Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Thỉnh thoảng bạn nên cập nhật mã nguồn Let’s Encrypt từ Github để có được tính năng mới nhất, việc này không bắt buộc.

cd /opt/letsencrypt && git pull

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2017.

Tìm block server { ... } có dòng listen 2017;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:2017$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2017

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$server_name:2017$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_Update 07/04/2017:
Do OCSP Stapling khó tương thích với Nginx, mình sẽ bỏ khỏi cấu hình Nginx. Để sử dụng/nghiên cứu sâu hơn, mời bạn tham khảo: Tối ưu HTTPS trên Nginx

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.


_ Bạn sẽ không thể gia hạn tự động SSL Let’s Encrypt nếu dùng CloudFlare CDN (biểu tượng đám mây vàng).
_ Nếu vẫn muốn dùng kết hợp Cloudafare CDN:

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý CloudFlare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port hoặc http://domain:port

5/ Một số vấn đề gặp phải

Cert lỗi không thể đọc (corrupt/symlink).

– Dấu hiệu: Đến ngày hết hạn thì không thể auto-renew hay renew thủ công, với thông báo:

# /opt/letsencrypt/letsencrypt-auto renew
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/hocvps.com.conf
-------------------------------------------------------------------------------
[('PEM routines', 'PEM_read_bio', 'no start line')]
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/crypto_util.py", line 229, in _load_cert_or_req
    return load_func(typ, cert_or_req_str)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/crypto.py", line 1661, in load_certificate
    _raise_current_error()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/_util.py", line 48, in exception_from_error_queue
    raise exception_type(errors)
Error: [('PEM routines', 'PEM_read_bio', 'no start line')]
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Additionally, the following renewal configuration files were invalid:
  /etc/letsencrypt/renewal/hocvps.com.conf (parsefail)
0 renew failure(s), 1 parse failure(s)

Hoặc

——————————————————————————-
Processing /etc/letsencrypt/renewal/hocvps.com.conf
——————————————————————————-
expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

/2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Renewal conf file /etc/letsencrypt/renewal/hocvps.com.conf is broken. Skipping.
2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Traceback was:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/cert_manager.py", line 246, in _search_lineages
    candidate_lineage = storage.RenewableCert(renewal_file, cli_config)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 401, in __init__
    self._check_symlinks()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 460, in _check_symlinks
    "expected {0} to be a symlink".format(link))
CertStorageError: expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

– Giải pháp:

  • Xóa hoàn toàn cert cũ: # rm -rf /etc/letsencrypt/live/hocvps.com/ /etc/letsencrypt/renewal/hocvps.com.conf /etc/letsencrypt/archive/hocvps.com/
  • Issue lại cert mới cho site (như mục 1.1). Chú ý, do thư mục cert có thể thay đổi (ví dụ /etc/letsencrypt/live/hocvps.com-0001/), cần cập nhật lại đường dẫn cert trong Nginx Conf của domain.

Chúc bạn thành công.

934 Comments

  1. Pham Minh Tan 10 comment

    Let’s Encrypt cho tạo 5 chứng chỉ 1 tuần/domain và sub domain. Cho mình hỏi khi gia hạn nó có tính vào 5 chứng chỉ này không

    1. Việt Phương Moderator

      Lệnh gia hạn áp dụng chung cho toàn bộ cert cài đặt trên VPS bạn nhé. Chú ý, mặc định trong thiết lập của LE thì chỉ gia hạn cert khi còn <30 ngày

        1. Việt Phương Moderator

          Có tính vào bạn nhé, Bạn issue/gia hạn 1 cert tính là 1 lần trong rate limit

  2. tien léo 30 comment

    mình đã cài gia hạn tự động như trên mà sao vẫn có email gửi về bắt gia hạn nhie admin.
    Thông báo là:
    Hello,

    Your certificate (or certificates) for the names listed below will expire in
    19 days (on 08 May 17 18:12 +0000). Please make sure to renew
    your certificate before then, or visitors to your website will encounter errors.
    ???

  3. loi 5 comment

    Mình dùng centos 6 thì lam ok, mà dùng centos 7 thi đến lúc nhập lệnh này thì lỗi
    cd /opt/letsencrypt
    ./letsencrypt-auto certonly –standalone

    nhưng mình đã stop nginx theo lenh của centos 7: systemctl stop nginx.service
    mà vẫn bị lỗi.
    mong bạn giúp đở

  4. khanh nguyen 10 comment

    Em cài thành công ssl cho 1 tên miền rồi, h muốn cài thêm cho tên miền chính sử dụng HocVPS Script, bị bào lỗi
    “Could not bind TCP port 443 because it is already in use by another process on
    this system (such as a web server). Please stop the program in question and then
    try again.”
    Giúp em xử lý với ạ?

      1. khanh nguyen 10 comment

        Cảm ơn anh, được rồi ạ.
        Em muốn bỏ ssl của domain, tại sao sửa lại file cấu hình như cũ, gỡ plugin Really Simple SSL, reset cache mà không được ạ?

        1. Việt Phương Moderator

          Domain bạn là gì? Bạn thử trình duyệt khác được không. Mình nghĩ do HSTS 1 năm

      2. loi 5 comment

        mình cài được trên centos 6 a còn centos 7 cai khong được.
        tắc nginx theo lệnh centos 7 mà vẫn ko được

  5. Hung Nguyen Manh 3 comment

    Giờ mình tạo website mới bằng HocVPS
    – Thì vẫn phải tạo http bình thường xong mới cài đặt Let’s Encrypt à Admin
    – Hay có cách nào tạo site mới là https luôn ko ???

    1. Việt Phương Moderator

      Bạn chỉnh các phần server_nameredirect nhé. Trong HocVPS mặc định thì server_name www sẽ redirect về non-www, bạn chỉ cần cấu hình ngược lại

        1. Việt Phương Moderator

          _ Dòng 3 sửa thành server_name tinhdau24.net;
          _ Dòng 119 sửa thành server_name tinhdau24.net;
          _ Sửa link trong WP, cụ thể là siteurl và homeurl. Vào database của site đó, sửa ở wp-option

  6. Nguyen Khanh Luong 9 comment

    Chưa park domain thì có cài đc ssl không bạn? Ví dụ https://địa.chỉ.ip ấy. Cho mình hỏi thêm nữa là mình mới chuyển qua vps từ host, trước có xài plugin really simple ssl. Sau khi chuyển sang vps, mình vào theo địa chỉ ip/wp-admin thì luôn bị redirect sang https, vì chưa có ssl nên k vào đc. Mình đã xóa plugin, sửa htacess, wp-config nhưng nó vẫn tiếp tục redirect. Có cách nào khắc phục không ạ?

    1. Việt Phương Moderator

      1. Mình chưa hiểu ý bạn lắm. Park Domain đâu liên quan gì địa chỉ ip của VPS nhỉ?
      2. Bạn disable plugin đi nhé. Và ngoài ra, cấu hình webserver bạn không được set redirect sang https nhé

  7. Huy 7 comment

    Kiểm tra lại cấu hình Nginx mình nhận được kết quả:
    invalid value “TLS” in /etc/nginx/conf.d/

    1. Việt Phương Moderator

      Cho mình cấu hình Nginx Conf Domain của bạn. Và cả kết quả của nginx -v

  8. Hùng 12 comment

    Cho mình hỏi, mình đã cài thành công SSL cho domain chính. Mình tiếp tục cài SSL cho domain phụ. Làm xong chạy site thì nó bảo liên kết không an toàn. Vậy là bị sao thế
    Nó báo như này
    Your connection is not secure

    The owner of cuacxxx.shop has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.

    Learn more…

    Report errors like this to help Mozilla identify and block malicious sites

    cuacuon.shop uses an invalid security certificate.

    The certificate is only valid for businexxxx.com

    Error code: SSL_ERROR_BAD_CERT_DOMAIN

    1. Việt Phương Moderator

      Bạn cấu hình sai cert rồi. Site cuacxxx.shop bạn phải issue và dùng cert cho riêng nó chứ bạn không được dùng cert của businexxxx.com

  9. Hùng 12 comment

    Mình chạy lệnh này

    # Stop Nginx
    service nginx stop

    # Install Let’s Encrypt
    cd /opt/letsencrypt
    ./letsencrypt-auto certonly –standalone

    để cấu hình site mới. Làm tiếp tục các bước như trên mà nó bị vậy.
    Bạn nói cụ thể giúp mình, mình không rành cái này

    1. Việt Phương Moderator

      Tức bạn tạo cert mới cho site B, ví dụ được B.fullchain thì chèn vào Nginx Conf Domain của site B, như bạn cấu hình site A ban đầu

  10. Trường 17 comment

    Khi click vào ổ khóa thì cốc cốc nó để được mã hóa bằng bộ số 0 đã lỗi thời, vậy là từ let’s đã lỗi thời hay sao Ad?

  11. loi 5 comment

    bạn ơi mình đã chuyển qua thành công, nhưng có 1 bài trang mình không có ổ khóa xanh, mình đã kiểm tra database và chuyển qua https hết những không hiểu sao con vai trang ko hiện mau xanh,
    đặt biệt từ khóa top 1 mấy năm nay bi bay mất từ google 2 bửa rồi mà không quay lại, xin ae chỉ giao với, có nên về lại http không vậy, view giam 80% luôn, buồn qua đi.

  12. Phan Phiêu 9 comment

    Chào bác Luân!

    Đối với một trang tin bình thường, không thương mại. Theo bác thì nên dùng Let’s Enscrypt hay là dùng bản có phí?

    Cám ơn bác!

  13. Gia 2 comment

    Mình cài tới bước này : cd /opt/letsencrypt
    ./letsencrypt-auto certonly –standalone . thì bị lỗi trên, chạy thử “pip install –upgrade pip'” cũng ko dc. mình dùng hocvps, vultr và CentOS 7 x64. mong các bạn giúp đỡ

    Command “/root/.local/share/letsencrypt/bin/python2.7 -u -c “import setuptools, tokenize;__file__=’/tmp/pip-build-31f1SE/cryptography/setup.py’;exec(compile(getattr(tokenize, ‘open’, open)(__file__).read().replace(‘\r\n’, ‘\n’), __file__, ‘exec’))” install –record /tmp/pip-vwQFSP-record/install-record.txt –single-version-externally-managed –compile –install-headers /root/.local/share/letsencrypt/include/site/python2.7/cryptography” failed with error code 1 in /tmp/pip-build-31f1SE/cryptography
    You are using pip version 8.0.3, however version 9.0.1 is available.
    You should consider upgrading via the ‘pip install –upgrade pip’ command.
    =====================================================

    Certbot has problem setting up the virtual environment.

    Based on your pip output, the problem can likely be fixed by
    increasing the available memory.

    Consult https://certbot.eff.org/docs/install.html#problems-with-python-virtual-environment
    for possible solutions.
    You may also find some support resources at https://certbot.eff.org/support/ .

    1. Việt Phương Moderator

      VPS bạn RAM 512 và không cài swap à? RAM thấp quá không khởi tạo được Python virtual environment để issue cert bạn à

  14. Chi Vu Dinh 17 comment

    Em cài port cho HocVPS Script khi truy cập Admin thì bị lỗi 403 Forbidden là bị sao a nhỉ, đăng nhập xong báo vậy. A giúp e với ạ.

        1. Việt Phương Moderator

          auth_basic "Restricted";
          auth_basic_user_file /home/domain.com/private_html/domain/.htpasswd;

          Dòng này bạn sửa sai rồi, /home/domain.com/private_html/hocvps/.htpasswd; mới đúng

  15. Tran Cuong 10 comment

    cho mình hỏi ,mình cài duoc rồi sao van không hiện cái ổ khóa và chử secure

    1. Việt Phương Moderator

      Site bạn là gì mình kiểm tra cho. Ngoài ra, ấn vào cạnh thanh địa chỉ sẽ hiện phần nào chưa SSL
      Có thể do các thành phần như css, js chưa được convert hết sang HTTPS

        1. Quách Chí Cường 7 comment

          Site của bạn chứa quá nhiều link non-ssl nên bị trình duyệt báo chưa bảo mật. Bạn cần sửa toàn bộ link url resource website từ ‘http’->’https’

          (index):1013 Mixed Content: The page at ‘https://www.23h.online/’ was loaded over HTTPS, but requested an insecure image ‘http://www.23h.online/wp-content/uploads/2016/10/logo-chinh-thuc.png’.
          (index):1 Mixed Content: The page at ‘https://www.23h.online/’ was loaded over HTTPS, but requested an insecure favicon ‘http://www.23h.online/wp-content/uploads/2016/10/logo-chinh-thuc.png’. This content should also be served over HTTPS.

        2. Việt Phương Moderator

          Chưa convert hết về HTTPS. WordPress thì bạn dùng plugin Simple SSL như trong bài hướng dẫn đề cập đó.

          1. Tran Cuong 10 comment

            Thank Luan nhieu nhieu,vao sai gon choi nhan gui mail,moi caophe

  16. Linh 3 comment

    Hi ad, ad cho mình hỏi sau khi mình cài đặt xong mình vào website thì thấy nó bật https, sau đó vào nữa thì ko được nữa, trình duyệt thông báo là “This page isn’t working, website redirected you too many times. Try clearing your cookies”
    Mình xóa cookies, caches history này nọ nhưng vẫn bị vậy.
    Site mình có add Cloudflare. Mình ko bik bị lỗi chỗ nào nữa, mong ad giúp đỡ.
    Cảm ơn nhìu!

    1. Việt Phương Moderator

      Thư mục chứng chỉ : /etc/letsencrypt/live/domain.com/ bạn nhé. Xóa dùng rm -rf. Bạn xóa chứng chỉ để thay bằng chứng chỉ khác hay quay về HTTP ban đầu?
      1. Thay bằng chứng chỉ khác thì bạn không cần xóa mà cứ để đó thôi. Thay đường dẫn chứng chỉ trong file Nginx Conf.
      2. Quay về HTTP ban đầu thì cần sửa Nginx cấu hình của Domain, sửa trong Google Index và nếu site bạn đã kích hoạt HSTS thì trình duyệt đó sẽ luôn luôn redirect tới HTTPS cho site

Comment của bạn

Your email address will not be published. Required fields are marked *