Đầu năm 2018, Let’s Encrypt thông báo sắp sửa cung cấp chứng chỉ Wildcard SSL . Sau nhiều lần trì hoãn thì cuối cùng ngày hôm nay, chúng ta đã có thể đăng ký kích hoạt chứng chỉ này hoàn toàn miễn phí.

Đây là một cột mốc quan trọng giúp tiến dần hơn tới mục tiêu biến HTTPS thành giao thức được sử dụng 100% trên Internet. Trước đây, Let’s Encrypt chỉ phát hành chứng chỉ Domain Validation SSL – chứng thực cho Domain Name.

Cụ thể, Let’s Encrypt Wildcard SSL là chứng chỉ SSL có thể dùng cho tất cả các subdomain của tên miền có dạng *.domain.com. Bạn chỉ cần kích hoạt một lần là toàn bộ subdomain về sau có thể cài đặt sử dụng chứng chỉ ngay được. Wildcard SSL lý tưởng cho việc sử dụng nhiều tên miền phụ như WordPress Multisite (dạng subdomain), gian hàng online…

Quy trình cài đặt chứng chỉ Wildcard SSL hơi khác so với cài đặt Let’s Encrypt thông thường, ngoài ra không phải ai cũng có nhu cầu sử dụng Wildcard nên Học VPS sẽ viết một bài hướng dẫn riêng. Wildcard SSL cũng có giới hạn thời gian sử dụng 3 tháng nên bạn cần cấu hình certbot tự động gia hạn sử dụng crontab.

Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Lưu ý: nếu đang dùng CloudFlare, hãy tắt chức năng ẩn IP bằng cách click chuyển đám mây từ Vàng sang Xám. Xem thêm hướng dẫn cài đặt CloudFlare.

1. Chuẩn bị hệ thống

– Cài đặt Let’s Encrypt (bỏ qua nếu đã thực hiện)

# yum -y install git && git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

– Wildcard SSL yêu cầu Cerbot phiên bản 0.22.0 trở lên. Việc kiểm tra phiên bản sẽ tự động cập nhật Certbot lên bản mới nhất.

# cd /opt/letsencrypt 
# ./certbot-auto --version
Upgrading certbot-auto 0.21.1 to 0.22.2...
Replacing certbot-auto...
certbot 0.22.2

2. Kích hoạt chứng chỉ Let’s Encrypt Wildcard SSL

Wildcard SSL chỉ dành cho các subdomain dạng *.domain.com, không thể bảo mật cho domain.com. Vì vậy, nếu cần dùng bạn nên kích hoạt đồng thời domain SSL và Wildcard SSL trong 1 chứng chỉ.

Ví dụ trong bài mình sẽ hướng dẫn phát hành chứng chỉ cho cả domain hocvps.com và toàn bộ các subdomain *.hocvps.com.

# cd /opt/letsencrypt
# ./certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns -d hocvps.com -d *.hocvps.com

Let’s Encrypt sẽ cài đặt những công cụ cần thiết. Sau đó, bạn hãy nhập địa chỉ mail, đồng ý với các quy định.

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): admin@gmail.com
-------------------------------------------------------------------------------

Nhập địa chỉ email sử dụng để gửi thông báo.

Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A
-------------------------------------------------------------------------------
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about EFF and
our work to encrypt the web, protect its users and defend digital rights.
-------------------------------------------------------------------------------
(Y)es/(N)o: N

Chấp nhận quy định nhấn A và đồng ý nhận tin tức qua email, Y/N đều được.

Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for hocvps.com
dns-01 challenge for hocvps.com
-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.
Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: Y
-------------------------------------------------------------------------------

Đồng ý chia sẻ thông tin IP Log (phải đồng ý)

Please deploy a DNS TXT record under the name
_acme-challenge.hocvps.com with the following value:
5am86r64Bbx0cd1rCT2NapwNGsVLQkInx73WgM4vp-w
Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue
-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.hocvps.com with the following value:
dWY-f4K22BSI1DEOqnfJ-v0TXPgcaXLhsKx7lAgRLNs
Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

Đây là bước quan trọng nhất, xác thực quyền sở hữu domain bằng cách tạo 2 record TXT với nội dung hiển thị trên màn hình. Xong nhấn Enter.

Chú ý:

  • Value1 hiện ra bạn cập nhật trên DNS Domain rồi Enter và tiếp tục với Value2.
  • Nhiều DNS Server update record rất chậm, mất vài giờ hoặc một vài ngày mới nhận record TXT. Để kiểm tra domain đã update record chưa, các bạn có thể dùng tool DNS Text Lookup. Nếu record chưa được update, quá trình kích hoạt sẽ Fail.
  • Giá trị của TXT Record có thể thay đổi/không đổi qua các lần kích hoạt. Nếu kích hoạt fail, bạn cứ giữ nguyên nội dung TXT Record để dùng vào lần kích hoạt ngay sau đó (value có thể chưa đổi).

Nếu không có vấn đề gì xảy ra, bạn xe nhận được thông báo chúc mừng Congratulations! như bên dưới:

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/hocvps.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/hocvps.com/privkey.pem
   Your cert will expire on 2018-06-16. To obtain a new or tweaked
   version of this certificate in the future, simply run
   certbot-auto again. To non-interactively renew *all* of your
   certificates, run "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Kiểm tra lại nội dung chứng chỉ

# ./certbot-auto certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Found the following certs:
Certificate Name: hocvps.com
    Domains: hocvps.com *.hocvps.com
    Expiry Date: 2018-06-16 14:51:20+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------

Như vậy, bạn đã phát hành thành công chứng chỉ Let’s Encrypt – bao gồm cả DV SSL và Wildcard SSL. Bước tiếp theo, hãy cài đặt trên Webserver như Hướng dẫn cài đặt chứng chỉ bảo mật Let’s Encrypt (phần 2/ Cấu hình Nginx) và cấu hình tự động gia hạn với crontab (phần 4/ Tự động gia hạn Let’s Encrypt). Đồng thời tham khảo Cấu hình Webserver cho SSL của WP Multisite

3. Một số vấn đề gặp phải

– Tùy theo nhu cầu sử dụng, có thể phát hành đồng thời/riêng lẻ các chứng chỉ của một domain. Ví dụ hocvps.com, hoidap.hocvps.com hay *.hocvps.com*.hoidap.hocvps.com.

# ./certbot-auto certificates
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Found the following certs:
  Certificate Name: hocvps.com
    Domains: hocvps.com
    Expiry Date: 2018-06-16 14:51:20+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
  Certificate Name: hocvps.com-0001
    Domains: *.hocvps.com
    Expiry Date: 2018-06-16 14:54:34+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com-0001/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com-0001/privkey.pem
  Certificate Name: hoidap.hocvps.com
    Domains: hoidap.hocvps.com
    Expiry Date: 2018-06-16 14:56:41+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/sub.hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/sub.hocvps.com/privkey.pem
-------------------------------------------------------------------------------

– Nếu đã sở hữu chứng chỉ cho domain.com, bạn chỉ cần chạy lệnh như hướng dẫn và chứng chỉ cũ sẽ được cập nhật bổ sung với lựa chọn E(Expand)

-------------------------------------------------------------------------------
You have an existing certificate that contains a portion of the domains you requested (ref:/etc/letsencrypt/renewal/hocvps.com.conf)
It contains these names: hocvps.com
You requested these names for the new certificate: hocvps.com, *.hocvps.com.
Do you want to expand and replace this existing certificate with the new certificate?
-------------------------------------------------------------------------------
(E)xpand/(C)ancel: E

– Xác thực domain thất bại nếu TXT Record sai, thông báo:

Domain: hocvps.com
   Type:   unauthorized
   Detail: Incorrect TXT record
   "xxx" (and 1 more) found at _acme-challenge.hocvps.com

Tùy trường hợp, value của TXT Record _acme-challenge sẽ thay đổi/không đổi qua các lần xác thực domain nên bạn hãy kiểm tra thật cẩn thận TXT Record với tool DNS Text Lookup rồi chạy lại lệnh phát hành.

Comment của bạn

Your email address will not be published. Required fields are marked *

66 Comments

  1. HarryVu 7 comment

    cho mình hỏi, mình add domain vào chứng chỉ sai lẽ ra là domain.com và *.domain.com nhưng nhầm thành domain.com và http://www.domain.com. Sau đó mình add lại thì nó tạo thêm 1 chứng chỉ mới. Cho mình hỏi giờ làm sao để xóa các chứng chỉ đi để add lại cho đúng và dùng lệnh gì để có phần lựa chọn E(Expand).

    Thanks

    1. Việt Phương Moderator

      Bạn dùng lệnh check chứng chỉ mình note trong bài viết đó. Và chỉ expand trong trường hợp chứng chỉ gốc chỉ có domain.com
      Còn Let’s sẽ coi chứng chỉ A (chứa domain.com và http://www.domain.com) và chứng chỉ B (chứa domain.com và *.domain.com) là khác nhau
      Còn xóa là dùng lệnh /opt/letsencrypt/certbot-auto delete

  2. dai 1 comment

    Chào Việt Hương . làm ơn cho mình hỏi Khi mình kích hoạt chứng chỉ thì bị cái lỗi //tenmien.com . mặc dù hover vào nó vẫn hiện đường dẫn https . có cách nào nó hiện đủ https ở các đường dẫn ko ạ .

    1. Việt Phương Moderator

      Mình không hiểu ý bạn rồi. Bạn ghi hẳn domain và trường hợp ra nhé

  3. Duy Pham 8 comment

    Hi Admin,
    Bạn cho mình hỏi là mình nhiều subdomain, và mỗi subdomain thì ở một VPS khác nhau thì mình có dùng được cái chứng chỉ này được không bạn ? vì mình thấy mỗi khi cài đặt trên mỗi VPS thì lại có 2 bản TXT khác nhau.

    Mong sớm được phản hồi từ bạn!

      1. Duy Pham 8 comment

        Cảm ơn bạn đã giải thích nhưng mình vẫn còn một vấn đề nữa cần mong bạn giải đáp nốt cho mình – khi mình cài chứng chỉ cho từng subdomain thì mỗi subdomain có 2 bản TXT . giả sử mình có 5 cái subdomain thì mình sẽ có 10 bản TXT (`_acme-challenge`) cùng nằm trong phần DNS setting của domain chính phải ko bạn ?

  4. khang 1 comment

    Mình dùng VPS quản lý bằng phần mềm Directadmin, mình dùng 1 IP nhiều domain, mỗi domain có nhiều subdomain, thì sử dụng được dịch vụ ssl miễn phí này cho toàn bộ được không mod

  5. Duy Luân 9 comment

    “Đây là bước quan trọng nhất, xác thực quyền sở hữu domain bằng cách tạo 2 record TXT với nội dung hiển thị trên màn hình. Xong nhấn Enter.”

    Bác luân cho e hỏi..e làm tới bước này rồi, check DNS Text Lookup cũng có rồi mà nó xác mình thì lại fail

    1. Việt Phương Moderator

      Bạn đảm bảo có cả 2 Record cùng lúc chưa? 2 Record với 2 nội dung khác nhau nhé bạn. Bạn kiểm tra lại và chạy lại xem

  6. 6 comment

    Mình làm theo hướng dẫn ở mục 2. cho domain và đã kích hoạt thành công, sau đó mới tạo subdomain thì subdomain này không có ssl. Mình phải làm như thế nào nữa các bạn?

    1. Việt Phương Moderator

      1. Cert bạn có bao gồm cả subdomain không
      2. Bạn cấu hình Nginx Conf cho subdomain, sử dụng cert đã tạo

      1. 6 comment

        1. Có bạn, khi cài đặt chứng chỉ mình cài co cả domain.vn và *.domain.vn
        2. Ý bạn là mình chỉnh sửa: nano /etc/nginx/conf.d/SUB.DOMAIN.VN.conf – Mình đã làm bước này: hiện tại thì nó báo không thể truy cập: https://shop.eot.vn/
        Cám ơn bạn!

        1. Việt Phương Moderator

          Nginx -t của bạn ra kết quả gì
          Cấu hình file subdomain của bạn như thế nào

          1. 6 comment

            Bạn check giúp mình:
            “[root@EoT home]# nginx -t
            nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/shop.eot.vn/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/shop.eot.vn/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
            nginx: configuration file /etc/nginx/nginx.conf test failed”
            Khi mình cài SSL cho eot.vn và *.eot.vn theo như bài hướng dẫn. Sau đó mình mới tạo record A (shop) trên CloudFlare. Thêm sub domain trên HocVPS, rồi sau đó sửa file: /etc/nginx/conf.d/shop.eot.VN.conf . Mình có đang thực hiện thiếu bước nào không bạn?

          2. Việt Phương Moderator

            Không tồn tại /etc/letsencrypt/live/shop.eot.vn/fullchain.pem nhé bạn
            Bạn dùng chung cert nên cert của nó phải là /etc/letsencrypt/live/eot.vn/fullchain.pem, tg tự với file key

          3. 6 comment

            Mình chỉnh theo bạn hướng dẫn được rồi.
            Cám ơn bạn nhiều nhé!

          4. Việt Phương Moderator

            Okie bạn. Lợi thế của việc Wildcard này chính là bạn không cần issue quá nhiều cert, tiện cho việc quản lý tập trung

  7. Hieu 13 comment

    Cho mình hỏi cấu hình Nginx với Wildcard thì ở từng file conf điền chỗ này với subdomain thế nào?
    ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;

    1. Việt Phương Moderator

      1 cert dùng chung cho toàn bộ domain và subdomain nên chỗ ssl_certificate và ssl_certificate_key của subdomain bạn vẫn dùng cert đó thôi

  8. Minh Thanh 47 comment

    Đính chính lại chỗ này nhé, bạn nào không xài CloudFare thì điền _acme-challenge trong TXT record thôi, chứ điền luôn cả tên miền thì không bao giờ được, mình đã điên máu với nó hơn 1 tuần.

    Chúc các bạn thành công

    1. Việt Phương Moderator

      Nếu điền all thi khi bạn check TXT Record ra _acme-challenge.domain.domain à?

    1. Việt Phương Moderator

      MatBao có hỗ trợ chuyển sang DNS Cloudflare không? Bạn thử chuyển qua rồi test xem
      Mình thực hiện nhiều rồi, có thay đổi nhưng không thường xuyên và hầu hết tầm 1-2 lần là thành công

    2. phinguyen 1 comment

      Trường hợp bạn dùng dns của matbao thì chỉ cần điền _acme-challenge và 2 value txt thôi.

  9. thành 4 comment

    admin ơi cho mình hỏi, mình đang sài domain của goddady và vps của vultr, h mình mún mua ssl cho site mới và mua của goddady thì thấy mắc (không biết nó hơn nhà mạng khác không mà đắt vãi 1tr1 lận).
    Bây giờ theo vps là vultr thì mình cài ssl theo hướng dẫn nào để thực hiện, cám ơn nhiều nhé!

    ps: mình đọc hướng dẫn rồi mà tới mí cái lận, hok biết sài cái nào vì không phải dân it nên không biết chính xác,nếu bik mình làm theo hướng dẫn thì nhanh rồi.

      1. thành 4 comment

        nếu vậy là mình cài dạng bên thứ 3 rồi, cám ơn nhé.

        cho mình hỏi ssl của goddady mắc quá như mình đề cập, vậy ad có biết nó khác nhau chỗ nào hay không, hay chỉ nên sài free của Let’s Encrypt?

        mình có xem qua bài này tìm trên mạng thấy nó khá đơn giản, nếu được Việt Phương check hộ xem sao nhé. https://langthangweb.com/cai-dat-chung-chi-ssl-tren-vps-chay-nginx/

        1. Việt Phương Moderator

          Bài bạn đưa là hướng dẫn cài đặt chứng chỉ Let’s Encrypt. Cũng như bài HocVPS thôi, ngoài ra HocVPS tích hợp thêm cấu hình nâng cao phần Nginx
          SSL thì nhiều nhà cung cấp, bạn có thể theo dõi các tin bài khuyến mại SSL trên Canh Me
          https://canhme.com/ssl/

          1. thành 4 comment

            canh hoài ý, mà chưa thấy có km thôi ^^ ssl lâu lắm mới có, đợi mãi ấy chứ^^

          2. Việt Phương Moderator

            Thì SSL mỗi lần mua là mua cả năm mà bạn 😀 Chịu khó canh thôi

          3. thành 4 comment

            cám ơn, ữa lọ mọ chờ lâu quá nên lỡ sài cái lets free rồi, để qua tuần nạp tiền tâm pháp mua lun dù sao cũng rẻ, mà ad cho mình hỏi có phí vs ko phí khác nhau gì nhiều không ~…~

          4. Việt Phương Moderator

            Khác ở trinh duyệt và đền bù. Thu phí có đền bù thiệt hại khi có vấn đè liên quan đến SSL
            Và hỗ trợ cả các trình duyệt đời cũ. Ví dụ như Cloudflare SSL free thì sẽ không truy cập được khi dùng WinXP

  10. Minh Thanh 47 comment

    Please deploy a DNS TXT record under the name
    Ngay chỗ này là sau khi xuất hiện cái Value thứ 1 của _acme-challenge.hocvps.com thì mình Enter để xuất hiện Value thứ 2 hay sao nhỉ? làm cả ngày hôm qua không được 🙁

    1. Việt Phương Moderator

      Xuất hiện Value1 bạn tạo Record1 rồi Enter để hiện Value2 thì bạn tạo Record2

  11. Hoang Nguyen 6 comment

    Cái txt record bên namecheap update sao nhỉ? host là _acme-challenge.hocvps.com hay chỉ _acme-challenge mình thử mãi k đc

  12. Phan 2 comment

    Đổi hoặc cài lại VPS vẫn cài đặt và sử dụng bình thường pk bạn? 🙂

    1. Việt Phương Moderator

      Uhm bạn. Khi đổi/cài lại VPS thì issue lại chứng chỉ là được

      1. Phan 2 comment

        Cám ơn bạn,

        Nếu mình dùng cron 2 tháng chạy 1 lần để renew cái này thì có được không ad?
        Vì 1 server phải chạy liên tục, mình muốn số lần restart service web là ít nhất đó ad.

        1. Việt Phương Moderator

          Cron kia chỉ là ngày nào cũng check thôi còn SSL chỉ được renew khi còn hạn dưới 30 ngày nên bạn không lo vấn đề restart webservice nhé

  13. HarryVu 7 comment

    Nếu đã cài domain SSL thì vẫn cài bình thường như hướng dẫn trên phải không adm?

      1. HarryVu 7 comment

        ý là mình đã cài cho 1 domain rồi, giờ muốn cài thêm cho subdomain ấy, thì làm như hướng dẫn ở trên có được không, có cần remove cái cũ không nhỉ?

        1. Việt Phương Moderator

          Không cần remove cái cũ nhưng chứng chỉ bạn mới issue sẽ không đè vào chứng chỉ cũ mà là 1 chứng chỉ mới, bao gồm cả domain và subdomain
          Hoặc bạn có thể issue chứng chỉ cho mỗi subdomain *.domain.com, tùy nhu cầu của bạn

          1. HarryVu 7 comment

            cho mình hỏi, mình đã add domain.com và *.domain.com có nghĩa là khi mình thêm sub.domain.com thì nó tự nhận ssl cho subdomain hay phải add thêm cái sub.domain.com nhỉ?

          2. Việt Phương Moderator

            Cái chứng chỉ đó sẽ tự nhận sub.domain.com

          3. HarryVu 7 comment

            mình đã cài và add domain.com và *.domain.com nhưng khi dùng chức năng Them Domain trong Hocvps để thêm subdomain thì sub.domain.com vẫn không có ssl.

          4. Việt Phương Moderator

            Bạn cấu hình SSL trong Nginx Conf cho subdomain chưa?

  14. Minh Thanh 47 comment

    2 cái record _acme-challenge.hocvps.com này y chang tên, nên thêm thì nó đổi giá trị chứ không ra 2 record riêng được

    1. Nguyen Hieu 2 comment

      Mình cũng làm theo hướng dẫn và bị y chang bạn này.
      Đã thông báo thành công cho cả subdomain rồi, nhưng khi đăng nhập vào subdomain thì vẫn không có SSL,
      Ad cho mình hỏi là “cấu hình SSL trong Nginx Conf cho subdomain ” như thế nào
      Cảm ơn ad!

    1. Nguyen Hieu 2 comment

      Cảm ơn Mod Phương rất nhiều <3
      Mod cho mình hỏi thêm,
      Trường hợp khi làm theo hướng dẫn nhưng trong đường dẫn /etc/letsencrypt/live/abc.com/fullchain.pem chỉ có đúng 1 domain thì mình phải cấu hình như thế nào cho sub domain,
      Với trường hợp khi thực hiện như hướng dẫn trong /etc/letsencrypt/live/sub.abc.com/fullchain.pem thì mình cấu hình hoàn thành nhận ngay tick xanh https
      Còn trường hợp 2 mình bị là ko có sub trong /etc/letsencrypt/live/ nên dù có nhận https nhưng trình duyệt thông báo là Not Secure
      Nhờ Mod hướng dẫn giúp,
      Mình đã thử chạy lại nhưng không xuất hiện Expan
      Cảm ơn và mong nhận được hồi âm từ Mod

      1. Việt Phương Moderator

        Làm như đúng hướng dẫn thì là 1 file cert chứa chứng chỉ cho toàn bộ. Chứ mỗi domain 1 chứng chỉ thì dùng wildcard làm gì
        Tức khi đó /etc/letsencrypt/live/abc.com/fullchain.pem phải bao gồm cả abc và sub.abc
        Và sẽ không tồn tại /etc/letsencrypt/live/sub.abc.com/fullchain.pem
        Bạn dùng câu lệnh kiểm tra lại nội dung chứng chỉ đó