Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Thỉnh thoảng bạn nên cập nhật mã nguồn Let’s Encrypt từ Github để có được tính năng mới nhất, việc này không bắt buộc.

cd /opt/letsencrypt && git pull

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2017.

Tìm block server { ... } có dòng listen 2017;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:2017$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2017

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$server_name:2017$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_Update 07/04/2017:
Do OCSP Stapling khó tương thích với Nginx, mình sẽ bỏ khỏi cấu hình Nginx. Để sử dụng/nghiên cứu sâu hơn, mời bạn tham khảo: Tối ưu HTTPS trên Nginx

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.


_ Bạn sẽ không thể gia hạn tự động SSL Let’s Encrypt nếu dùng CloudFlare CDN (biểu tượng đám mây vàng).
_ Nếu vẫn muốn dùng kết hợp Cloudafare CDN:

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý CloudFlare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port hoặc http://domain:port

5/ Một số vấn đề gặp phải

Cert lỗi không thể đọc (corrupt/symlink).

– Dấu hiệu: Đến ngày hết hạn thì không thể auto-renew hay renew thủ công, với thông báo:

# /opt/letsencrypt/letsencrypt-auto renew
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/hocvps.com.conf
-------------------------------------------------------------------------------
[('PEM routines', 'PEM_read_bio', 'no start line')]
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/crypto_util.py", line 229, in _load_cert_or_req
    return load_func(typ, cert_or_req_str)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/crypto.py", line 1661, in load_certificate
    _raise_current_error()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/_util.py", line 48, in exception_from_error_queue
    raise exception_type(errors)
Error: [('PEM routines', 'PEM_read_bio', 'no start line')]
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Additionally, the following renewal configuration files were invalid:
  /etc/letsencrypt/renewal/hocvps.com.conf (parsefail)
0 renew failure(s), 1 parse failure(s)

Hoặc

——————————————————————————-
Processing /etc/letsencrypt/renewal/hocvps.com.conf
——————————————————————————-
expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

/2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Renewal conf file /etc/letsencrypt/renewal/hocvps.com.conf is broken. Skipping.
2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Traceback was:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/cert_manager.py", line 246, in _search_lineages
    candidate_lineage = storage.RenewableCert(renewal_file, cli_config)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 401, in __init__
    self._check_symlinks()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 460, in _check_symlinks
    "expected {0} to be a symlink".format(link))
CertStorageError: expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

– Giải pháp:

  • Xóa hoàn toàn cert cũ: # rm -rf /etc/letsencrypt/live/hocvps.com/ /etc/letsencrypt/renewal/hocvps.com.conf /etc/letsencrypt/archive/hocvps.com/
  • Issue lại cert mới cho site (như mục 1.1). Chú ý, do thư mục cert có thể thay đổi (ví dụ /etc/letsencrypt/live/hocvps.com-0001/), cần cập nhật lại đường dẫn cert trong Nginx Conf của domain.

Chúc bạn thành công.

934 Comments

  1. tvhung 4 comment

    Cho m hỏi , sẽ tự động gia hạn ssl vào thời điểm nào vậy, hnay m nhận được mai của Let’s Encrypt l nội dung “Giấy chứng nhận của bạn sẽ hết hạn trong 9 ngày (vào ngày 25 tháng 5 17, 08:52 +0000). Hãy chắc chắn để làm mới giấy chứng nhận của bạn trước khi đó, hoặc khách truy cập vào trang web của bạn sẽ gặp lỗi. ”

    Xin hỏi giờ m phải làm sao thấy nó bảo sẽ gặp lỗi nếu không gia hạn sớm làm m lo quá :”(
    cảm ơn

    1. Việt Phương Moderator

      Bạn đã cài tự động gia hạn trong crontab chưa? Hoặc bạn chạy lệnh /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" để nó gia hạn thủ công cũng được

      1. tvhung 4 comment

        m chạy thử lệnh ra hạn thủ công của bạn gửi rồi thấy báo ok nhưng không thấy mail Let’s Encrypt gửi về báo thành công, không biết thế nào

  2. tvhung 4 comment

    ok, m kiểm tra thời hạn ssl thì thấy gia hạn 3 tháng nữa rồi, cảm ơn ad nhiều :”)

    1. Việt Phương Moderator

      Bạn cho mình nội dung của file /var/log/le-renew.log được không? Để xem vì sao bạn crontab gia hạn tự động mà nó không chạy

  3. Nhân 2 comment

    Could not bind TCP port 443 because it is already in use by another process on
    this system (such as a web server). Please stop the program in question and then
    try again.
    Bị như này là sao v a?
    Mong a trl giúp e.
    Cám ơn a ạ!

    1. Quách Chí Cường 7 comment

      Bạn stop các dịch vụ web server đang sử dụng port 443 đi, để Let’s Encrypt sử dụng port 443 cho hoạt động cấp chứng chỉ của nó.

      – Stop service nginx
      # service nginx stop
      hoặc
      # systemctl stop nginx

      – Stop service apache
      # service httpd stop
      hoặc
      # systemctl stop httpd

      Rồi chạy lại Let’s Encrypt.

      1. Nhân 2 comment

        V còn trường hợp này là sao v anh?
        Saving debug log to /var/log/letsencrypt/letsencrypt.log An unexpected error occurred: ReadTimeout: HTTPSConnectionPool(host=’acme-v01.api.letsencrypt.org’, port=443): Read timed out. (read timeout=45) Please see the logfiles in /var/log/letsencrypt for more details.

        1. Luân Trần Admin

          Đây là lỗi server của Let’s Encrypt, họ fix rồi, bạn thử cài lại đi nhé.

  4. DO DINH TUAN 30 comment

    “Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
    to cancel):eurowindownriverpark.com http://www.eurowindownriverpark.com

    ——————————————————————————-
    One or more of the entered domain names was not valid:

    http://www.eurowindownriverpark.com: Non-ASCII domain names not supported. To issue
    for an Internationalized Domain Name, use Punycode.

    Would you like to re-enter the names?
    ——————————————————————————-
    (Y)es/(N)o:”

    Ngày hôm nay cái ssl mình bị gặp lỗi này là sao admin ơi! Bjo chỉ cần nhập tên miền non-www là đc ak ban?

    1. Việt Phương Moderator

      Có thể thời điểm bạn nhập có Unikey nên kí hiệu gõ có kí tự đặc biệt, sau đó xóa đi sửa thì vẫn còn lưu kí tự đó

    1. Việt Phương Moderator

      Bạn hình như cấu hình redirect ngược? Truy cập domain lại show ip? Site bạn trên CMS nào?

      1. Kien Phan 6 comment

        đây là lỗi gì vậy bạn?
        An unexpected error occurred:
        ReadTimeout: HTTPSConnectionPool(host=’acme-v01.api.letsencrypt.org’, port=443): Read timed out. (read timeout=45)
        Please see the logfiles in /var/log/letsencrypt for more details.

        1. Việt Phương Moderator

          Lỗi truy cập server Let’s Encrypt để issue cert. Bạn thử lại vào lúc khác xem. Thông tin cụ thể có thêm trong /var/log/letsencrypt

        2. Kien Phan 6 comment

          mình rebuild vps mấy lần để cài cái này mà chưa xong. Lần trước mình làm thì nhập email vô oke rồi, bây giờ làm lại sử dụng chính email đã làm lần trước được không hay phải dùng email khác (cùng 1 domain)

          1. Việt Phương Moderator

            Mình thấy email không vấn đề gì cả, mình vẫn dùng 1 email cho tất cả các server. Bạn thử issue lại certs xem

  5. Dong 2 comment

    Mình làm đến bước nhập email thì gặp phải lỗi này sau khi đợi một lúc:

    An unexpected error occurred:
    ReadTimeout: HTTPSConnectionPool(host=’acme-v01.api.letsencrypt.org’, port=443): Read timed out. (read timeout=45)
    Please see the logfiles in /var/log/letsencrypt for more details.

    Thử làm lại lần nữa nhưng vẫn bị, có cách nào fix lỗi này không ad?

    1. Việt Phương Moderator

      1. rewrite ^(.*) https://www.hocvps.com$1 tức website redirect về HTTPS WWW. Bạn chỉ cần đảm bảo cấu hình chuẩn mọi mảng là ok.
      HTTP của www và non-www redirect về HTTPS của www. HTTPS của non-ww cũng redirect về HTTPS của www. Còn HTTPS của www thì show document_root
      2. Việc lựa chọn www hay non-www cho SEO thì tùy mỗi người và cách làm của họ. Mình cũng không rõ lắm về vấn đề này

  6. Van Minh 40 comment

    Mình đã cài auto renew Let’s Encrypt rồi mà hôm nay là đến ngày hết hạn nó vẫn báo renew nhỉ? Cái auto renew nó kiểm tra nếu hết hạn nó mới gia hạn phải không vậy admin?

    1. Việt Phương Moderator

      Auto renew theo cài đặt của Let’s Encrypt. Chương trình cho phép renew khi cert còn hạn 30 ngày. Bạn check log tại /var/log/le-renew.log sẽ thấy ngày nào được renew

      1. Văn Minh 40 comment

        Chỉ có log này thôi bác ơi.

        Upgrading certbot-auto 0.11.1 to 0.12.0…
        Replacing certbot-auto…
        Creating virtual environment…
        Installing Python packages…
        Installation succeeded.
        Upgrading certbot-auto 0.12.0 to 0.13.0…
        Replacing certbot-auto…
        Creating virtual environment…
        Installing Python packages…
        Installation succeeded.
        Upgrading certbot-auto 0.13.0 to 0.14.0…
        Replacing certbot-auto…
        Creating virtual environment…
        Installing Python packages…
        Installation succeeded.
        Upgrading certbot-auto 0.14.0 to 0.14.1…
        Replacing certbot-auto…
        Creating virtual environment…
        Installing Python packages…
        Installation succeeded.

        1. Việt Phương Moderator

          Có vẻ thời điểm vừa rồi Let’ Encrypt upgrade nhiều. Bạn xem cert còn hạn không thì tạm thời renew thủ công

          1. Van Minh 40 comment

            Mình đã renew thủ công rồi, không biết lần tới nó có tự động renew ko nữa?

  7. Hoang Nguyen 5 comment

    cho minh hoi: sau khi tạo chứng chỉ SSL xong mình restart nginx lại rồi bật màu vàng trong cloudflare. giờ truy cập web bị lội này:
    Your connection is not private

    Attackers might be trying to steal your information from domain.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID

    có cách nào giải quyết cái lỗi này không ad?

    1. Việt Phương Moderator

      1. Bạn sử dụng sai cert rồi. “ERR_CERT_AUTHORITY_INVALID” dạng như site A bạn dùng cert site B hoặc dùng file nào đó không phải cert của nó. Bạn post Nginx Conf của domain lên đây mình xem cho.
      2. Port Admin của HocVPs không phải 2222 bạn à. 2222 là port SSH.

  8. Tajobs 17 comment

    Cái xong rồi giờ truy cập trang:

    This page isn’t working
    sengame.net redirected you too many times.
    Try clearing your cookies.
    ERR_TOO_MANY_REDIRECTS

  9. Kien Phan 1 comment

    Tới giờ thì mình đã cài đặt được như hướng dẫn nhưng khi truy cập vào trang web trình duyệt báo về là trang này không bảo mật, không cho truy cập. Mod giúp mình nhé

  10. Đoàn Thanh Tú 20 comment

    Các bạn cho mình hỏi server Vult 512 chạy HocVPS, giờ cài thêm Lets Encrypt có nặng quá không?

    1. Việt Phương Moderator

      Chạy được bạn nhé. RAm512 không đủ khởi tạo môi trường Python thôi nên sẽ màn hình terminal đen suốt trong quá trình cài, vẫn cài được bình thường

    1. Việt Phương Moderator

      Dòng 35 trong fle Nginx Conf của domain bạn điền sai thông tin về “ssl_ciphers”. Bạn xem lại hoặc gửi qua đây mình xem cho

  11. Van Minh 40 comment

    Admin ơi! Mình có cài auto renewmà đến ngày hết hạn nó báo mình gia hạn, cứ nghĩ nó sẽ tự gia hạn ai dè hôm sau bị lỗi lỗi này này admin ơi upsieutoc.com/image/q4oDH8

  12. khuê 1 comment

    mình làm đến đoạn này thì chỉ có thông báo như vậy
    không có đường dẫn file .pem
    IMPORTANT NOTES:
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

    1. Việt Phương Moderator

      Bạn issue cert xong hiện thông báo như vậy? Có thể do server LE thời điểm đó. Bạn kiểm tra có thư mục cert trong /etc/letsencrypt/live/ không. Không thì bạn issue lại cert

  13. PhieuDu 16 comment

    Mình cài xong tất rồi nhưng khi login vào script admin https://domain:port thì không truy cập được. trong phần cấu hình với port quản lý của script admin mình cũng đã đặt port của mình mặc định lúc đầu khi cài đặt rồi nhưng không hiểu sao vẫn không truy cập được. Mình dùng vps amazon đã mở port

    “” Không thể truy cập trang web này

    XXXXX đã từ chối kết nối.
    Hãy thử:
    Kiểm tra kết nối
    Kiểm tra proxy và tường lửa
    ERR_CONNECTION_REFUSED “”

    1. Việt Phương Moderator

      1. Bạn cho mình Nginx Conf của domain nhé, paste qua http://pastebin.com/
      2. Và các port 443, port admin bạn đều đã mở thủ công? Kiểm tra port mở qua http://ping.eu/port-chk/
      3. “trong phần cấu hình với port quản lý của script admin mình cũng đã đặt port của mình mặc định lúc đầu” Trong quá trình sử dụng bạn có thay đổi port Admin à?

      1. PhieuDu 16 comment

        Mình check thì port cpanel closed, mk đã mở trên security groups rồi mà.
        Đây là cái nginx conf https://pastebin.com/zpuigxey
        (3. “trong phần cấu hình với port quản lý của script admin mình cũng đã đặt port của mình mặc định lúc đầu” Trong quá trình sử dụng bạn có thay đổi port Admin à?)
        vd trong lúc mk cài đặt cpanel hocvps thì mk có nhập port để login quản trị là 2037 rồi ở cái đoạn port quản lý của script admin trong lúc cài đặt ssl file nginx conf mình cũng đã thay đổi cái 2313 như trong hướng dẫn thành 2037 đó. Nhưng chắc cái này không liên quan, vì mình check thấy port bị closed

        1. Việt Phương Moderator

          Uhm ok hiểu ý bạn. Cấu hình bạn thấy đúng rồi. Chỉ có port 2037 chưa mở thôi. Mình xem thì kể cả port 2222 cũng được mở rồi nên chắc do tường lửa bên ngoài(ví dụ VPS GG có firewall riêng ngoài firewall của VPS)/hệ thống chứ không hẳn do iptables của VPS
          Cho chắc ăn thì bạn kiểm tra iptables -L -n xem thấy port 2037 đc mở chưa.

          1. PhieuDu 16 comment

            MÌnh hôm qua cũng có check qua iptables -L -n rồi, nó báo
            f2b-NoAuthFailures tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:2037
            ———————
            Có cách nào để xử lý nó không. Không lẽ cài lại :))

          2. Việt Phương Moderator

            Bạn check firewall của NCC chưa? Kiểu VPS GG, Amz có firewall riêng đó. K đc nữa thì bạn gửi VPs qua support@hocvps.com mình xem cho

          3. PhieuDu 16 comment

            Mình nghĩ không phải do firewall hay vps rồi do mình chọn cổng 2037.
            E có lục trên mạng thì thấy bảo “TCP port 2037 uses the Transmission Control Protocol. TCP is one of the main protocols in TCP/IP networks. TCP is a connection-oriented protocol, it requires handshaking to set up end-to-end communications. Only when a connection is set up user’s data can be sent bi-directionally over the connection.
            Attention! TCP guarantees delivery of data packets on port 2037 in the same order in which they were sent. Guaranteed communication over TCP port 2037 is the main difference between TCP and UDP. UDP port 2037 would not have guaranteed communication as TCP.”

            do vậy lúc m cài chọn port 2037 có lẽ bị trùng hay gì gì đó :))

            Mình mới cài lại script và chọn cổng khác rồi, nhưng cũng chưa thử cài ssl, Lát nữa mình cài ssl xong nếu còn sinh ra lỗi tương tự nữa thì mk sẽ ib lại sau. Cảm ơn Việt Phương đã nhiệt tihf giúp đỡ :))

          4. Việt Phương Moderator

            Vấn đề là nếu bạn vừa cài xong HocVPS Script mà login đc admin bthg tức cổng 2037 đã mở. Sau đó cài SSL thì bản chất cổng 2037 sẽ vẫn đang mở không ảnh hưởng ý.
            OK bạn có gì feedback lại

          5. PhieuDu 16 comment

            Mình cài xong hocvps script m lại không có loign thử vào 2037 mà nhảy ra cài ssl luôn, tại vì mk nghĩ cái port đó để số gì cũng đc vì mk cũng cài vài lần cái hocvps script này rồi nên lần này sau khi cài xong mình không có login thử vào adminpanel :))

  14. minh phuong 1 comment

    Mình cài hocvps và cài tiếp letsencrypt ok rồi nhưng khi vào :port/phpmyadmin và nhập admin/pass chuẩn rồi thì bị hiện

    403 Forbidden

    nginx

    Mình ko biết nguyên nhân tại sao, mong admin giúp đỡ với

    1. Việt Phương Moderator

      Bạn chạy lệnh /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" để nó gia hạn thủ công. Rồi bạn cho mình nội dung của file /var/log/le-renew.log để xem vì sao bạn crontab gia hạn tự động mà nó không chạy

Comment của bạn

Your email address will not be published. Required fields are marked *