihousel.com
2. Mình muốn tạo trực tiếp SSL cho site con “Tìm Nhà” mà không phải đi qua wildcard được không? Và phải làm thế nào?
Cảm ơn
1. Bạn đã cấu hình redirect 80 đến 443 chưa? Như đây mình hướng dẫn đó
https://hocvps.com/kich-hoat-wordpress-multisite/#cau-hinh-nginx-cua-site1-hocvps-com
server {listen 80;
server_name timnha.ihousel.com www.timnha.ihousel.com;
rewrite ^(.*) https://timnha.ihousel.com$1 permanent;
}
2. Bạn issue chứng chỉ đơn như bình thường thôi
https://hocvps.com/cai-dat-lets-encrypt/
Cảm ơn Việt Phương. Đã làm theo cách của bạn. Nhưng mình có thắc mắc là cứ mỗi lần website tạo một site con thì lại phải cấu hình lại nginx thì chắc cũng chẳng cần cái wildcard nữa, đúng không?
Cái Wildcard là chứng chỉ. Nó giúp bạn đỡ việc tạo chứng chỉ
Còn Nginx Conf thì bạn vẫn phải cài thôi
@Việt Phương mình hỏi bạn việc này. Mình mua SSL wilcard , domain chính đã cài OK rồi, giờ cài cho subdomain. subdomain này trỏ tới server khác so với domain chính, vậy việc này có cài được ssl cho subdomain kia không? hay là buộc subdomain phải chung servervới domain chính.
Câu hỏi thứ 2 là: hướng dẫn cài ssl wilcard cho subdomain như thế nào? Cảm ơn bạn nhiều
1. Mình nghĩ là cài được bình thường
2. Bạn cài như domain chính, đường dẫn trỏ tới chứng chỉ SSL. Nhớ copy Private Key sang server 2
Lưu ý: Một số nhà cung cấp CA thu thêm phí ở server cài đặt thêm. Số lượng ít thôi, nhưng nên xem kĩ chính sách giá của họ
Bác Việt Phương cho mình hỏi Wildcard SSL có hỗ trợ subdomain dạng CNAME không ạ? Mình đang có 1 subdomain CNAME về bucket của Amazon S3 (chứa media cho main domain là WordPress site đã kích hoạt CA của Let’s Encrypted) nhưng không biết làm sao để xác thực và tránh bị lỗi mix-content ạ. Mong được hướng dẫn.
Wildcard CNAME bình thường. Mình vẫn dùng wildcard * dạng CNAME về domain chính
Còn lỗi Mix-Content là lúc cài đặt chứng chỉ vào Webserver, bước sau và không liên quan gì đến bước phát hành chứng chỉ
Bạn có thể tham khảo: https://hocvps.com/cai-dat-ssl-xanh-hoan-hao/
Mình cài đặt ssl wildcard theo hướng dẫn của Hocvps.com và đã thành công. Cảm ơn ad rất nhiều.
Tuy nhiên với wildcard thì mình gặp lỗi không tự động renew được, mỗi lần renew lại phải thực hiện các thao tác add bản ghi TXT vào domain rất mất công. Ad có cách nào tự động được cái này không?
cảm ơn ad rất nhiều.
Để auto renew, bạn phải quản lý domain qua 1 bên thứ 3 có hỗ trợ API, ví dụ Cloudflare. Khi đó họ có quyền thay đổi nội dung TXT Record một cách tự động, giúp bạn renew tự động. Bạn tham khảo
https://developerinsider.co/how-to-create-and-auto-renew-lets-encrypt-wildcard-certificate/
Mình có thể cài Wildcard SSL cho subdomain (k phải domain chính) đc k bạn?
Vd: mình có domain.com chính đã cài Ssl bình thường… và
mình muốn cài Wildcard SSL trên một sub1.domain.com như vầy đc k nhỉ? Sub1.domain.com này hoạt động trên 1 IP máy chủ riêng biệt khác k liên quan đến domain.com chính..
Được và như vậy bạn phải issue cert ở cái VPS chứa subdomain
Mình cài bị báo lỗi DNS nên sử lý thế nào vậy bạn ?
Thông báo lỗi cụ thể như thế nào bạn post ra nhé
Server window được không bạn ?
Không bạn ơi, hướng dẫn này dành cho server Linux
cho mình hỏi, mình add domain vào chứng chỉ sai lẽ ra là domain.com và *.domain.com nhưng nhầm thành domain.com và http://www.domain.com. Sau đó mình add lại thì nó tạo thêm 1 chứng chỉ mới. Cho mình hỏi giờ làm sao để xóa các chứng chỉ đi để add lại cho đúng và dùng lệnh gì để có phần lựa chọn E(Expand).
Thanks
Bạn dùng lệnh check chứng chỉ mình note trong bài viết đó. Và chỉ expand trong trường hợp chứng chỉ gốc chỉ có domain.com
Còn Let’s sẽ coi chứng chỉ A (chứa domain.com và http://www.domain.com) và chứng chỉ B (chứa domain.com và *.domain.com) là khác nhau
Còn xóa là dùng lệnh
/opt/letsencrypt/certbot-auto deleteChào Việt Hương . làm ơn cho mình hỏi Khi mình kích hoạt chứng chỉ thì bị cái lỗi //tenmien.com . mặc dù hover vào nó vẫn hiện đường dẫn https . có cách nào nó hiện đủ https ở các đường dẫn ko ạ .
Mình không hiểu ý bạn rồi. Bạn ghi hẳn domain và trường hợp ra nhé
Hi Admin,
Bạn cho mình hỏi là mình nhiều subdomain, và mỗi subdomain thì ở một VPS khác nhau thì mình có dùng được cái chứng chỉ này được không bạn ? vì mình thấy mỗi khi cài đặt trên mỗi VPS thì lại có 2 bản TXT khác nhau.
Mong sớm được phản hồi từ bạn!
Không bạn nhé. Bạn cài chứng chỉ riêng cho từng subdomain
Cảm ơn bạn đã giải thích nhưng mình vẫn còn một vấn đề nữa cần mong bạn giải đáp nốt cho mình – khi mình cài chứng chỉ cho từng subdomain thì mỗi subdomain có 2 bản TXT . giả sử mình có 5 cái subdomain thì mình sẽ có 10 bản TXT (`_acme-challenge`) cùng nằm trong phần DNS setting của domain chính phải ko bạn ?
Uhm, nó sẽ dạng acme-challenge.subX . Mà cài chứng chỉ riêng cho từng sub thì bạn issue DV SSL ý, Wildcard SSL làm gì cho mệt
https://hocvps.com/cai-dat-lets-encrypt/
Mình dùng VPS quản lý bằng phần mềm Directadmin, mình dùng 1 IP nhiều domain, mỗi domain có nhiều subdomain, thì sử dụng được dịch vụ ssl miễn phí này cho toàn bộ được không mod
Được bạn nhé. Tất cả chung 1 chứng chỉ
“Đây là bước quan trọng nhất, xác thực quyền sở hữu domain bằng cách tạo 2 record TXT với nội dung hiển thị trên màn hình. Xong nhấn Enter.”
Bác luân cho e hỏi..e làm tới bước này rồi, check DNS Text Lookup cũng có rồi mà nó xác mình thì lại fail
Bạn đảm bảo có cả 2 Record cùng lúc chưa? 2 Record với 2 nội dung khác nhau nhé bạn. Bạn kiểm tra lại và chạy lại xem
Mình làm theo hướng dẫn ở mục 2. cho domain và đã kích hoạt thành công, sau đó mới tạo subdomain thì subdomain này không có ssl. Mình phải làm như thế nào nữa các bạn?
1. Cert bạn có bao gồm cả subdomain không
2. Bạn cấu hình Nginx Conf cho subdomain, sử dụng cert đã tạo
1. Có bạn, khi cài đặt chứng chỉ mình cài co cả domain.vn và *.domain.vn
2. Ý bạn là mình chỉnh sửa: nano /etc/nginx/conf.d/SUB.DOMAIN.VN.conf – Mình đã làm bước này: hiện tại thì nó báo không thể truy cập: https://shop.eot.vn/
Cám ơn bạn!
Nginx -t của bạn ra kết quả gì
Cấu hình file subdomain của bạn như thế nào
Bạn check giúp mình:
“[root@EoT home]# nginx -t
nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/shop.eot.vn/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/shop.eot.vn/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed”
Khi mình cài SSL cho eot.vn và *.eot.vn theo như bài hướng dẫn. Sau đó mình mới tạo record A (shop) trên CloudFlare. Thêm sub domain trên HocVPS, rồi sau đó sửa file: /etc/nginx/conf.d/shop.eot.VN.conf . Mình có đang thực hiện thiếu bước nào không bạn?
Không tồn tại /etc/letsencrypt/live/shop.eot.vn/fullchain.pem nhé bạn
Bạn dùng chung cert nên cert của nó phải là /etc/letsencrypt/live/eot.vn/fullchain.pem, tg tự với file key
Mình chỉnh theo bạn hướng dẫn được rồi.
Cám ơn bạn nhiều nhé!
Okie bạn. Lợi thế của việc Wildcard này chính là bạn không cần issue quá nhiều cert, tiện cho việc quản lý tập trung
Bài viết sai ở phần gia hạn. Với cách tạo như thế này thì không thể gia hạn tự động được vì mỗi lần tạo mới/gia hạn wildcard yêu cầu trỏ 1 bản ghi TXT khác nhau nên phải làm bằng tay. Muốn gia hạn tự động mời qua web của mình xem nha: https://hoctapit.com/huong-dan-tao-moi-va-gia-han-tu-dong-ssl-wildcard-cua-lets-encrypt/
Cho mình hỏi cấu hình Nginx với Wildcard thì ở từng file conf điền chỗ này với subdomain thế nào?
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
1 cert dùng chung cho toàn bộ domain và subdomain nên chỗ ssl_certificate và ssl_certificate_key của subdomain bạn vẫn dùng cert đó thôi
Thực sự hữu ích, cám ơn nhiều!
Đính chính lại chỗ này nhé, bạn nào không xài CloudFare thì điền _acme-challenge trong TXT record thôi, chứ điền luôn cả tên miền thì không bao giờ được, mình đã điên máu với nó hơn 1 tuần.
Chúc các bạn thành công
Nếu điền all thi khi bạn check TXT Record ra _acme-challenge.domain.domain à?
Cái Value nó thay đổi liên tục sau mỗi lần Fail, xài DNS ở MatBao, cài mấy ngày không được, chán ghê !
MatBao có hỗ trợ chuyển sang DNS Cloudflare không? Bạn thử chuyển qua rồi test xem
Mình thực hiện nhiều rồi, có thay đổi nhưng không thường xuyên và hầu hết tầm 1-2 lần là thành công
Trường hợp bạn dùng dns của matbao thì chỉ cần điền _acme-challenge và 2 value txt thôi.
ối giời ơi ad ơi cần quá. huhu
cảm ơn ad nhé
admin ơi cho mình hỏi, mình đang sài domain của goddady và vps của vultr, h mình mún mua ssl cho site mới và mua của goddady thì thấy mắc (không biết nó hơn nhà mạng khác không mà đắt vãi 1tr1 lận).
Bây giờ theo vps là vultr thì mình cài ssl theo hướng dẫn nào để thực hiện, cám ơn nhiều nhé!
ps: mình đọc hướng dẫn rồi mà tới mí cái lận, hok biết sài cái nào vì không phải dân it nên không biết chính xác,nếu bik mình làm theo hướng dẫn thì nhanh rồi.
Trên HocVPS thì có 3 bài hướng dẫn cài SSL thôi
– SSL thu phí (dạng mua từ bên thứ 3) https://hocvps.com/cai-dat-chung-chi-ssl/
– SSL miễn phí Let’s Encrypt
– Wildcard SSL miễn phí Let’s Encrypt
nếu vậy là mình cài dạng bên thứ 3 rồi, cám ơn nhé.
cho mình hỏi ssl của goddady mắc quá như mình đề cập, vậy ad có biết nó khác nhau chỗ nào hay không, hay chỉ nên sài free của Let’s Encrypt?
mình có xem qua bài này tìm trên mạng thấy nó khá đơn giản, nếu được Việt Phương check hộ xem sao nhé. https://langthangweb.com/cai-dat-chung-chi-ssl-tren-vps-chay-nginx/
Bài bạn đưa là hướng dẫn cài đặt chứng chỉ Let’s Encrypt. Cũng như bài HocVPS thôi, ngoài ra HocVPS tích hợp thêm cấu hình nâng cao phần Nginx
SSL thì nhiều nhà cung cấp, bạn có thể theo dõi các tin bài khuyến mại SSL trên Canh Me
https://canhme.com/ssl/
canh hoài ý, mà chưa thấy có km thôi ^^ ssl lâu lắm mới có, đợi mãi ấy chứ^^
Thì SSL mỗi lần mua là mua cả năm mà bạn 😀 Chịu khó canh thôi
https://canhme.com/hostvn/chung-chi-ssl-chi-tu-166k/ Bạn thử khuyến mại này xem
cám ơn, ữa lọ mọ chờ lâu quá nên lỡ sài cái lets free rồi, để qua tuần nạp tiền tâm pháp mua lun dù sao cũng rẻ, mà ad cho mình hỏi có phí vs ko phí khác nhau gì nhiều không ~…~
Khác ở trinh duyệt và đền bù. Thu phí có đền bù thiệt hại khi có vấn đè liên quan đến SSL
Và hỗ trợ cả các trình duyệt đời cũ. Ví dụ như Cloudflare SSL free thì sẽ không truy cập được khi dùng WinXP
Please deploy a DNS TXT record under the name
Ngay chỗ này là sau khi xuất hiện cái Value thứ 1 của _acme-challenge.hocvps.com thì mình Enter để xuất hiện Value thứ 2 hay sao nhỉ? làm cả ngày hôm qua không được 🙁
Xuất hiện Value1 bạn tạo Record1 rồi Enter để hiện Value2 thì bạn tạo Record2
Cái txt record bên namecheap update sao nhỉ? host là _acme-challenge.hocvps.com hay chỉ _acme-challenge mình thử mãi k đc
_acme-challengenhé bạn. Như mình dùng Cloudflare thì kể cả nhập_acme-challenge.hocvps.comcuối cùng vẫn chỉ hiển thị_acme-challenge. Bạn xong có thể check bằng https://mxtoolbox.com/TXTLookup.aspxĐổi hoặc cài lại VPS vẫn cài đặt và sử dụng bình thường pk bạn? 🙂
Uhm bạn. Khi đổi/cài lại VPS thì issue lại chứng chỉ là được
Cám ơn bạn,
Nếu mình dùng cron 2 tháng chạy 1 lần để renew cái này thì có được không ad?
Vì 1 server phải chạy liên tục, mình muốn số lần restart service web là ít nhất đó ad.
Cron kia chỉ là ngày nào cũng check thôi còn SSL chỉ được renew khi còn hạn dưới 30 ngày nên bạn không lo vấn đề restart webservice nhé
Nếu đã cài domain SSL thì vẫn cài bình thường như hướng dẫn trên phải không adm?
Nếu chỉ cần chứng chỉ cho mỗi domain thì bạn theo hướng dẫn thông thường nhé
https://hocvps.com/cai-dat-lets-encrypt/
ý là mình đã cài cho 1 domain rồi, giờ muốn cài thêm cho subdomain ấy, thì làm như hướng dẫn ở trên có được không, có cần remove cái cũ không nhỉ?
Không cần remove cái cũ nhưng chứng chỉ bạn mới issue sẽ không đè vào chứng chỉ cũ mà là 1 chứng chỉ mới, bao gồm cả domain và subdomain
Hoặc bạn có thể issue chứng chỉ cho mỗi subdomain *.domain.com, tùy nhu cầu của bạn
cho mình hỏi, mình đã add domain.com và *.domain.com có nghĩa là khi mình thêm sub.domain.com thì nó tự nhận ssl cho subdomain hay phải add thêm cái sub.domain.com nhỉ?
Cái chứng chỉ đó sẽ tự nhận sub.domain.com
mình đã cài và add domain.com và *.domain.com nhưng khi dùng chức năng Them Domain trong Hocvps để thêm subdomain thì sub.domain.com vẫn không có ssl.
Bạn cấu hình SSL trong Nginx Conf cho subdomain chưa?
2 cái record _acme-challenge.hocvps.com này y chang tên, nên thêm thì nó đổi giá trị chứ không ra 2 record riêng được
TXT Record nên bao nhiêu record trùng tên cũng được nhé bạn
http://prntscr.com/it3lyh
Mình cũng làm theo hướng dẫn và bị y chang bạn này.
Đã thông báo thành công cho cả subdomain rồi, nhưng khi đăng nhập vào subdomain thì vẫn không có SSL,
Ad cho mình hỏi là “cấu hình SSL trong Nginx Conf cho subdomain ” như thế nào
Cảm ơn ad!
Cấu hình SSL cho domain chính như thế nào thì bạn cấu hình như thế cho subdomain.
Vì bản chất subdomain cũng là 1 domain hoạt động độc lập mà, có cấu hình của riêng nó
Bạn có thể tham khảo https://hocvps.com/kich-hoat-wordpress-multisite/#3.3._C%E1%BA%A5u_h%C3%ACnh_Webserver_cho_SSL.
Thanks admin nha, đúng lúc mình cần hihi
Cảm ơn Mod Phương rất nhiều <3
Mod cho mình hỏi thêm,
Trường hợp khi làm theo hướng dẫn nhưng trong đường dẫn /etc/letsencrypt/live/abc.com/fullchain.pem chỉ có đúng 1 domain thì mình phải cấu hình như thế nào cho sub domain,
Với trường hợp khi thực hiện như hướng dẫn trong /etc/letsencrypt/live/sub.abc.com/fullchain.pem thì mình cấu hình hoàn thành nhận ngay tick xanh https
Còn trường hợp 2 mình bị là ko có sub trong /etc/letsencrypt/live/ nên dù có nhận https nhưng trình duyệt thông báo là Not Secure
Nhờ Mod hướng dẫn giúp,
Mình đã thử chạy lại nhưng không xuất hiện Expan
Cảm ơn và mong nhận được hồi âm từ Mod
Làm như đúng hướng dẫn thì là 1 file cert chứa chứng chỉ cho toàn bộ. Chứ mỗi domain 1 chứng chỉ thì dùng wildcard làm gì
Tức khi đó
/etc/letsencrypt/live/abc.com/fullchain.pemphải bao gồm cả abc và sub.abcVà sẽ không tồn tại
/etc/letsencrypt/live/sub.abc.com/fullchain.pemBạn dùng câu lệnh kiểm tra lại nội dung chứng chỉ đó