Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Thỉnh thoảng bạn nên cập nhật mã nguồn Let’s Encrypt từ Github để có được tính năng mới nhất. Hoặc đôi khi chứng chỉ Lets Encrypt không tự động gia hạn mặc dù đã kích hoạt crontab.

# cd /opt/letsencrypt && git pull

– Nếu gặp thông báo lỗi như bên dưới:

error: Your local changes to 'letsencrypt-auto' would be overwritten by merge. Aborting.
Please, commit your changes or stash them before you can merge.

bạn sẽ cần sử dụng dòng lệnh này:

# git reset --hard && git pull

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Cho đến tháng 5, 2016, Certbot được gọi với tên letsencrypt hoặc letsencrypt-auto, tùy thuộc vào cách cài đặt. Một số bài hướng dẫn trên Internet vẫn sử dụng tên cũ này, trong bài hướng dẫn này sẽ sử dụng certbot-auto, tất cả đều tương tự nhau.

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám thì mới cài đặt được Let’s Encrypt.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
/opt/letsencrypt/certbot-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop

# Install Let's Encrypt
/opt/letsencrypt/certbot-auto certonly --standalone

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Chỉnh sửa cấu hình domain bằng Nano Editor

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Lưu ý:

  • Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
  • Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link http://IP:port để vào khu vực quản trị HocVPS Script Admin.

Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log         off;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

server {
	listen 443 ssl default_server;
		
	# access_log off;
	access_log /home/hocvps.com/logs/access.log;
	# error_log off;
    	error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	# Disable .htaccess and other hidden files
	location ~ /\.(?!well-known).* {
		deny all;
		access_log off;
		log_not_found off;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log /home/hocvps.com/logs/nginx_error.log;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;

        error_page 497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
     	location / {
		autoindex on;
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:

  • Không thiết lập HocVPS Admin Port
  • Bỏ tham số default_server bên cạnh listen 443

_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port
  • Không thể gia hạn tự động SSL Let’s Encrypt nếu dùng CDN CloudFlare.

_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Cấu hình OCSP Stappling tham khảo Tối ưu HTTPS trên Nginx.


Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.

5/ Xóa chứng chỉ Let’s Encrypt

Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:

# Remove Let's Encrypt
/opt/letsencrypt/certbot-auto delete

Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.

6/ Một số vấn đề gặp phải

Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được.

Theo kinh nghiệm của mình thì chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.

# cd /opt/letsencrypt && git pull

Nếu gặp thông báo lỗi thì sử dụng lệnh này:

# git reset --hard && git pull

– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:

Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Hoặc

expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

Kiểm tra danh sách cert trong VPS

#  cd /opt/letsencrypt/
# ./certbot-auto certificates
Found the following certs:
  Certificate Name: hocvps.com
    Domains: hocvps.com www.hocvps.com
    Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------

– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)

# cd /opt/letsencrypt
# ./certbot-auto delete --cert-name hocvps.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Deleted all files relating to certificate hocvps.com.
-------------------------------------------------------------------------------

– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS

# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)
#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error

– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ

  • CentOS6 chứng chỉ lưu tại /etc/ssl/certs/ca-bundle.crt
  • CentOS7 chứng chỉ lưu tại /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.

# yum reinstall -y ca-certificates

– Đối với lỗi (35) – Cập nhật NSS

# yum update nss -y

Chúc bạn thành công.

Comment của bạn

Your email address will not be published. Required fields are marked *

1,448 Comments

  1. Tinh Le 3 comment

    Phương ơi cho mình hỏi, OpenSSL với Let’s Encrypt SSL có phải OpenSSL load chậm hơn ko? bữa Tính cài Let’s Encrypt SSL rồi, sau đó xoá cài lại OpenSSL thì thấy load site chậm hơn hẳn.

    1. Việt Phương Moderator

      Done. Lưu ý các bạn là sửa Nginx Conf theo đúng HocVPS Port các bạn đã lựa chọn khi cài đặt nhé

  2. Trung 5 comment

    Em bị lỗi ERR_BAD_SSL_CLIENT_AUTH_CERT nên không vào được web.
    Ngồi cài SSL thì bị lỗi này, nhờ anh chỉ giúp
    Failed authorization procedure.domain.vn (http-01): urn:acme:error:tls :: The server experienced a TLS error during domain verification :: Fetching https://domain.vn/.well-known/acme-challenge/z6Vq5xay08IoCLMMopcU2jQMIhYpkDrWVWDp73hsv7I: remote error: tls: handshake failure

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: domain.vn
    Type: tls
    Detail: Fetching
    https:///domain.vn/.well-known/acme-challenge/z6Vq5xay08IoCLMMopcU2jQMIhYpkDrWVWDp73hsv7I:
    remote error: tls: handshake failure

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    you have an up-to-date TLS configuration that allows the server to
    communicate with the Certbot client.

    1. Việt Phương Moderator

      Cert lỗi không thể xác minh. Bạn kiểm tra các domain có trỏ về IP VPS không (cả www và non-www) và KHÔNG bật đám mây vàng Cloudflare ?

  3. Thái 2 comment

    ad giúp em với, hiện giờ ko vào dc site nữa :((
    em bị lỗi này

    [root@thaipro home]# nginx -t
    nginx: [emerg] “location” directive is not allowed here in /etc/nginx/conf.d/thaipro.ws.conf:48
    nginx: configuration file /etc/nginx/nginx.conf test failed

    [root@thaipro home]# service nginx restart
    Redirecting to /bin/systemctl restart nginx.service
    Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.

    file config của e đây
    server {
    listen 443 ssl;
    server_name http://www.thaipro.ws;

    # SSL
    ssl_certificate /etc/letsencrypt/live/thaipro.ws/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/thaipro.ws/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    rewrite ^(.*) https://thaipro.ws$1 permanent;
    }
    server {
    listen 80;
    server_name thaipro.ws http://www.thaipro.ws;
    rewrite ^(.*) https://thaipro.ws$1 permanent;
    }

    server {
    listen 443 ssl default_server;

    # access_log off;
    access_log /home/thaipro.ws/logs/access.log;
    # error_log off;
    error_log /home/thaipro.ws/logs/error.log;

    root /home/thaipro.ws/public_html;
    index index.php index.html index.htm;
    server_name thaipro.ws;

    # SSL
    ssl_certificate /etc/letsencrypt/live/thaipro.ws/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/thaipro.ws/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    # Improve HTTPS performance with session resumption
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;

    # DH parameters
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    # Enable HSTS
    add_header Strict-Transport-Security “max-age=31536000” always;

    location / {
    try_files $uri $uri/ /index.php?$args;
    }

    # Custom configuration
    include /home/thaipro.ws/public_html/*.conf;

    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }

    location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;
    allow 35.201.197.211;
    deny all;
    }

    location /php_status {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include /etc/nginx/fastcgi_params;
    allow 127.0.0.1;
    allow 35.201.197.211;
    deny all;
    }

    # Disable .htaccess and other hidden files
    location ~ /\.(?!well-known).* {
    deny all;
    access_log off;
    log_not_found off;
    }

    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }

    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }

    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }

    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }

    server {
    listen 8686;

    access_log off;
    log_not_found off;
    error_log /home/thaipro.ws/logs/nginx_error.log;

    root /home/thaipro.ws/private_html;
    index index.php index.html index.htm;
    server_name thaipro.ws;

    auth_basic “Restricted”;
    auth_basic_user_file /home/thaipro.ws/private_html/hocvps/.htpasswd;

    location / {
    autoindex on;
    try_files $uri $uri/ /index.php;
    }

    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }

    location ~ /\. {
    deny all;
    }
    }

    1. Thái 2 comment

      đã fix dc, xóa file x.conf làm lại file mới là dc
      tks ad nhiều, bài viết bổ ích

      1. Việt Phương Moderator

        File Nginx Conf trên của bạn mình thấy bình thường nên mình nghi có 2 file cùng quy định như thế
        Thì nó báo lỗi này emerg] “location” directive is not allowed here in /etc/nginx/conf.d/thaipro.ws.conf:48

  4. Trần Anh Thắng 3 comment

    Cho em Hỏi nếu em chạy lệnh bằng tay nó như thế này thì của em có phải bị lỗi không ạ?

    [root@Nginx-443 ~]# /opt/letsencrypt/letsencrypt-auto renew –pre-hook “service nginx stop” –post-hook “service nginx start”
    Saving debug log to /var/log/letsencrypt/letsencrypt.log

    ——————————————————————————-
    Processing /etc/letsencrypt/renewal/api.mptelecom.com.vn.conf
    ——————————————————————————-
    Cert not yet due for renewal

    ——————————————————————————-

    The following certs are not due for renewal yet:
    /etc/letsencrypt/live/api.mptelecom.com.vn/fullchain.pem expires on 2018-07-05 (skipped)
    No renewals were attempted.
    No hooks were run.
    ——————————————————————————-

    1. Việt Phương Moderator

      Chưa đến kì hạn nên nó chưa cần thiết phải renew. Bạn cho mình kết quả của
      /opt/letsencrypt/letsencrypt-auto certificates

      1. Trần Anh Thắng 3 comment

        Saving debug log to /var/log/letsencrypt/letsencrypt.log

        ——————————————————————————-
        Found the following certs:
        Certificate Name: api.mptelecom.com.vn
        Domains: api.mptelecom.com.vn
        Expiry Date: 2018-08-18 04:57:41+00:00 (VALID: 87 days)
        Certificate Path: /etc/letsencrypt/live/api.mptelecom.com.vn/fullchain.pem
        Private Key Path: /etc/letsencrypt/live/api.mptelecom.com.vn/privkey.pem

      2. Trần Anh Thắng 3 comment

        vậy nếu em sử dụng câu lệnh:
        /opt/letsencrypt/letsencrypt-auto renew –pre-hook “service nginx stop” –post-hook “service nginx start”

        để làm crontab gia hạn tự động là OK đúng không anh.

        1. Việt Phương Moderator

          Cert còn 87 ngày nên chưa renew được nhé bạn. Chỉ renew khi còn <30 ngày. Còn bạn cứ làm crontab như bài viết hướng dẫn là okie

  5. Nguyễn Thanh Toàn 2 comment

    Xin chào anh admin.

    Cho em hỏi đây là lỗi gì ạ:

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: fpt24.com
    Type: unauthorized
    Detail: Invalid response from
    http://fpt24.com/.well-known/acme-challenge/2TRk01LhqClvoPnXYM5B_1UiHuX0tEczWV2w5RZG1w0:

    300 Multiple Choices

    Multiple C”

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address.

    em dùng domain từ 1and1, dùng vps google và cài hocvps scripts.

    Thanks Anh

  6. Trinh Nguyen 33 comment

    Góp ý xíu:
    + Chuyển listen 80 default_server; thành listen 443 ssl default_server;
    Chỗ này nếu dùng ở domain thứ 2 trở đi nó sẽ báo trùng server default.

  7. Tai Ho 6 comment

    Mình cài ssl cho 2 domain trên 1 vps giờ nó bị lỗi nginx: [emerg] a duplicate default server for 0.0.0.0:443 in /etc/nginx/conf.d/domain.com.conf. Ad giúp mình với ạ

      1. Việt Phương Moderator

        Uhm bạn. 1 VPS không sử dụng 2 default_server nên chỉ 1 site thiết lập nội dung này thôi

  8. Trần Phượng 8 comment

    Một số nhà cung cấp hosting bây giờ cũng bắt đầu miễn phí SSL rồi không biết là dùng hàng miễn phí có tốt không nhưng nó phổ biến quá rồi.

    1. Việt Phương Moderator

      Hàng miễn phí thấy Let’s Encrypt cũng là tối ưu nhất rồi. Các nhà cung cấp hosting sử dụng Let’s Encrypt làm SSL miễn phí nhiều

    1. Việt Phương Moderator

      Bạn tạo Nginx Conf riêng cho parked domain thì cài SSL như bình thường thôi, dùng chứng chỉ của parked domain để cài. Nếu HocVPS thì menu parked domain tạo Nginx Conf riêng cho Parked Domain, chứ không phải cấu hình chung trong file của domain chính
      Bạn có thể hiểu tương tự như phần này
      https://hocvps.com/kich-hoat-wordpress-multisite/#cau-hinh-nginx-duy-nhat-cho-ca-he-thong-wp-multisite

        1. Việt Phương Moderator

          Được mà, bạn thử bằng trình duyệt khác nhé. tự động redirect về non-www https

          1. Lê Thịnh 9 comment

            Đúng rồi. Mình thử chrome thì được, bị firefox. Vậy ko phải lỗi cấu hình mà do trình duyệt rồi. Cái này có cách nào cho firefox nó nhận nốt ko nhỉ

          2. Việt Phương Moderator

            Bạn clear cache và cookie thôi. Hoặc đợi 1 ngày xem sao

          3. Lê Thịnh 9 comment

            Bạn xem giúp mình sửa chỗ nào với:
            server {
            listen 443 ssl;
            server_name http://www.noithatcuduyphat.com.vn;

            # SSL
            ssl_certificate /etc/letsencrypt/live/noithatcuduyphat.com.vn/fullchain.pem;
            ssl_certificate_key /etc/letsencrypt/live/noithatcuduyphat.com.vn/privkey.pem;
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            ssl_prefer_server_ciphers on;
            ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

            rewrite ^(.*) https://noithatcuduyphat.com.vn$1 permanent;
            }
            server {
            listen 80;

            server_name noithatcuduyphat.com.vn http://www.noithatcuduyphat.com.vn;
            rewrite ^(.*) https://noithatcuduyphat.com.vn$1 permanent;
            }

            server {
            listen 443 ssl;

            # access_log off;
            access_log /home/noithatcuduyphat.com.vn/logs/access.log;
            # error_log off;
            error_log /home/noithatcuduyphat.com.vn/logs/error.log;

            root /home/noithatcuduyphat.com.vn/public_html;
            index index.php index.html index.htm;
            server_name noithatcuduyphat.com.vn;
            # SSL
            ssl_certificate /etc/letsencrypt/live/noithatcuduyphat.com.vn/fullchain.pem;
            ssl_certificate_key /etc/letsencrypt/live/noithatcuduyphat.com.vn/privkey.pem;
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            ssl_prefer_server_ciphers on;
            ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

            # Improve HTTPS performance with session resumption
            ssl_session_cache shared:SSL:50m;
            ssl_session_timeout 1d;

            # DH parameters
            ssl_dhparam /etc/nginx/ssl/dhparam.pem;
            # Enable HSTS
            add_header Strict-Transport-Security “max-age=31536000” always;
            # Custom configuration
            include /home/noithatcuduyphat.com.vn/public_html/*.conf;

            location / {
            try_files $uri $uri/ /index.php?$args;
            }

            location ~ \.php$ {
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            include /etc/nginx/fastcgi_params;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_connect_timeout 300;
            fastcgi_send_timeout 300;
            fastcgi_read_timeout 300;
            fastcgi_buffer_size 32k;
            fastcgi_buffers 8 16k;
            fastcgi_busy_buffers_size 32k;
            fastcgi_temp_file_write_size 32k;
            fastcgi_intercept_errors on;
            fastcgi_param SCRIPT_FILENAME /home/noithatcuduyphat.com.vn/public_html$fastcgi_script_name;
            }

            location ~ /\. {
            deny all;
            }

            location = /favicon.ico {
            log_not_found off;
            access_log off;
            }

            location = /robots.txt {
            allow all;
            log_not_found off;
            access_log off;
            }

            location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
            gzip_static off;
            add_header Pragma public;
            add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
            access_log off;
            expires 30d;
            break;
            }

            location ~* \.(txt|js|css)$ {
            add_header Pragma public;
            add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
            access_log off;
            expires 30d;
            break;
            }
            }

          4. Việt Phương Moderator

            Bạn đổi trình duyệt clear cache để test chưa?

          5. Việt Phương Moderator

            Mình test vẫn bình thường, xem file chứng chỉ của bạn cũng thấy bình thường nên chịu rồi

          6. Lê Thịnh 9 comment

            http://prntscr.com/jb3t35
            Chứng chỉ SSL/TLS không bao gồm tên miền https://www.noithatcuduyphat.com.vn/
            Hình như tại bước này do mình thiếu khai báo www
            “Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain.”
            Giờ muốn bổ sung thì làm thế nào nhỉ. Cái www giờ đang nhận về domain chính trên vps. Hướng dẫn chi tiết 1 chút giúp mình nhé.

          7. Việt Phương Moderator

            Bạn issue lại chứng chỉ là nó sẽ tự động cập nhật vào file chứng chỉ cũ nhé

  9. Thành 10 comment

    Help Help. Sau khi e cài SSL cho site chính OK rồi em cài tiếp 1 site nữa. Giờ ko khởi đc được nginx nó toàn báo “[emerg] a duplicate default server for 0.0.0.0:443 in /etc/nginx/conf.d/site-cua-ban.com.conf:20”

    Ái chỉ cách khắc phục với. Cảm ơn ạ

        1. Việt Phương Moderator

          Bạn đọc chú ý bôi đỏ trong bài viết nhé, phần dành cho domain không phải domain chính trong HocVPS

  10. Trường 13 comment

    Bạn ơi. Mình cài ssl thành công cho website rồi, giờ mình muốn khi kích hoạt cloudflare nó vẫn chạy được ssl thì phải làm thế nào ạ?

    1. Việt Phương Moderator

      Bạn làm như phần hướng dẫn đỏ trong bài viết đó, SSL Full Strict

  11. Nam Luu 21 comment

    Mình đang bị lỗi với magento 1.9
    Thông báo chuyển hướng quá nhiều lần và ko truy cập được website
    Bạn nào có cách khách phục không giúp mình với

    1. Việt Phương Moderator

      1. Trước khi cấu hình SSL bạn có cài đặt HTTPS gì trên Magento không? Vì Magento lúc build có 1 lựa chọn là HTTPS
      2. Trước khi cấu hình SSL site bạn là non-www hay www
      3. Bạn có sử dụng Cloudflare đám mây vàng không?

      1. Nam Luu 21 comment

        Mình fix được rồi
        1. Lúc build mình chọn http
        2. Mình dùng non-www
        3. Mình ko dùng cloudflare

        Đây là file .conf của mình

        server {
        listen 443 ssl http2;
        server_name http://www.vinaukpharma.vn;

        # SSL
        ssl_certificate /etc/letsencrypt/live/vinaukpharma.vn/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/vinaukpharma.vn/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        rewrite ^(.*) http://vinaukpharma.vn$1 permanent;
        }

        server {
        listen 80;

        server_name vinaukpharma.vn http://www.vinaukpharma.vn;
        rewrite ^(.*) http://vinaukpharma.vn$1 permanent;
        }

        server {
        #listen 80 default_server;
        listen 443 ssl http2 default_server;
        # access_log off;
        access_log /home/vinaukpharma.vn/logs/access.log;
        # error_log off;
        error_log /home/vinaukpharma.vn/logs/error.log;
        root /home/vinaukpharma.vn/public_html;
        index index.php index.html index.htm;
        server_name vinaukpharma.vn;

        # SSL
        ssl_certificate /etc/letsencrypt/live/vinaukpharma.vn/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/vinaukpharma.vn/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security “max-age=31536000” always;

        location / {
        try_files $uri $uri/ /index.php?$args;
        }

        # Custom configuration
        include /home/vinaukpharma.vn/public_html/*.conf;

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 1000;
        fastcgi_send_timeout 1000;
        fastcgi_read_timeout 1000;
        fastcgi_buffer_size 256k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        fastcgi_temp_file_write_size 256k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        }

        location /nginx_status {
        stub_status on;
        access_log off;
        allow 127.0.0.1;
        deny all;
        }

        location /php_status {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
        allow 127.0.0.1;
        allow 103.216.115.103;
        deny all;
        }

        # Disable .htaccess and other hidden files
        location ~ /\.(?!well-known).* {
        deny all;
        access_log off;
        log_not_found off;
        }

        location = /favicon.ico {
        log_not_found off;
        access_log off;
        }

        location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
        }

        location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
        gzip_static off;
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }

        location ~* \.(txt|js|css)$ {
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }
        }

        1. Việt Phương Moderator

          Bạn rewrite sai rồi kìa rewrite ^(.*) http://vinaukpharma.vn$1 permanent;. Viết thế HTTP redirect về chính HTTP nên bị vòng lặp
          Chỉ truy cập được duy nhất HTTPS của non-www
          Đúng là rewrite ^(.*) https://vinaukpharma.vn$1 permanent;.

  12. Giang Nguyễn Hoàng 24 comment

    Sau khi cài SSL mình không thể đăng nhập được wp-admin nữa. Bấm vào nó cứ load xong lại hiện khung đăng nhập. Không báo gì hết.

    Đây là file cấu hình ssl của mình:

    server {
    listen 443 ssl;
    server_name http://www.phata.edu.vn;

    # SSL
    ssl_certificate /etc/letsencrypt/live/phata.edu.vn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/phata.edu.vn/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    rewrite ^(.*) https://phata.edu.vn$1 permanent;
    }
    server {
    listen 80;

    server_name phata.edu.vn http://www.phata.edu.vn;
    rewrite ^(.*) https://phata.edu.vn$1 permanent;
    }
    server {
    listen 443 ssl;

    # access_log off;
    access_log /home/phata.edu.vn/logs/access.log;
    # error_log off;
    error_log /home/phata.edu.vn/logs/error.log;

    root /home/phata.edu.vn/public_html;
    index index.php index.html index.htm;
    server_name phata.edu.vn;
    # SSL
    ssl_certificate /etc/letsencrypt/live/phata.edu.vn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/phata.edu.vn/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    # Improve HTTPS performance with session resumption
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;

    # DH parameters
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    # Enable HSTS
    add_header Strict-Transport-Security “max-age=31536000” always;

    location / {
    try_files $uri $uri/ /index.php?$args;
    }

    # Custom configuration
    include /home/phata.edu.vn/public_html/*.conf;

    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 32k;
    fastcgi_buffers 8 16k;
    fastcgi_busy_buffers_size 32k;
    fastcgi_temp_file_write_size 32k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/phata.edu.vn/public_html$fastcgi_script_name;
    }
    location ~ /\. {
    deny all;
    }
    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }
    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }
    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }

    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }

    1. Việt Phương Moderator

      Hiện tại site bạn không thể connect không riêng gì wp-admin. Bạn kiểm tra service Nginx nhé

      1. Nguyễn Hoàng Giang 24 comment

        Mình đã xoá luôn ssl, resstore lai .conf nhưng vẫn không vào được admin

        server {
        listen 80;

        server_name http://www.phata.edu.vn;
        rewrite ^(.*) http://phata.edu.vn$1 permanent;
        }
        server {
        listen 80;

        # access_log off;
        access_log /home/phata.edu.vn/logs/access.log;
        # error_log off;
        error_log /home/phata.edu.vn/logs/error.log;

        root /home/phata.edu.vn/public_html;
        index index.php index.html index.htm;
        server_name phata.edu.vn;

        location / {
        try_files $uri $uri/ /index.php?$args;
        }

        # Custom configuration
        include /home/phata.edu.vn/public_html/*.conf;

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 300;
        fastcgi_send_timeout 300;
        fastcgi_read_timeout 300;
        fastcgi_buffer_size 32k;
        fastcgi_buffers 8 16k;
        fastcgi_busy_buffers_size 32k;
        fastcgi_temp_file_write_size 32k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME /home/phata.edu.vn/public_html$fastcgi_script_name;
        }
        location ~ /\. {
        deny all;
        }
        location = /favicon.ico {
        log_not_found off;
        access_log off;
        }
        location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
        }
        location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
        gzip_static off;
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }

        location ~* \.(txt|js|css)$ {
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }
        }

        1. Việt Phương Moderator

          Bạn restart lại Nginx để nhận cấu hình cũ đi. Rồi kiểm tra nginx -t
          Mình check thấy bình thường rồi đó

          1. Nguyễn Hoàng Giang 24 comment

            Mình mò sáng giờ. Lỗi phân quyền gì đó bạn. Lúc mình cài ssl thì nó báo không có quyền lưu session xong mình chạy lênh:
            chown nginx:nginx /var/lib/php/session

            Sau đó là lỗi vậy luôn: [Can’t create/write to file ‘/tmp/#sql_25cb_0.MAI’ (Errcode: 13)]

            Mình mới phân quyền lại bằng lệnh này nữa thì vào được:
            chmod 1777 /tmp

          2. Việt Phương Moderator

            Bạn kiểm tra hệ thống còn nhiều dung lượng trống không?
            df -ah

  13. Trung 9 comment

    Chào anh Luân và anh Phương, em có cấu hình để tự động gia hạn chứng chỉ SSL như hướng dẫn ở trên. Tuy nhiên trong file cấu hình crontab, em có thêm 1 dòng để tự động backup dữ liệu web. Nội dung file crontab như sau: https://pastebin.com/wG3kaHB7
    Em muốn hỏi nội dung trong file em ghi như vậy đã đúng chưa. Vì em bị lỗi không gia hạn được chứng chỉ SSL. Cảm ơn 2 anh.

    1. Việt Phương Moderator

      Đúng rồi. Bạn kiểm tra log xem vì sao /var/log/le-renew.log
      Đồng thời gia hạn tự động có kết quả như thế nào

      1. Trung 9 comment

        Em đã xóa chứng chỉ cũ để cài lại chứng chỉ mới rồi nên không xem lại log được. Để lần sau em kiểm tra lại xem sao :D. Cảm ơn anh đã hỗ trợ

    2. Nguyễn Hoàng Giang 24 comment

      Còn trống nhiều

      Filesystem Size Used Avail Use% Mounted on
      /dev/vda1 20G 4.2G 15G 23% /
      proc 0 0 0 – /proc
      sysfs 0 0 0 – /sys
      devpts 0 0 0 – /dev/pts
      tmpfs 250M 0 250M 0% /dev/shm
      none 0 0 0 – /proc/sys/fs/binfmt_misc

      1. Việt Phương Moderator

        Ok bạn, thế lỗi [Can’t create/write to file ‘/tmp/#sql_25cb_0.MAI’ (Errcode: 13)] kia không liên quan đến dung lượng. Bạn phân quyền xong hệ thống ok rồi chứ

        1. Nguyễn Hoàng Giang 24 comment

          Đã ok rồi bạn.
          Hôm trước VPS khác mình cũng bị y chang lỗi này.
          Lỗi do sau khi cài ssl trên họcvps theo hướng dẫn này.

  14. Trất Minh 15 comment

    Giờ muốn cấu hình port cài HocVPS về mặc định ban đầu thì mình chỉ việc bỏ đi những dòng đỏ trong block server có listen 2018 mà ad hướng dẫn thôi phải không ad? (Tại chót dùng Cloudflare mà không đọc kĩ hướng dẫn sử dụng trước khi dùng)

    1. Việt Phương Moderator

      Không, mà bạn phải sửa lại về ban đầu. Vì nhiều dòng đỏ là sửa ban đầu chứ không phải chèn thêm vào

      1. Trất Minh 15 comment

        Hồi đầu cài Let’s mình không có back up những file conf. Giờ xóa Let’s đi thì những file conf muốn trở về mặc định ban đầu như “chưa hề có cuộc” cài Let’s thì như nào bây giờ mod Việt Phương ơi?. Tại chuyển nhà qua xài hết Cloudflare. Mong mod giúp với, không hoang mang quá!

        1. Việt Phương Moderator

          Bạn có thể dùng hocvps menu thêm 1 domain mới, abczyx gì đó rồi tham khảo từ Nginx Conf của domain đó.
          Xong thì xóa domain zbcxyz đó đi

  15. Trất Minh 15 comment

    1. Ad cho mình hỏi sự khác nhau giữa cài Let’s Encrypt trên server như bài và dùng ssl của Cloudflare là gì vậy? Tại thấy Cloudflare cũng có dịch vụ ssl luôn rồi, vậy có nên cài tiếp Let’s Encrypt trên server nữa không?
    2. Từ lúc mình dùng Cloudflare check thì thấy chứng chỉ ssl đang là của Cloudflare (hết hạn trong 180 ngày) không phải của Let’s Encrypt (90 ngày) nữa. Vậy thì cài Let’s Encrypt là vô nghĩa à ad? Mong ad giải thích giúp với ạ! Tks!

    1. Việt Phương Moderator

      1. Tùy trình duyệt hỗ trợ mỗi bên, bạn tự trải nghiệm nhé. Hàng free sẽ có giới hạn về trình duyệt phiên bản cũ, ví dụ WinXP và không có bảo hiểm
      2. Bạn dùng Nameserver CF và chứng chỉ CF thì không cần dùng Let’s Encrypt nữa nhé