Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2313.

Tìm block server { ... } có dòng listen 2313;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen   2313 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:2313$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2313

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2313 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$server_name:2313$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_Update 07/04/2017:
Do OCSP Stapling khó tương thích với Nginx, mình sẽ bỏ khỏi cấu hình Nginx. Để sử dụng/nghiên cứu sâu hơn, mời bạn tham khảo: Tối ưu HTTPS trên Nginx

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

service nginx stop
/opt/letsencrypt/letsencrypt-auto renew
service nginx start

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.


_ Bạn sẽ không thể gia hạn tự động được Let’s Encrypt nếu dùng CDN  CloudFlare ẩn IP (biểu tượng đám mây vàng).
_ Nếu vẫn muốn dùng kết hợp CDN Cloudafare:

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudfare.
  • Không cấu hình SSL phần Admin HocVPS do Cloudfare không truy cập port qua domain được. Khi đó, truy cập HocVPS Admin bằng ip:port hoặc http://domain:port

5/ Một số vấn đề gặp phải

5.1/ Cert lỗi không thể renew

Dấu hiệu: Đến ngày hết hạn thì không thể auto-renew hay renew thủ công.

# /opt/letsencrypt/letsencrypt-auto renew
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/hocvps.com.conf
-------------------------------------------------------------------------------
[('PEM routines', 'PEM_read_bio', 'no start line')]
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/crypto_util.py", line 229, in _load_cert_or_req
    return load_func(typ, cert_or_req_str)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/crypto.py", line 1661, in load_certificate
    _raise_current_error()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/_util.py", line 48, in exception_from_error_queue
    raise exception_type(errors)
Error: [('PEM routines', 'PEM_read_bio', 'no start line')]
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Additionally, the following renewal configuration files were invalid:
  /etc/letsencrypt/renewal/hocvps.com.conf (parsefail)
0 renew failure(s), 1 parse failure(s)


/2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Renewal conf file /etc/letsencrypt/renewal/hocvps.com.conf is broken. Skipping.
2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Traceback was:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/cert_manager.py", line 246, in _search_lineages
    candidate_lineage = storage.RenewableCert(renewal_file, cli_config)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 401, in __init__
    self._check_symlinks()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 460, in _check_symlinks
    "expected {0} to be a symlink".format(link))
CertStorageError: expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink


Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

Giải pháp:

  • Xóa hoàn toàn cert cũ: rm -rf /etc/letsencrypt/live/hocvps.com/
  • Issue lại cert mới cho site. Chú ý cập nhật lại trong file cấu hình Nginx của domain do thư mục cert thay đổi, ví dụ /etc/letsencrypt/live/hocvps.com-0001/.

Chúc bạn thành công.

764 Comments

  1. Tai Nguyen 2 comment

    Mình có mua Lic Cpanel cho server mà khi cài cpanel lên ko có lets encrypt. Hỏi kỹ thuật nói phải mua cái này cho server share host. Cái này mua thế nào nhỉ? mình tưởng free trong cpanel chứ

    1. Việt Phương Moderator

      Mua dạng 1 Plugin/APP để tích hợp trên Cpanel. Từ đó bạn có thể issue certs cho site hoạt động trong Cpanel. Còn cụ thể hơn thì mình không rõ rồi

  2. Minh Thanh 25 comment

    anh coi dùm em cái auto renew chứng chỉ ssl Let’s
    nó không tự động renew. Thông báo qua mail của nó đây

    Your certificate (or certificates) for the names listed below will expire in
    0 days (on 01 Jun 17 03:45 +0000). Please make sure to renew
    your certificate before then, or visitors to your website will encounter errors.

    bản script 1.8

    1. Việt Phương Moderator

      Bạn check bên ssllabs hoặc sslshoper cho chuẩn nhé. Mail auto gửi cho các cert cũ nên nhiều khi không chuẩn.
      Nếu chưa renew, bạn chạy lệnh /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" để nó gia hạn thủ công. Rồi bạn cho mình nội dung của file /var/log/le-renew.log để xem vì sao bạn crontab gia hạn tự động mà nó không chạy (có thể do update bản Let’s Encrypt cũ)

  3. Huy 1 comment

    Cloning into ‘/opt/letsencrypt’…
    fatal: unable to access ‘https://github.com/letsencrypt/letsencrypt/’: Failed connect to github.com:443; Connection refused

    Bị như này thì làm sao vậy ạ

    1. Việt Phương Moderator

      Bạn thử lại nhé. Thời điểm bạn truy cập thì github có vấn đề

  4. DO DINH TUAN 23 comment

    nginx: [warn] conflicting server name “www.banchungcuhanoi24h.com” on 0.0.0.0:443, ignored
    nginx: [warn] conflicting server name “banchungcuhanoi24h.com” on 0.0.0.0:443, ignored
    nginx: [warn] conflicting server name “banchungcuhanoi24h.com” on 0.0.0.0:80, ignored
    nginx: [warn] conflicting server name “www.banchungcuhanoi24h.com” on 0.0.0.0:80, ignored

    Mình gặp ntn là sao admin giúp với!

    1. Việt Phương Moderator

      Bị lặp server_name. Trong toàn bộ thư mục /etc/nginx/conf.d có nhiều đoạn cùng cấu hình
      banchungcuhanoi24h.com:80
      banchungcuhanoi24h.com:443
      www.banchungcuhanoi24h.com:80
      www.banchungcuhanoi24h.com:443

        1. Việt Phương Moderator

          Bạn mở toàn bộ các file trong thư mục conf.d để kiểm tra thôi.
          Đơn cử có thể bạn đã tạo ra 2 file giống hệt nhau để cấu hình 1 site (1 file bạn tạo chỉ với mục đích backup nhưng không đổi đuôi/move thư mục khác)
          Hoặc ngay trong 1 file cũng có đoạn lặp

          1. Việt Phương Moderator

            Phần nào lặp thì bạn xóa đi. Ví dụ
            nginx: [warn] conflicting server name “www.banchungcuhanoi24h.com” on 0.0.0.0:443, ignored
            Có nhiều hơn 1 đoạn cấu hình server_name www.banchungcuhanoi24h.comlisten 443

          2. DO DINH TUAN 23 comment

            Mình để nguyên có sao ko admin..vì mình thấy web vẫn chạy đc bình thường !!!!!

          3. Việt Phương Moderator

            Khó cho bạn quản lý sau này thôi còn nó vẫn nhận và giống nhau thì nó vẫn show. Dạng cảnh báo – warning

  5. Duy Nguyễn 3 comment

    Bác ơi em cài xong ko vào dc domain.com:2313 nữa bác ơi . bị 403 ạ. help me !

    1. Việt Phương Moderator

      Bạn chạy ./letsencrypt-auto certonly --standalone thì gặp lỗi này à? Mình chưa thấy report lỗi này bao giờ

  6. Tan Hoang 22 comment

    Cho mình hỏi, mình đã cài đặt xong lets encrypt trong server, mà web của mình thì qua cloudflarevà mình đã kích hoạt cái ssl trên đó thì có vấn đề gì không, hay phải tắt trên cloudflare, khi mình vào trang web thì nó không hiện hình khóa với chữ secure mà là dấu chấm than trong hình tròn, làm thế nào để hiện được sercure với khóa màu xanh như trang hocvps này vậy, cảm ơn bạn.

    1. Việt Phương Moderator

      Tốt nhất không sử dụng Cloudfare. Nếu bạn vẫn muốn dùng thì làm như trong bài hướng dẫn phần cloudafare nhé

  7. Nam Nguyen 2 comment

    Ở phần cài cho hocvps script mình quên ko đổi port chỗ ” error_page 497 https://$server_name:2313$request_uri;” giờ ko vào đc trang quản lý nữa (web thì ok đã có ổ khóa xanh rồi), có mở lại file .conf ra và sửa thành 2109 rồi restart nginx nhưng vẫn ko đc. Giờ phải làm sao ạ ? Xin cảm ơn !

      1. Nam Nguyen 2 comment

        à nó ổn định rồi, ko hiểu sao hôm qua restart máy tính lại đc.

  8. Sang 1 comment

    Anh ơi, sau khi em cài SSL thì các trang Admin HocVPS Script và các trang khác đều bị lỗi 403 Forbidden.
    Bên đưới đây là file cấu hình Nginx domain của em, anh kiểm tra giúp em xem có lỗi gì không ạ!
    https://privnote.com/Tkn9YrjG#iVqlFAv2O
    Em cám ơn!

    1. Việt Phương Moderator

      Phần /home/dinhduonghoc.edu.vn/private_html/dinhduonghoc/.htpasswd; đúng phải là /home/dinhduonghoc.edu.vn/private_html/hocvps/.htpasswd; nhé.
      Mà sau nếu bạn replace all thì thay hocvps.com bằng domain bạn là được rồi, đừng thay hocvps

  9. Tuấn Anh 6 comment

    Giờ mình muốn chuyển https về http mà đang dùng let’s encrypt thì sao nhỉ? vì mình thử redirect https sang http bằng conf mà không được.

    1. Việt Phương Moderator

      Do trình duyệt đó đã lưu thông tin HSTS rồi. Bạn thử trình duyệt khác là ok. Còn cấu hình để ban đầu là được, không cần thiết cấu hình redirect https về http

      1. Tuấn Anh 6 comment

        Không chuyển được link từ https về http trên google. Dùng cấu hình redirect cũng không được

          1. Việt Phương Moderator

            Cấu hình đúng rồi mà nhỉ. Link https cả www và non-www sẽ về http. Bạn thử truy cập 1 link HTTPS xem lỗi bị ở mỗi trên search hay paste link trực tiếp cũng k tự chuyển

          2. Tuấn Anh 6 comment

            Paste link trực tiếp cũng không tự chuyển mà truy cập cũng vậy

  10. hnss 1 comment

    mình cài đặt let’s encrypt cho domain đầu tiên thì ok.
    khi chạy lại lệnh
    # Install Let’s Encrypt
    cd /opt/letsencrypt
    ./letsencrypt-auto certonly –standalone

    để thêm domain thứ 2 thì bị báo lỗi
    Obtaining a new certificate
    Performing the following challenges:
    tls-sni-01 challenge for sirix.gamevn24h.net
    Cleaning up challenges
    Problem binding to port 443: Could not bind to IPv4 or IPv6.

    sau khi nhập xong domain
    anh xem giúp em với ạ
    Log lỗi:
    2017-06-19 10:19:42,645:DEBUG:certbot.error_handler:Calling registered functions
    2017-06-19 10:19:42,646:INFO:certbot.auth_handler:Cleaning up challenges
    2017-06-19 10:19:42,646:DEBUG:certbot.log:Exiting abnormally:
    Traceback (most recent call last):
    File “/root/.local/share/letsencrypt/bin/letsencrypt”, line 11, in
    sys.exit(main())
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py”, line 743, in main
    return config.func(config, plugins)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py”, line 683, in certonly
    lineage = _get_and_save_cert(le_client, config, domains, certname, lineage)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py”, line 82, in _get_and_save_cert
    lineage = le_client.obtain_and_enroll_certificate(domains, certname)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/client.py”, line 344, in obtain_and_enroll_certificate
    certr, chain, key, _ = self.obtain_certificate(domains)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/client.py”, line 313, in obtain_certificate
    self.config.allow_subset_of_names)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/auth_handler.py”, line 74, in get_authorizations
    resp = self._solve_challenges()
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/auth_handler.py”, line 115, in _solve_challenges
    resp = self.auth.perform(self.achalls)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 221, in perform
    return [self._try_perform_single(achall) for achall in achalls]
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 228, in _try_perform_single
    _handle_perform_error(error)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 226, in _try_perform_single
    return self._perform_single(achall)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 234, in _perform_single
    servers, response = self._perform_tls_sni_01(achall)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 251, in _perform_tls_sni_01
    servers = self.servers.run(port, challenges.TLSSNI01, listenaddr=addr)
    File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 67, in run
    raise errors.StandaloneBindError(error, port)
    StandaloneBindError: Problem binding to port 443: Could not bind to IPv4 or IPv6.

  11. Multi 2 comment

    Cho em hỏi nếu ko muốn dùng https nữa và chuyển về http thì làm thế nào

      1. Multi 2 comment

        Nếu sử dụng cấu hình cũ như vậy thì khi người dùng bấm vào các link đã index trên google nó sẽ trả về lỗi 403, ko vào đc web 🙁

        1. Việt Phương Moderator

          Vậy bạn khai báo lại trên Webmaster Tool. Còn cấu hình redirect từ HTTPS về HTTP
          server {
          listen 443 ssl http2;
          server_name hocvps.com www.hocvps.com;
          rewrite ^(.*) http://hocvps.com$1 permanent;
          }

  12. Tony 7 comment

    Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.

    Luận xử lý giúp cái này với

    1. Việt Phương Moderator

      Bạn gõ như yêu cầu để biết lỗi do cái gì.
      systemctl status nginx.service

      1. Tony 7 comment

        ● nginx.service – nginx – high performance web server
        Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
        Active: failed (Result: exit-code) since Tue 2017-06-20 16:16:53 +07; 17h ago
        Docs: http://nginx.org/en/docs/
        Process: 897 ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf (code=exited, status=1/FAILURE)

        Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: Starting nginx – high performance web server…
        Jun 20 16:16:53 centos-512mb-sgp1-01 nginx[897]: nginx: [emerg] BIO_new_file(“/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:02001002…such file)
        Jun 20 16:16:53 centos-512mb-sgp1-01 nginx[897]: nginx: configuration file /etc/nginx/nginx.conf test failed
        Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: nginx.service: control process exited, code=exited status=1
        Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: Failed to start nginx – high performance web server.
        Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: Unit nginx.service entered failed state.
        Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: nginx.service failed.
        Hint: Some lines were ellipsized, use -l to show in full.

        Giờ làm sao bạn, tui đang lò mò tập tành :))

        1. Việt Phương Moderator

          Bạn chạy lại lệnh với tham số -l ở cuối để hiển thị toàn bộ lỗi nhé.
          Chủ yếu là đoạn này
          Jun 20 16:16:53 centos-512mb-sgp1-01 nginx[897]: nginx: [emerg] BIO_new_file(“/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:02001002…such file)
          Bạn kiểm tra lại chứng chỉ có đúng ở đó không. Mình nhớ là chứng chỉ trong thư mục .../live/

          1. Tony 7 comment

            nginx: [emerg] BIO_new_file(“/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
            nginx: configuration file /etc/nginx/nginx.conf test failed

            Giờ sửa sao bạn. Mò tối qua giờ huuuu

          2. Việt Phương Moderator

            /etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem Không tồn tại file này. Bạn xem lại đi.
            Cert và Key của Let’s Encrypt tạo ra là nằm ở /etc/letsencrypt/live/domain_của_bạn chứ k phải thư mục trên

  13. Tony 7 comment

    Minh xóa luôn thư mục /etc/letsencrypt/live/cauthangkinhtanbinh.com/fullchain.pem

    Redirecting to /bin/systemctl start nginx.service
    Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.
    [root@centos-512mb-sgp1-01 home]# systemctl status nginx.service
    ● nginx.service – nginx – high performance web server
    Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
    Active: failed (Result: exit-code) since Wed 2017-06-21 10:39:29 +07; 8s ago
    Docs: http://nginx.org/en/docs/
    Process: 2386 ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf (code=exited, status=1/FAILURE)

    Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: Starting nginx – high performance web server…
    Jun 21 10:39:29 centos-512mb-sgp1-01 nginx[2386]: nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/cauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:0200…such file)
    Jun 21 10:39:29 centos-512mb-sgp1-01 nginx[2386]: nginx: configuration file /etc/nginx/nginx.conf test failed
    Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: nginx.service: control process exited, code=exited status=1
    Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: Failed to start nginx – high performance web server.
    Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: Unit nginx.service entered failed state.
    Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: nginx.service failed.
    Hint: Some lines were ellipsized, use -l to show in full.

    mà không service nginx start được. Bạn hướng dẫn rõ thêm hay teamview giúp mình với

    1. Việt Phương Moderator

      Minh xóa luôn thư mục /etc/letsencrypt/live/cauthangkinhtanbinh.com/fullchain.pem
      Trong file Nginx bạn có cấu hình nó mà giờ bạn xóa file cert đi thì Nginx sao đọc được.
      Hiểu đơn giản bạn bảo Nginx là cert nằm ở /etc/letsencrypt/live/cauthangkinhtanbinh.com mà giờ vào đó không có file nào thì Nginx sao hiểu
      Bạn back lại file cấu hình nginx về cũ nếu không muốn xài SSL hoặc issue lại cert đi

      1. Tony 7 comment

        Ok rồi admin mơi, mình back lại rồi ok rồi, giờ muốn tạo lại cho nó thì làm sao bạn.

        1. Việt Phương Moderator

          Bạn issue lại cert rồi cấu hình lại Nginx. Bạn nhớ là cert nằm ở thư mục nào thì quy định đúng như thế trong cấu hình Nginx

  14. Trung Phan 3 comment

    Chào anh Việt Phương và anh Luân Trần, 2 anh vui lòng cho em hỏi về lỗi Cert lỗi không thể renew. Giải pháp hiện tại là:Giải pháp:

    1. Xóa hoàn toàn cert cũ: rm -rf /etc/letsencrypt/live/hocvps.com/
    2. Issue lại cert mới cho site. Chú ý cập nhật lại trong file cấu hình Nginx của domain do thư mục cert thay đổi, ví dụ /etc/letsencrypt/live/hocvps.com-0001/.

    Ở bước 2 em còn chưa rõ. Có phải là mình cài đặt lại từ đầu như bài hướng dẫn này hay không? Em cảm ơn 2 anh đã trả lời

    1. Việt Phương Moderator

      File cấu hình Nginx nhé bạn. Ban đầu bạn khai báo trong file là
      ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;

      Thì bây giờ cert và key không còn ở vị trí ý thì bạn cập nhật lại vào file vị trí mới của cert và key

    2. Trung Phan 3 comment

      Cảm ơn anh đã trả lời câu hỏi của em. Em vẫn chưa hiểu cách “Issue lại cert mới cho site” là như thế nào. Có phải là thực hiện lại bước 1 “Cài đặt chứng chỉ Let’s Encrypt” như trong bài phải không?

      1. Việt Phương Moderator

        Uhm, bước issue cert thôi nhé. Còn cài đặt Let’s Encrypt bạn đã làm rồi
        # Stop Nginx
        service nginx stop
        # Install Let's Encrypt
        cd /opt/letsencrypt
        ./letsencrypt-auto certonly --standalone
        # Start Nginx
        service nginx start

  15. Tajobs 12 comment

    Mình có domain example.com đã cài Let’s encryp SSL thành công rồi. giờ mình muốn cài sll cho sub.example.com luôn. mình làm theo bài này: https://hocvps.com/cai-dat-lets-encrypt/
    Mọi bước cài đặt thì ok cả nhưng đến bước chỉnh sửa config trong nginx thì cái sub.example.com SSL nó hoạt đông bình thường còn example.com báo lỗi chứng chỉ ERR_CERT_COMMON_NAME_INVALID.
    Các bác nào biết giúp với ạ

    1. Việt Phương Moderator

      Cấu hình sai cert. Có thể hiểu example.com đang không dùng cert của example.com
      Bạn coi sub như 1 site độc lập. Ex và Sub có cert riêng rẽ. Cũng như file cấu hình Nginx của ex và sub khác nhau

      1. Tajobs 12 comment

        Cấu hình sai cert là sao bác nhỉ?
        Ở đây, ở cả ex và sub mình đều tạo cert khác nhau theo hướng dẫn : https://hocvps.com/cai-dat-lets-encrypt/ . Nhưng khi config nginx trong sub xong reload lại nginx thì SSL trên sub hoạt động bình thường còn ssl trên ex bị lỗi do cert trỏ về sub chứ không phải ex. Còn conf nginx trong sub về lại ban đầu (không dùng ssl cho sub) thì ex lại hoạt đông bình thường. Mình không tại sao nữa. Có cần conf chỗ nào nữa ko nhỉ?

        1. Việt Phương Moderator

          Bạn gửi kết quả của ls -al /etc/letencrypt/live và nội dung 2 file cấu Nginx mình xem cho

          1. Việt Phương Moderator

            Bạn có cấu hình SSL cho domain.com đâu
            Phần block ý không có quy định SSL trong khi phần block 80 và 443 của http://www.domain.com thì quy định đầy đủ SSL
            listen 443 ssl http2;
            root /home/domain.com/public_html;
            index index.php index.html index.htm;
            server_name domain.com;

          2. Tajobs 12 comment

            Bác ơi sử được rồi nhưng giờ thành ex domain lại hoạt động bình thường còn ssl của sub lại lỗi cert (Do cert lại trỏ về ex chứ không phải của sub)

          3. Việt Phương Moderator

            Có trỏ đâu mà nhầm nhỉ. File sub bạn dùng cert sub mà
            ssl_certificate /etc/letsencrypt/live/sub.domain.com/fullchain.pem;
            Sub của bạn tạo độc lập như 1 website bình thường, mã nguồn riêng hay WordPress Multisite vậy

          4. Việt Phương Moderator

            Bạn đang không khởi động lại được Nginx mà. Site hiện load với cache cũ
            server {
            listen 80;
            server_name domain.com www.domain.com;
            rewrite ^(.*) https://domain.com$1 permanent;

            Thiếu dấu } ở dòng 18 để khóa cái block listen 80 lại rồi

  16. Tajobs 12 comment

    check đúng cú pháp hết rồi.
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful

    nhưng reload nginx lại lỗi 🙁

    service nginx reload
    Redirecting to /bin/systemctl reload nginx.service
    Job for nginx.service invalid.

    1. Tajobs 12 comment

      Được rồi bác ạ. Chạy service nginx start mới được. service nginx reload lỗi.
      Thanks bác nhiều nhé

      1. Việt Phương Moderator

        Đó không phải là lỗi. Đó là 1 tính năng nhé 😀 Do CentOS7 dùng systemctl không phải service. Lệnh service vẫn hoạt động bằng cách dẫn đến câu lênh systemctl tương ứng. Reload nó chỉ lỗi bước stop nginx vì nginx đã stop rồi. Còn nó vẫn start nginx
        OK bạn, chạy được là ok rồi.

Comment của bạn

Your email address will not be published. Required fields are marked *