Cài đặt chứng chỉ Let's Encrypt SSL trên server HocVPS Script

22/04/2018
Học VPS
173,483 Views
2,208 Comments

Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Nội dung bài viết

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt certbot

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

2/ Cấu hình Nginx

3/ Cập nhật cấu hình trong Google Search Console và Analytics

4/ Tự động gia hạn Let’s Encrypt

5/ Xóa chứng chỉ Let’s Encrypt

6/ Một số vấn đề gặp phải

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt certbot

yum -y install certbot

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám thì mới cài đặt được Let’s Encrypt.

# Stop Nginx
service nginx stop

# Issue SSL Let's Encrypt
certbot certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

/etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

+-Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop

# Install Let's Encrypt
certbot certonly --standalone

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.
Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.

Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Chỉnh sửa cấu hình domain bằng Nano Editor

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Lưu ý:

Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link http://IP:port để vào khu vực quản trị HocVPS Script Admin.

Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log         off;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

server {
	listen 443 ssl default_server;
		
	# access_log off;
	access_log /home/hocvps.com/logs/access.log;
	# error_log off;
    	error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	# Disable .htaccess and other hidden files
	location ~ /\.(?!well-known).* {
		deny all;
		access_log off;
		log_not_found off;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log /home/hocvps.com/logs/nginx_error.log;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;

        error_page 497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
     	location / {
		autoindex on;
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}

_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:

Không thiết lập HocVPS Admin Port
Bỏ tham số default_server bên cạnh listen 443

_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):

Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port
Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.

_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Tham khảo thêm Tối ưu HTTPS trên Nginx.

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Lưu ý:

Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

# EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.

Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 6.Một số vấn đề gặp phải

5/ Xóa chứng chỉ Let’s Encrypt

Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:

# Remove Let's Encrypt
certbot delete

Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.

6/ Một số vấn đề gặp phải

+-Chứng chỉ không tự động gia hạn

Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service

Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.

# cd /opt/letsencrypt && git pull

Nếu gặp thông báo lỗi thì sử dụng lệnh này: # cd /opt/letsencrypt && git reset --hard && git pull

Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau:
Kiểm tra nội dung /var/spool/mail/root thấy:

Failed to find executable /usr/sbin/service in PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
Unable to find pre-hook command /usr/sbin/service in the PATH.
(PATH is /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)

Kiểm tra nội dung /var/log/cron thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung /var/log/le-renew.log và bên trong /var/log/letencrypt không thấy gì khả nghi.

– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.

# whereis service
service: /sbin/service /usr/share/man/man8/service.8.gz

# echo $PATH
/usr/bin:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

Có thể thấy, lệnh service nằm trong /sbin/service, không thuộc biến môi trường PATH. Crontab chỉ tìm /usr/sbin/service và không thấy.

– Giải pháp::
Bạn cần sử dụng đường dẫn cụ thể để chạy lệnh service trong crontab. Vị trí sẽ tùy thuộc vào từng hệ thống, kiểm tra bằng # whereis service.

Ví dụ, khi là /sbin/service thì câu lệnh chèn vào crontab sẽ như sau:

30 2 * * * certbot renew --pre-hook "/sbin/service nginx stop" --post-hook "/sbin/service nginx start" >> /var/log/le-renew.log

+-Chứng chỉ lỗi không thể đọc (corrupt/symlink)

– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:

Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Hoặc expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink
– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -noout -text -in /etc/letsencrypt/live/hocvps.com/cert.pem
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -noout -text -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

Kiểm tra danh sách cert trong VPS

#  certbot certificates
Found the following certs:
  Certificate Name: hocvps.com
    Domains: hocvps.com www.hocvps.com
    Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------

– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)

# cd /opt/letsencrypt
# ./certbot delete --cert-name hocvps.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Deleted all files relating to certificate hocvps.com.
-------------------------------------------------------------------------------

+-VPS không thể kết nối HTTPS

– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS

# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)

#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error

– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ

CentOS6 chứng chỉ lưu tại /etc/ssl/certs/ca-bundle.crt
CentOS7 chứng chỉ lưu tại /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.

# yum reinstall -y ca-certificates

– Đối với lỗi (35) – Cập nhật NSS

# yum update nss -y

Chúc bạn thành công.

Tagged:Let's Encrypt

Comment của bạn Cancel reply

2,208 Comments

Reply

ezlasso 17 comment 18/10/2018 at 8:11 am

Hi Luân
Mình cài let’scencrypt đã hoàn thành xong. Lúc đầu còn vào được firemanager,hay phpMyAdmin nhưng sau 3-4 ngày mình lại không còn vào được nữa
Mình có dùng cloudflare hiện đã tắt hết đám mây màu vàng rồi: http://prntscr.com/l7c8h3
File code mình thêm vào như sau: https://pastebin.com/gDDYrVPw
Bạn xem qua giúp mình. cảm ơn bạn
1. Reply
  
  Việt Phương Moderator 18/10/2018 at 8:22 am
  
  Cho mình kết quả của iptables -L -n
  1. Reply
    
    ezlasso 17 comment 18/10/2018 at 8:44 am
    
    mình chạy lệnh ra ntn nek
    http://prntscr.com/l7cg1o
    1. Reply
      
      Việt Phương Moderator 18/10/2018 at 10:37 am
      
      HocVPS Admin của bạn gốc là 2668 hay 2241? Vì như ảnh là port 2241 chưa mở
      1. ezlasso 17 comment 18/10/2018 at 11:06 am
        
        lúc đầu là 2668 mình vào không được mấy lần sau đó đổi lại là 2241. hiện tại là 2241
      2. Việt Phương Moderator 18/10/2018 at 12:07 pm
        
        Bạn chạy lệnh sau nhé
        iptables -I INPUT -p tcp --dport 2241 -j ACCEPT service iptables save
      3. ezlasso 17 comment 18/10/2018 at 1:11 pm
        
        sorry bạn, mình mới kiểm tra lại port hiện tại của mình là 4868
        http://prntscr.com/l7e2kr
        bạn kiểm tra lại giúp mình nhé
      4. ezlasso 17 comment 18/10/2018 at 1:16 pm
        
        bạn có skype hay zalo không để mình kết bạn với bạn cho mau?
      5. Việt Phương Moderator 18/10/2018 at 2:11 pm
        
        Vậy tốt nhất giờ bạn chuyển đổi lại thành 1 port hoàn toàn khác đi. Chứ Nginx Conf của bạn đang không đồng nhất với hệ thống HocVPS
        Nginx thì bạn để 2241
      6. ezlasso 17 comment 18/10/2018 at 2:17 pm
        
        mình hiện tại là 4868. Nhưng mình vẫn không vào được filemanager hay phpMyAdmin được. Hiện tại mình không vào đươc SSH qua putty với kết nối filezilla hay winscp. Ad giúp mình với
      7. Việt Phương Moderator 18/10/2018 at 2:18 pm
        
        Nếu bạn không thể kết nối SSH thì thử qua viewconsole của nhà cung cấp nhé. Có thể do bạn đăng nhập sai quá nhiều nên Fail2Ban đang chặn
      8. ezlasso 17 comment 18/10/2018 at 2:21 pm
        
        Còn cái phpadmin với filermanager nữa. làm sao để vào được vậy ad ?
      9. Việt Phương Moderator 18/10/2018 at 2:24 pm
        
        Cái PHPMyAdmin hay FileManager thì do xung đột Nginx Conf. HocVPs bạn để port X nhưng trong Nginx Conf bạn lại để port Y
      10. ezlasso 17 comment 18/10/2018 at 2:38 pm
        
        tks ad. mình vừa vô được rồi . Nhưng có một vấn đề là khi vào phpMyadmin mình bị lỗi này ad giúp mình với
        http://prntscr.com/l7eyp1
      11. Việt Phương Moderator 18/10/2018 at 3:00 pm
        
        Bạn dùng HocVPs menu 14 nhé
Reply

Lê Thịnh 25 comment 17/10/2018 at 3:53 pm

Ad ơi sau khi mình chạy lệnh /opt/letsencrypt/certbot-auto certonly –standalone nó yêu cầu nhập domain mình ấn nhầm nên nó ra thế này:

Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
to cancel): nano /etc/nginx/conf.d/t-tgroup.com.vn.conf^Z
[1]+ Stopped /opt/letsencrypt/certbot-auto certonly –standalone

Sau đó chạy lại thì nó hiện thế này:

[root@banghesofagiare home]# /opt/letsencrypt/certbot-auto certonly –standalone
Another instance of Certbot is already running.

Giờ ko biết giải quyết sao nữa.
1. Reply
  
  Việt Phương Moderator 17/10/2018 at 4:18 pm
  
  Bạn restart VPS đi rồi chạy lại lệnh nhé
2. Reply
  
  ezlasso 17 comment 18/10/2018 at 1:07 pm
  
  Chạy bị lỗi bạn ơi :((
  http://prntscr.com/l7e195
3. Reply
  
  ezlasso 17 comment 18/10/2018 at 1:10 pm
  
  sorry bạn này giờ mình mới kiểm tra lại port admin mình hiện tại là 4868
  bạn check lại giúp mình nhé
  1. Reply
    
    ezlasso 17 comment 18/10/2018 at 3:07 pm
    
    tks ad mình làm được rồi nhé.
Reply

Ngoc Thang Nguyen 44 comment 16/10/2018 at 3:22 pm

Mình cài xong thì bị lỗi redirect từ https://www.thachthatdecor.vn/ về https://mocvietdecor.vn/ cũng cùng trên vps và là domain chính của vps vultr, thì phải xử lý lỗi này cho web thachthatdecor thế nào b nhỉ?
1. Reply
  
  Việt Phương Moderator 16/10/2018 at 3:48 pm
  
  Cung cấp mình Nginx Conf bạn đã cài đặt SSL
  và kết quả của nginx -t
  1. Reply
    
    Ngoc Thang Nguyen 44 comment 16/10/2018 at 4:31 pm
    
    Đây là file conf của thachthatdecor.com.vn nhưng ko hề có từ mocviet và ip chung: 66.42.61.247
    
    server {
    listen 80;
    
    server_name http://www.thachthatdecor.com.vn;
    rewrite ^(.*) http://thachthatdecor.com.vn$1 permanent;
    }
    server {
    listen 80;
    listen 443;
    
    ssl on;
    ssl_certificate /etc/letsencrypt/live/thachthatdecor.com.vn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/thachthatdecor.com.vn/privkey.pem;
    
    access_log off;
    # access_log /home/thachthatdecor.com.vn/logs/access.log;
    error_log off;
    # error_log /home/thachthatdecor.com.vn/logs/error.log;
    
    root /home/thachthatdecor.com.vn/public_html;
    index index.php index.html index.htm;
    server_name thachthatdecor.com.vn;
    
    location / {
    try_files $uri $uri/ /index.php?$args;
    }
    
    # Custom configuration
    include /home/thachthatdecor.com.vn/public_html/*.conf;
    
    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 32k;
    fastcgi_buffers 8 16k;
    fastcgi_busy_buffers_size 32k;
    fastcgi_temp_file_write_size 32k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/thachthatdecor.com.vn/public_html$fastcgi_script_name;
    }
    location ~ /\. {
    deny all;
    }
    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }
    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }
    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    
    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }
    
    Còn đây là đúng 2 link có chưa https://www.thachthatdecor.com.vn trong file sql nhưng hơn 1000 link mocvietdecor.vn, mình ko biết lỗi chỗ nào hix
    (19365, ‘wpseo-premium-redirects-base’, ‘a:11:{i:0;a:4:{s:6:\”origin\”;s:17:\”tap-chi-noi-that2\”;s:3:\”url\”;s:7:\”tin-tuc\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:1;a:4:{s:6:\”origin\”;s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-408\”;s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:2;a:4:{s:6:\”origin\”;s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-403\”;s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:3;a:4:{s:6:\”origin\”;s:81:\”san-pham/bo%cc%a3-phong-ngu%cc%89-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-107\”;s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-107\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:4;a:4:{s:6:\”origin\”;s:69:\”san-pham/bo-phong-ngu-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:3:\”url\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:5;a:4:{s:6:\”origin\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-105\”;s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-105\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:6;a:4:{s:6:\”origin\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:7;a:4:{s:6:\”origin\”;s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-408\”;s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:8;a:4:{s:6:\”origin\”;s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-403\”;s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:9;a:4:{s:6:\”origin\”;s:26:\”thiet-ke-van-phong-cao-cap\”;s:3:\”url\”;s:47:\”thiet-ke-van-phong-cao-cap-can-nhung-yeu-to-nao\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:10;a:4:{s:6:\”origin\”;s:34:\”https://www.thachthatdecor.com.vn/\”;s:3:\”url\”;s:1:\”/\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}}’, ‘no’),
    
    (19366, ‘wpseo-premium-redirects-export-plain’, ‘a:11:{s:17:\”tap-chi-noi-that2\”;a:2:{s:3:\”url\”;s:7:\”tin-tuc\”;s:4:\”type\”;i:301;}s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-408\”;a:2:{s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;}s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-403\”;a:2:{s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;}s:81:\”san-pham/bo%cc%a3-phong-ngu%cc%89-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-107\”;a:2:{s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-107\”;s:4:\”type\”;i:301;}s:69:\”san-pham/bo-phong-ngu-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;a:2:{s:3:\”url\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;}s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-105\”;a:2:{s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-105\”;s:4:\”type\”;i:301;}s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;a:2:{s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;}s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-408\”;a:2:{s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;}s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-403\”;a:2:{s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;}s:26:\”thiet-ke-van-phong-cao-cap\”;a:2:{s:3:\”url\”;s:47:\”thiet-ke-van-phong-cao-cap-can-nhung-yeu-to-nao\”;s:4:\”type\”;i:301;}s:34:\”https://www.thachthatdecor.com.vn/\”;a:2:{s:3:\”url\”;s:1:\”/\”;s:4:\”type\”;i:301;}}’, ‘no’),
    (19367, ‘wpseo-premium-redirects-export-regex’, ‘a:0:{}’, ‘no’),
    1. Reply
      
      Việt Phương Moderator 16/10/2018 at 4:58 pm
      
      https://thachthatdecor.com.vn/ Truy cập được mà bạn. Còn phiên bản www của HTTPs bạn có cài đặt đâu
  2. Reply
    
    Ngoc Thang Nguyen 44 comment 16/10/2018 at 5:09 pm
    
    Đúng vậy, ý mình là domain https://www.thachthatdecor.com.vn bị trỏ sang web khác, giờ mình sửa như thế nào b nhỉ? Thanks b
    1. Reply
      
      Việt Phương Moderator 16/10/2018 at 5:15 pm
      
      Bạn cài như hướng dẫn trong bài đó. Phần Redirect toàn bộ www https sang https bạn đã làm đâu
  3. Reply
    
    Ngoc Thang Nguyen 44 comment 16/10/2018 at 5:44 pm
    
    Tức là
    Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và http://www…mình sẽ gõ thêm https://www.thachthatdeco.com.vn hả b (sau thachthatdecor.com.vn và http://www.thachthatdecor.com.vn) hay thêm đoạn code nào trong file .conf ko vậy?
    1. Reply
      
      Việt Phương Moderator 16/10/2018 at 11:00 pm
      
      Bạn đọc lại bài hướng dẫn đó, ghi đầy đủ mà. Giờ mình mô tả lại cũng là mô tả bài hướng dẫn thôi
      1. Chứng chỉ bạn mới chỉ issue cho thachthatdecor.com.vn phiên bản non-www. Bạn đọc phần issue chứng chỉ để hiểu thêm
      2. Nginx Conf bạn cấu hình sai. Bạn đọc phần cấu hình Nginx Conf để hiểu thêm
  4. Reply
    
    Ngoc Thang Nguyen 44 comment 17/10/2018 at 2:04 pm
    
    mình làm lại theo hướng dẫn r mà vẫn bị lỗi https://www, bạn xem lại giúp m file .conf này với hix
    server {
    listen 443 ssl;
    server_name http://www.thachthatdecor.com.vn;
    
    # SSL
    ssl_certificate /etc/letsencrypt/live/thachthatdecor.com.vn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/thachthatdecor.com.vn/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    
    rewrite ^(.*) https://thachthatdecor.com.vn$1 permanent;
    }
    server {
    listen 80;
    
    server_name thachthatdecor.com.vn http://www.thachthatdecor.com.vn;
    rewrite ^(.*) http://thachthatdecor.com.vn$1 permanent;
    }
    server {
    listen 80;
    listen 443;
    
    ssl on;
    ssl_certificate /etc/letsencrypt/live/thachthatdecor.com.vn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/thachthatdecor.com.vn/privkey.pem;
    
    access_log off;
    # access_log /home/thachthatdecor.com.vn/logs/access.log;
    error_log off;
    # error_log /home/thachthatdecor.com.vn/logs/error.log;
    
    root /home/thachthatdecor.com.vn/public_html;
    index index.php index.html index.htm;
    server_name thachthatdecor.com.vn;
    
    location / {
    try_files $uri $uri/ /index.php?$args;
    }
    
    # Custom configuration
    include /home/thachthatdecor.com.vn/public_html/*.conf;
    
    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 32k;
    fastcgi_buffers 8 16k;
    fastcgi_busy_buffers_size 32k;
    fastcgi_temp_file_write_size 32k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/thachthatdecor.com.vn/public_html$fastcgi_script_name;
    }
    location ~ /\. {
    deny all;
    }
    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }
    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }
    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    
    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }
    1. Reply
      
      Việt Phương Moderator 17/10/2018 at 2:09 pm
      
      Block listen 80; sai. Block listen 80; listen 443; sai. Bạn xem lại kỹ bài hướng dẫn cũng như cấu hình mẫu nhé.
  5. Reply
    
    Ngoc Thang Nguyen 44 comment 17/10/2018 at 2:17 pm
    
    Mình xin lỗi là xem trang này vài chục lần r, nhưng m ko phải dân code nên ko biết lỗi chỗ nào sửa thế nào, bạn cho mình xin 1 file .conf của trang con (chứ ko phải trang chính) đc ko? Thậm chí file .conf bạn xem là của Nam Trần bạn Luân đó nhưng b vẫn bảo ko đúng thì mình chịu thật rồi hix hix
    1. Reply
      
      Việt Phương Moderator 17/10/2018 at 2:37 pm
      
      Bạn xem bài hướng dẫn đó. Conf của trang con chỉ cần bỏ đoạn cuối block 2018 là xong
      server { listen 2018 ssl; ..... ....
      Ví dụ bạn so block 80 của bạn với block 80 trong bài viết khác nhau chỗ nào?
      Và block 443 thứ hai thì khác với trong bài viết như thế nào
Reply

Hưng 16 comment 12/10/2018 at 12:55 am

Mình copy file cấu hình đó và thay đổi domain có đc ko nhỉ
1. Reply
  
  Việt Phương Moderator 12/10/2018 at 8:58 am
  
  Được nhé bạn
Reply

Thành 15 comment 10/10/2018 at 3:07 pm

Cho mình hỏi chút, lúc cài có chỗ nhập email, thì mình nhập email của gmail có được không hay bắt buộc phải có email tên miền
1. Reply
  
  Việt Phương Moderator 10/10/2018 at 3:16 pm
  
  Email nào cũng được nhé bạn, email cá nhân Gmail okie. Để sau này chứng chỉ không gia hạn đúng lúc thì Let’s nó báo ý mà
Reply

Thanh 1 comment 08/10/2018 at 10:45 am

Chào Luân và Partners.

Mình có dùng Let’s Encrypt như bên Luân chỉ để đổi từ HTTP sang HTTPS
và đã thành công

Nhưng nay mình có việc nên chuyển lại HTTP

Mình dùng lệnh như Luân hướng dẫn và remove rồi

# Remove Let’s Encrypt
/opt/letsencrypt/certbot-auto delete

và mình cũng change file .conf về mặc định, test Nginx thì thấy không bị lỗi

Mình cũng change option trong Phpmyadmin cũng không được

Mong Luân dành chút time hướng dẫn dùm mình nhé
1. Reply
  
  Việt Phương Moderator 08/10/2018 at 1:50 pm
  
  Bạn chuyển trình duyệt nhé. Do trình duyệt cũ bạn lưu cache rồi nên sẽ tự động truy cập bằng HTTPS
  Bạn có thể tham khảo comment này để cài đặt redirect HTTP về HTTPS
  https://hocvps.com/cai-dat-lets-encrypt/comment-page-18/#comment-23339
Reply

Trần Huy 3 comment 05/10/2018 at 1:28 pm

Em chào anh Luân.Em cài SSL xong thì không vào được phpmyadmin nữa. Em dùng cloudflare và vào theo địa chỉ http://IP:port/phpmyadmin thì báo lỗi 403 forbidden. Em sửa lại file domin.conf như ban đầu thì lại vào bình thường. Anh giúp em cách khắc phục với. Em cảm ơn anh.
1. Reply
  
  Việt Phương Moderator 05/10/2018 at 2:22 pm
  
  Cung cấp mình nội dung Nginx Conf của domain bạn đã cài đặt SSL
  1. Reply
    
    Trần Huy 3 comment 05/10/2018 at 2:27 pm
    
    Đây là nội dung file conf của em. anh xem giúp em nhé.
    server {
    listen 443 ssl;
    server_name http://www.thisathachlaixehn.com;
    
    # SSL
    ssl_certificate /home/thisathachlaixehn.com/certificate.pem;
    ssl_certificate_key /home/thisathachlaixehn.com/cert_key.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    
    rewrite ^(.*) https://thisathachlaixehn.com$1 permanent;
    }
    server {
    listen 80;
    
    server_name thisathachlaixehn.com http://www.thisathachlaixehn.com;
    rewrite ^(.*) https://thisathachlaixehn.com$1 permanent;
    }
    
    server {
    listen 443 ssl default_server;
    
    # access_log off;
    access_log /home/thisathachlaixehn.com/logs/access.log;
    # error_log off;
    error_log /home/thisathachlaixehn.com/logs/error.log;
    
    root /home/thisathachlaixehn.com/public_html;
    index index.php index.html index.htm;
    server_name thisathachlaixehn.com;
    # SSL
    ssl_certificate /home/thisathachlaixehn.com/certificate.pem;
    ssl_certificate_key /home/thisathachlaixehn.com/cert_key.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    
    # Improve HTTPS performance with session resumption
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;
    
    # DH parameters
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    # Enable HSTS
    add_header Strict-Transport-Security “max-age=31536000” always;
    location / {
    try_files $uri $uri/ /index.php?$args;
    }
    
    # Custom configuration
    include /home/thisathachlaixehn.com/public_html/*.conf;
    
    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
    
    location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;
    allow 149.28.159.199;
    deny all;
    }
    
    location /php_status {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include /etc/nginx/fastcgi_params;
    allow 127.0.0.1;
    allow 149.28.159.199;
    deny all;
    }
    
    # Disable .htaccess and other hidden files
    location ~ /\.(?!well-known).* {
    deny all;
    access_log off;
    log_not_found off;
    }
    
    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }
    
    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }
    
    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    
    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }
    
    server {
    listen 2804;
    
    access_log off;
    log_not_found off;
    error_log /home/thisathachlaixehn.com/logs/nginx_error.log;
    
    root /home/thisathachlaixehn.com/private_html;
    index index.php index.html index.htm;
    server_name thisathachlaixehn.com;
    
    auth_basic “Restricted”;
    auth_basic_user_file /home/thisathachlaixehn.com/private_html/thisathachlaixehn/.htpasswd;
    
    location / {
    autoindex on;
    try_files $uri $uri/ /index.php;
    }
    
    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
    
    location ~ /\. {
    deny all;
    }
    }
    1. Reply
      
      Việt Phương Moderator 05/10/2018 at 2:34 pm
      
      auth_basic “Restricted”;
      auth_basic_user_file /home/thisathachlaixehn.com/private_html/thisathachlaixehn/.htpasswd;
      Đoạn này đúng phải là
      auth_basic “Restricted”;
      auth_basic_user_file /home/thisathachlaixehn.com/private_html/hocvps/.htpasswd;
  2. Reply
    
    Trần Huy 3 comment 05/10/2018 at 2:50 pm
    
    em cảm ơn anh nhiều lắm. em sửa lại vào bình thường rôi 😀
Reply

Kudo 2 comment 05/10/2018 at 7:56 am

Ad giúp em khắc phục lỗi này với ạ. Bước nhập tên miền sẽ sử dụng chứng chỉ SSL, em điền cả 2 dạng non-www và www như trên bài viết mà chỉ có non-www thì e được cấp. Em dùng cloudflare ạ.
====================
IMPORTANT NOTES:
– The following errors were reported by the server:

Domain: http://www.mydomain.com
Type: unauthorized
Detail: Invalid response from
http://www.mydomain.com/.well-known/acme-challenge/c8kni12sUI7O1NFRdifq7TuC-YtNiRoVf3P9aUH4ytQ:
“\n\n\n\nChe”

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
1. Reply
  
  Việt Phương Moderator 05/10/2018 at 8:38 am
  
  Bạn cần trỏ cả non-www và www của domain về IP. Đồng thời khi issue thì tắt đám mây vàng của Cloudflare
  1. Reply
    
    Kudo 2 comment 05/10/2018 at 8:51 am
    
    Trong record em đặt Name là http://www.domain.com và value là ip vps mà nó không nhận ạ
    1. Reply
      
      Việt Phương Moderator 05/10/2018 at 10:00 am
      
      Doamin cụ thể bạn là gì?
    2. Reply
      
      Kudo 1 comment 05/10/2018 at 10:12 am
      
      Ở record em để Name là http://www.domain và ip vps cũng tắt đám mây đi rồi mà vẫn bị lỗi này. Em làm từ hôm qua tới giờ mà vẫn không được, rất mong anh hỗ trợ giúp em ạ.
      ======================
      http://www.domain.com/.well-known/acme-challenge/GFQ3agvfFiGXf8eRvY5YoRhxSvedISXaIcysK-bR3xA:
      “\n\n\n\nChe”
      
      To fix these errors, please make sure that your domain name was
      entered correctly and the DNS A/AAAA record(s) for that domain
      contain(s) the right IP address.
      1. Việt Phương Moderator 05/10/2018 at 10:28 am
        
        Lỗi rõ ràng nó ghi là không thể xác minh domain này trên địa chỉ IP. Bạn chưa trỏ chính xác. Nhìn kết quả ping bên dưới của mình đó, non-www và www trỏ 2 hướng khác nhau
        To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.
        Nếu bạn không thể issue cả non-www hay www thì mới là vấn đề bên VPS. Đây issue được non-www và lỗi www thì vấn đề thuộc về bên DNS rồi
        # ping www.p***c.com Pinging parking.namesilo.com [209.141.38.xxx] with 32 bytes of data: # ping p***c.com Pinging p***c.com [139.180.212.xxx] with 32 bytes of data:
Reply

Nguyễn Duy Khánh 32 comment 05/10/2018 at 3:35 am

Của e khi kiểm tra lại

nginx -t

thì ra lỗi này a giúp e sửa với a ơi
conflicting server name “khanh.org” on 0.0.0.0:443, ignored
1. Reply
  
  Việt Phương Moderator 05/10/2018 at 10:01 am
  
  Có nhiều hơn một chỗ quy định port 443 của domain khanh.org
  Bạn port Nginx Conf của domain lên mình chỉ cho
Reply

Nam Dang 28 comment 04/10/2018 at 8:16 am

Ad cho hỏi hình như ko cài được cho sub domain phải không ạ? Lần nào em cài cũng bị lỗi, cài các site khác thì bình thường.
1. Reply
  
  Việt Phương Moderator 04/10/2018 at 8:41 am
  
  Cài subdomain bình thường nhé bạn. Bạn cài gặp lỗi gì?
  Và bạn đã trỏ sub về IP VPS chưa?
Reply

sơn 10 comment 03/10/2018 at 8:35 am

Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
to cancel): healthyeatingadvisors.com
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for healthyeatingadvisors.com
Waiting for verification…
Cleaning up challenges
An unexpected error occurred:
The server experienced an internal error :: Error finalizing order :: Unable to meet CA SCT embedding requirements
Please see the logfiles in /var/log/letsencrypt for more details.
mình cài đến đây thì bi lỗi này, nhờ bạn xem giúp
1. Reply
  
  Việt Phương Moderator 03/10/2018 at 8:52 am
  
  Bạn cập nhật mã nguồn Let’s như trong bài viết rồi chạy lại lệnh nhé
  Và cho mình kết quả lệnh /opt/letsencrypt/certbot-auto --version
  1. Reply
    
    sơn 10 comment 03/10/2018 at 10:09 am
    
    This page isn’t working
    healthyeatingadvisors.com redirected you too many times.
    sau khi cấu hình xong thì lại bị lỗi này, mình đã restart lại sv, xóa cookie, reset moderm các kiểu mà vẫn bị.
    1. Reply
      
      Việt Phương Moderator 03/10/2018 at 10:17 am
      
      Vậy bạn cấu hình lỗi rồi.
      1. Cung cấp cấu hình Nginx Conf bạn đã cài đặt
      2. Bạn có dùng cloudflare không
      3. Bạn có dùng các plugin SSL hay bảo mật security hay redirect https gì không?
  2. Reply
    
    sơn 10 comment 03/10/2018 at 10:30 am
    
    1.File cấu hình của mình đây nhờ bạn xem dùm. https://drive.google.com/file/d/1tosP7yHTHGyh-cdXmg7QTBNS-hRHHVkD/view?usp=sharing
    2. Mình ko dùng cloundflare
    3. Mình chưa cài plug in gì trên site cả.
  3. Reply
    
    sơn 10 comment 03/10/2018 at 11:12 am
    
    mình thấy chỗ bị sai rồi, cảm ơn bạn nhé
2. Reply
  
  sơn 10 comment 03/10/2018 at 9:04 am
  
  OK, cảm ơn bạn, mình sửa đc lỗi rồi
  1. Reply
    
    sơn 10 comment 03/10/2018 at 11:05 am
    
    mình dùng lênh
    nginx -t
    thì nó ra thế này
    nginx: [warn] conflicting server name “healthyeatingadvisors.com” on 0.0.0.0:443, ignored
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful
    1. Reply
      
      Việt Phương Moderator 03/10/2018 at 11:11 am
      
      Block đầu tiền dùng để redirect thì phải là
      server_name www.healthyeatingadvisors.com; nhé bạn
      1. sơn 10 comment 03/10/2018 at 11:15 am
        
        cảm ơn ban nhé. Cho mình hỏi là cài wordpress bằng Hocvps script rồi thì giờ sv đã tối ưu chưa? và có thể sử dụng được lâu dài không?
      2. Việt Phương Moderator 03/10/2018 at 11:49 am
        
        Chưa tối ưu hoàn toàn theo các mã nguồn riêng nhé nhưng đã hơn mức trung bình. Tùy từng mã nguồn bạn cần tối ưu riêng theo mục đích của mình
        Còn ở mức độ cơ bản thì đảm bảo rồi
Reply

Tuấn Vũ 4 comment 02/10/2018 at 11:25 am

Mình cài như hướng dẫn nhưng chỉ dạng non-www thì ok. Đạt A+
Nhưng phiên bản www thì nó lại báo là không có chứng chỉ
Xin được hỗ trợ khắc phục ạ

Website mình:
https://congnghehoangnguyen.com/
VPS Centos 7 – cài HOCVPS SCRIPT
1. Reply
  
  Việt Phương Moderator 02/10/2018 at 12:00 pm
  
  Cho mình nội dung Nginx Conf bạn đã cấu hình.
2. Reply
  
  Tuấn Vũ 4 comment 02/10/2018 at 12:06 pm
  
  Đây là config của mình:
  
  server {
  listen 443 ssl http2;
  server_name http://www.congnghehoangnguyen.com;
  
  # SSL
  ssl_certificate /etc/letsencrypt/live/congnghehoangnguyen.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/congnghehoangnguyen.com/privkey.pem;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
  
  rewrite ^(.*) https://congnghehoangnguyen.com$1 permanent;
  
  # enable ngx_pagespeed
  pagespeed on;
  
  pagespeed FileCachePath /var/ngx_pagespeed_cache;
  
  # let’s speed up PageSpeed by storing it in the super duper fast memcached
  # pagespeed MemcachedThreads 1;
  # pagespeed MemcachedServers “localhost:11211”;
  
  # disable CoreFilters
  pagespeed RewriteLevel PassThrough;
  
  # enable collapse whitespace filter
  pagespeed EnableFilters collapse_whitespace;
  
  # enable JavaScript library offload
  pagespeed EnableFilters canonicalize_javascript_libraries;
  
  # combine multiple CSS files into one
  pagespeed EnableFilters combine_css;
  
  # combine multiple JavaScript files into one
  pagespeed EnableFilters combine_javascript;
  
  # remove tags with default attributes
  pagespeed EnableFilters elide_attributes;
  
  # improve resource cacheability
  pagespeed EnableFilters extend_cache;
  
  # flatten CSS files by replacing @import with the imported file
  pagespeed EnableFilters flatten_css_imports;
  pagespeed CssFlattenMaxBytes 5120;
  
  # defer the loading of images which are not visible to the client
  pagespeed EnableFilters lazyload_images;
  
  # enable JavaScript minification
  pagespeed EnableFilters rewrite_javascript;
  
  # enable image optimization
  pagespeed EnableFilters rewrite_images;
  
  # pre-solve DNS lookup
  pagespeed EnableFilters insert_dns_prefetch;
  
  # rewrite CSS to load page-rendering CSS rules first.
  pagespeed EnableFilters prioritize_critical_css;
  }
  server {
  listen 80;
  
  server_name congnghehoangnguyen.com http://www.congnghehoangnguyen.com;
  rewrite ^(.*) https://congnghehoangnguyen.com$1 permanent;
  }
  
  server {
  listen 443 ssl default_server;
  
  # access_log off;
  access_log /home/congnghehoangnguyen.com/logs/access.log;
  # error_log off;
  error_log /home/congnghehoangnguyen.com/logs/error.log;
  
  root /home/congnghehoangnguyen.com/public_html;
  index index.php index.html index.htm;
  server_name congnghehoangnguyen.com;
  
  # SSL
  ssl_certificate /etc/letsencrypt/live/congnghehoangnguyen.com/fullchain.pem;
  ssl_certificate_key /etc/letsencrypt/live/congnghehoangnguyen.com/privkey.pem;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
  
  # Improve HTTPS performance with session resumption
  ssl_session_cache shared:SSL:50m;
  ssl_session_timeout 1d;
  
  # DH parameters
  ssl_dhparam /etc/nginx/ssl/dhparam.pem;
  # Enable HSTS
  add_header Strict-Transport-Security “max-age=31536000” always;
  
  location / {
  try_files $uri $uri/ /index.php?$args;
  }
  
  # Custom configuration
  include /home/congnghehoangnguyen.com/public_html/*.conf;
  
  location ~ \.php$ {
  fastcgi_split_path_info ^(.+\.php)(/.+)$;
  include /etc/nginx/fastcgi_params;
  fastcgi_pass 127.0.0.1:9000;
  fastcgi_index index.php;
  fastcgi_connect_timeout 1000;
  fastcgi_send_timeout 1000;
  fastcgi_read_timeout 1000;
  fastcgi_buffer_size 256k;
  fastcgi_buffers 4 256k;
  fastcgi_busy_buffers_size 256k;
  fastcgi_temp_file_write_size 256k;
  fastcgi_intercept_errors on;
  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }
  
  location /nginx_status {
  stub_status on;
  access_log off;
  allow 127.0.0.1;
  allow 45.76.220.28;
  deny all;
  }
  
  location /php_status {
  fastcgi_pass 127.0.0.1:9000;
  fastcgi_index index.php;
  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  include /etc/nginx/fastcgi_params;
  allow 127.0.0.1;
  allow 45.76.220.28;
  deny all;
  }
  
  # Disable .htaccess and other hidden files
  location ~ /\.(?!well-known).* {
  deny all;
  access_log off;
  log_not_found off;
  }
  
  location = /favicon.ico {
  log_not_found off;
  access_log off;
  }
  
  location = /robots.txt {
  allow all;
  log_not_found off;
  access_log off;
  }
  
  location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
  gzip_static off;
  add_header Pragma public;
  add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
  access_log off;
  expires 30d;
  break;
  }
  
  location ~* \.(txt|js|css)$ {
  add_header Pragma public;
  add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
  access_log off;
  expires 30d;
  break;
  }
  }
  
  server {
  listen 2018;
  
  access_log off;
  log_not_found off;
  error_log /home/congnghehoangnguyen.com/logs/nginx_error.log;
  
  root /home/congnghehoangnguyen.com/private_html;
  index index.php index.html index.htm;
  server_name congnghehoangnguyen.com;
  
  auth_basic “Restricted”;
  auth_basic_user_file /home/congnghehoangnguyen.com/private_html/hocvps/.htpasswd;
  
  location / {
  autoindex on;
  try_files $uri $uri/ /index.php;
  }
  
  location ~ \.php$ {
  fastcgi_split_path_info ^(.+\.php)(/.+)$;
  include /etc/nginx/fastcgi_params;
  fastcgi_pass 127.0.0.1:9000;
  fastcgi_index index.php;
  fastcgi_connect_timeout 1000;
  fastcgi_send_timeout 1000;
  fastcgi_read_timeout 1000;
  fastcgi_buffer_size 256k;
  fastcgi_buffers 4 256k;
  fastcgi_busy_buffers_size 256k;
  fastcgi_temp_file_write_size 256k;
  fastcgi_intercept_errors on;
  fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
  }
  
  location ~ /\. {
  deny all;
  }
  }
  1. Reply
    
    Việt Phương Moderator 02/10/2018 at 1:51 pm
    
    Chứng chỉ bạn chỉ issue cho non-www thì đâu áp dụng được cho www. Bên cạnh đó bỏ default_server nếu không phải domain chính cài HocVPS
Reply

Thang 22 comment 28/09/2018 at 4:54 pm

[root@vultr home]# nginx -t
nginx: [emerg] “server” directive is not allowed here in /home/bahramansaffronvietnam.com/public_html/bahramansaffronvietnam.com.conf:1
nginx: configuration file /etc/nginx/nginx.conf test failed

lỗi này nó bào gì vậy các bác, mình có cần cấu hình y trang như trên trong đây ko ạ/home/bahramansaffronvietnam.com/public_html/bahramansaffronvietnam.com.conf
1. Reply
  
  Việt Phương Moderator 29/09/2018 at 8:03 am
  
  Bình thường chỉ file /etc/nginx/conf.d/bahramansaffronvietnam.com.conf cấu hình server_name thôi
  Nginx không cho phép cấu hình như thế trong /home/bahramansaffronvietnam.com/public_html/bahramansaffronvietnam.com.conf
  Nên bạn kiểm tra lại file trên và xóa đi nếu có cấu hình server_name nhé
  Thường file trong thư mục web chỉ cấu hình phụ thêm cho cấu hình gốc ở /etc/nginx/conf.d/
Reply

Khánh 32 comment 28/09/2018 at 3:43 pm

E bị thông báo này
nginx: [warn] conflicting server name “detoxtainha.com” on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name “kinhdoanhquanao.com” on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name “sendy.blog” on 0.0.0.0:443, ignored
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Và bây giờ vào các web thì vẫn được nhưng vào trang quản trị domain.com:2018 thì lại báo lỗi 403.
bây giờ xử lý ntn được a
1. Reply
  
  Việt Phương Moderator 29/09/2018 at 8:01 am
  
  Bạn kiểm tra lại toàn bộ Nginx Conf trong thư mục /etc/nginx/conf.d nhé
  Có nhiều hơn 1 block cấu hình cho server_name detoxtainha.com listen port 443. Tương tự với cả 2 domain dưới
  Nginx sẽ đọc block nào viết trc theo thứ tự trên xuống dưới nhưng việc 2 block cùng quy định 1 thứ sẽ gây xung đột
  1. Reply
    
    Nguyễn Duy Khánh 32 comment 29/09/2018 at 1:43 pm
    
    E sửa thì ko còn 3 dòng trên nữa. Nhưng tìm /etc/nginx/conf.d thì nó lại báo là ko có thư mục này.
    Với cái domain mặc định bây giờ đang biến mất thì làm sao mở lại được a nhỉ domainchinh.com:2018 hiện tại báo lỗi 500 a ạ
    1. Reply
      
      Việt Phương Moderator 29/09/2018 at 3:04 pm
      
      1. Bạn cho mình kết quả của ls -al /etc/nginx/conf.d/
      2. default_server bạn đang để ở website nào? Cấu hình Nginx ban đầu sẽ có 1 website có phần đó, đồng thời là website cấu hình HocVPS Admin
      1. Nguyễn Duy Khánh 32 comment 29/09/2018 at 9:08 pm
        
        total 40
        drwxr-xr-x 2 root root 4096 Sep 28 19:35 .
        drwxr-xr-x 4 root root 4096 Sep 28 13:18 ..
        -rw-r–r– 1 root root 0 Sep 26 22:31 default.conf
        -rw-r–r– 1 root root 4495 Sep 28 17:28 detoxtainha.com.conf
        -rw-r–r– 1 root root 4759 Sep 28 17:35 khanh.org.conf
        -rw-r–r– 1 root root 4587 Sep 28 15:47 kinhdoanhquanao.com.conf
        -rw-r–r– 1 root root 4390 Sep 28 15:48 sendy.blog.conf
        
        đây là kq của file conf.d
        
        website defualt là khanh.org a ơi :))
        A giúp e với ko e phải xóa VPS đi cài lại mất
      2. Việt Phương Moderator 29/09/2018 at 9:37 pm
        
        1. Như vậy vẫn tồn tại thư mục /etc/nginx/conf.d chứ đâu phải không có như bạn bảo
        2. Bạn cung cấp nội dung Nginx Conf của từng site, paste qua http://pastebin.com/ cho gọn
      3. Nguyễn Duy Khánh 32 comment 29/09/2018 at 9:41 pm
        
        E cài được rồi a ơi, là do file .conf trong các domain con, e copy nguyên của site chính nên nó bị loạn, giờ thì bình thường rồi. Cám ơn a
Reply

Hung 16 comment 28/09/2018 at 12:29 pm

Mình đã làm thành công. Bh mình muốn add thêm 1 site nữa vào vps và muốn cài thêm ssl đc ko bạn.
1. Reply
  
  Việt Phương Moderator 28/09/2018 at 12:29 pm
  
  Cài được bình thường nhé bạn
  1. Reply
    
    Hung 16 comment 28/09/2018 at 6:32 pm
    
    Bạn có thể hướng dẫn mình được ko
    1. Reply
      
      Việt Phương Moderator 29/09/2018 at 8:05 am
      
      HocVPS thì thêm website bằng menu 2 nhé bạn. Xong bạn cài SSL như bình thường
      1. Hưng 16 comment 11/10/2018 at 11:01 pm
        
        Cài lại từ bước 1 phải không bạn
      2. Việt Phương Moderator 12/10/2018 at 8:57 am
        
        Từ bước issue chứng chỉ nhé bạn
      3. Hưng 16 comment 11/10/2018 at 11:02 pm
        
        Làm lại từ bước 1 hả bạn
Reply

Hung 16 comment 28/09/2018 at 1:19 am

Mình đã làm thành công cho 1 site rồi.bây giờ mình muốn add thêm 1 domain nữa vào vps và cài ntn nhỉ.
Reply

Anh Z 56 comment 27/09/2018 at 5:47 pm

Mình làm theo hướng dẫn, đến lệnh cuối cùng là khởi động lại vps thì nó lỗi vầy 😀

“Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.”

Ad cho mình hỏi làm sao để khắc phục ạ ?

Tks ad
1. Reply
  
  Việt Phương Moderator 27/09/2018 at 6:06 pm
  
  nginx -t và serivce nginx status của bạn ra kết quả gì
  1. Reply
    
    Pham Thanh 8 comment 10/10/2018 at 1:25 am
    
    Mình chạy nginx -t => sau đó nhập pas vào thì thấy báo 2 dòng syntax is ok và test is successful
    Còn khi chạy service nginx status thì thấy báo :
    
    [root@tokyo_centos6_2g home]# service nginx status
    Redirecting to /bin/systemctl status nginx.service
    nginx.service – nginx – high performance web server
    Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
    Active: failed (Result: exit-code) since Wed 2018-10-10 01:14:28 +07; 5min ago
    Docs: http://nginx.org/en/docs/
    Process: 764 ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf (code=exited, status=1/FAILURE)
    
    Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: Starting nginx – high performance web server…
    Oct 10 01:14:28 tokyo_centos6_2g nginx[764]: Enter PEM pass phrase:
    Oct 10 01:14:28 tokyo_centos6_2g nginx[764]: nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/etc/…ib)
    Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: nginx.service: control process exited, code=exite…s=1
    Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: Failed to start nginx – high performance web server.
    Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: Unit nginx.service entered failed state.
    Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: nginx.service failed.
    Hint: Some lines were ellipsized, use -l to show in full.
    1. Reply
      
      Việt Phương Moderator 10/10/2018 at 7:57 am
      
      systemctl status nginx -l của bạn kết quả gì?
      Dòng này báo lỗi này nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/etc/…ib)
Reply

Nguyễn Duy Khánh 32 comment 27/09/2018 at 2:08 pm

Đã làm được rồi. Khó hơn dùng Cpanel 1 tý nhưng đi về bản chất thì sướng hơn.
Reply

Nguyễn Duy Khánh 32 comment 27/09/2018 at 12:41 pm

Phần cuối cùng e gặp lỗi này, a cho e biết e bị sai ở đoạn nào a nhỉ?
nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/itea.com.vn/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/itea.com.vn/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
1. Reply
  
  Việt Phương Moderator 27/09/2018 at 1:58 pm
  
  Không tồn tại chứng chỉ itea.com.vn. Bạn đã issue chứng chỉ chưa?.
  /opt/letsencrypt/certbot-auto certificates
  1. Reply
    
    Nguyễn Duy Khánh 32 comment 27/09/2018 at 2:21 pm
    
    Lúc cài đặt e chưa tắt đám mây bên clound a ơi. e làm xong rồi. Cám ơn a đã hỗ trợ
Reply

Khánh 32 comment 25/09/2018 at 8:33 pm

E gặp vấn đề là màn hình View để gõ lệnh (giống MS DOS ngày xưa) không paste được. bình thường e làm theo hocvps toàn gõ chay. Bài này lệnh dài quá. làm thế nào để e paste được a Luân ơi
1. Reply
  
  Việt Phương Moderator 25/09/2018 at 11:27 pm
  
  Bạn dùng trình SSH gì? Hầu hết là chuột phải tương đương paste nhé
  1. Reply
    
    Nguyễn Duy Khánh 32 comment 27/09/2018 at 12:41 pm
    
    E cài được Zoc rồi. ah huhu
Reply

Công Đạt 4 comment 24/09/2018 at 7:42 pm

Mình đang tìm hiểu về VPS nên chưa biết gì? Mình cài đến đây rồi làm sao cài như hướng dẫn đc a?
Cấu hình SSL xử lý các request

Trong block server { … } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;

+ Sau dòng server_name hocvps.com;

https://uphinhnhanh.com/image/8TcXKw
1. Reply
  
  Việt Phương Moderator 24/09/2018 at 8:57 pm
  
  Hệ thống bạn là hệ thống nào? Vì như hình file đó không có nội dung nào để bạn chỉnh sửa cả
  Cho mình kết quả của
  ls -al /etc/nginx/conf.d
  whereis nginx
Reply

Khanh Hồ 4 comment 24/09/2018 at 4:54 pm

Chào Admin, mình đã tạo SSL cho tên miền chính thành công rồi, nhưng muốn cài thêm cho tên miền cho một website khác theo lệnh hướng dẫn
# Stop Nginx
service nginx stop

# Install Let’s Encrypt
/opt/letsencrypt/certbot-auto certonly –standalone

Nhưng bị thông báo lỗi như này Admin giải đáp giúp mình
https://pastebin.com/wsyZ1qjC
1. Reply
  
  Việt Phương Moderator 24/09/2018 at 5:03 pm
  
  1. Bạn trỏ domain về VPS và đã tắt CDN Cloudflare(nếu có) chưa? Mình kiểm tra thì bạn trỏ về 45.168.77.202, hình như VPS đang off?
  2. Kiểm tra hệ thống bạn đang dùng firewalld hay iptables?
  1. Reply
    
    Khanh Hồ 4 comment 24/09/2018 at 8:45 pm
    
    Hiện mình đã trỏ đầy đủ record www cname A về vps mình chưa cài cloudflare cho domain, vẫn trỏ trực tiếp từ ncc về
    1. Reply
      
      Việt Phương Moderator 24/09/2018 at 9:00 pm
      
      Vậy tiếp phần 2 đi, kiểm tra mình hệ thống firewall. Nếu là firewalld chạy các lệnh sau rồi cài đặt lại chứng chỉ
      firewall-cmd –add-service=http firewall-cmd –add-service=https firewall-cmd –runtime-to-permanent
Reply

Kien Le 2 comment 24/09/2018 at 1:19 am

Mình đang chạy 2 web trên cùng 1 máy chủ
Khi truy cập vào domain1.com mình đã thêm ssl ok
Nhưng khi thêm ssl cho domain2.net thì https://domain2.net sẽ tự chuyển sang trang còn lại???!??
Mod giúp mình với huhu
1. Reply
  
  Việt Phương Moderator 24/09/2018 at 9:05 am
  
  Cho mình Nginx Conf của 2 domain bạn đã cài và kết quả của
  nginx -t
  1. Reply
    
    Kien Le 2 comment 24/09/2018 at 10:02 am
    
    domain 1
    https://pastebin.com/CF8pKYrx
    domain 2
    https://pastebin.com/14s5qqqf
    nginx -t
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful
    1. Reply
      
      Việt Phương Moderator 24/09/2018 at 10:38 am
      
      Domain 1: Chưa có block redirect HTTPS WWW về HTTPS NON-WWW. Đó chính là block đầu tiên trong đoạn config mẫu của bài viết
      Domain 2: Chưa cài HTTPS tí gì, tức chưa có block 443 nào (cả www và non-www). Việc bạn cài SSL vào block 80 HTTP không giải quyết vấn đề
      Và như vậy, domain 2 chưa hề có HTTPS.
      Nên khi bạn cố truy cập HTTPS của domain2 –> kết quả không có gì –> không có gì show default_server(chính là domain1)
Reply

NAM NGUYEN KHAC 4 comment 21/09/2018 at 8:56 pm

Chào bạn, lại làm phiền bạn chút rồi ! Mình cái ssl, vào web thì không vào được. Mình xóa luôn data vs Host. Sau đó mình setup host mới, nhưng domain của mình vẫn ở dạng https, mà không chuyển về http. không kết nối tới host được.
Bạn có cách nào khác phục được vấn đề này không ?
1. Reply
  
  Việt Phương Moderator 21/09/2018 at 10:52 pm
  
  Bạn xóa cache hoặc đổi trình duyệt đi. Vì HSTS nên trình duyệt sẽ lưu thông tin SSL của website
Reply

nguyen khac nam 4 comment 20/09/2018 at 2:10 pm

Bạn Phương ơi, cho mình hỏi chút. Mình cài đúng như hướng dẫn của bạn, Hệ thống báo lại :
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
—
sau đó mình vào lại web, web báo không ” This page isn’t working ”
—
Tuy nhiên mình vào các phần File Manager lại vào bình thường.
Bạn xem giúp mình với nhé !
– Code Nginx : https://pastebin.com/XrPJ9qxm
1. Reply
  
  Việt Phương Moderator 20/09/2018 at 2:15 pm
  
  1. Bạn có bật Cloudflare CDN đám mây vàng không?
  2. Bạn có dùng plugin redirect HTTPS hay security gì không (đối với WP)
  1. Reply
    
    nguyen khac nam 4 comment 20/09/2018 at 2:27 pm
    
    Mình chưa dùng coudflare, và cũng không có plugin gì cả ! mình dùng cài ssl theo hướng dẫn của bạn mấy web rồi, đều ok hết. Chỉ web này, mình copy toàn bộ đoạn mã cuối và thay tên domain của mình vào. Thì lại gặp lỗi như thế này ! bạn giúp mình với !
    1. Reply
      
      Việt Phương Moderator 20/09/2018 at 2:58 pm
      
      Domain bạn ban đầu là non-www hay www? Và bạn dùng mã nguồn gì? trùng với mã nguồn các web đều ok không?
  2. Reply
    
    nguyen khac nam 4 comment 20/09/2018 at 3:07 pm
    
    domain của mình non-www, mình cài wordpress, mình cài hoàn toàn từ hocvps script.
Reply

hugn 16 comment 19/09/2018 at 3:18 am

cua mình bước kt bị báo như thế này
nginx: [warn] server name “/etc/letsencrypt/live/domain cua minh/fullchain.pem” has suspicious symbols in /etc/nginx/conf.d/pvh.vn.conf:6
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
1. Reply
  
  Việt Phương Moderator 19/09/2018 at 10:06 am
  
  Có kí tự đáng ngờ trong Nginx Conf của bạn, ở dòng 6. Bạn kiểm tra lại nhé
  1. Reply
    
    hung 16 comment 19/09/2018 at 2:01 pm
    
    mình quên dùng dấu ; kết thúc câu lệnh
Reply

Dung Le 6 comment 14/09/2018 at 4:24 pm

Các bạn vui lòng xem giúp mình lỗi sau với:
http://prntscr.com/kuamui
Mình không biết là Let’s Encrypt có update gì mới không, mà bây giờ khi cập nhật lại, hoặc cài cho domain mới đều dính vụ verify này. Chân thành cảm ơn các bạn.
1. Reply
  
  Việt Phương Moderator 14/09/2018 at 5:51 pm
  
  Domain bạn đã trỏ về IP VPS chưa? Và đã tắt CDN Cloudflare chưa(nếu có)
  1. Reply
    
    Dung Le 6 comment 14/09/2018 at 8:25 pm
    
    Mình trỏ về VPS, và không có dùng Cloudflare.
    Hiện tượng này mình mới bị gần đây thôi, chứ đợt trước vẫn thêm domain, cài ssl bình thường. Mình tìm trên mạng thì cũng chung chung, không fix được.
2. Reply
  
  Dung Le 6 comment 14/09/2018 at 8:49 pm
  
  Cuối cùng thì mình đã tìm ra lỗi, do dính firewall:
  
  [root@server public_html]# service nginx stop
  Redirecting to /bin/systemctl stop nginx.service
  [root@server public_html]# firewall-cmd –add-service=http
  success
  [root@server public_html]# firewall-cmd –add-service=https
  success
  [root@server public_html]# firewall-cmd –runtime-to-permanent
  success
  [root@server public_html]# /opt/letsencrypt/certbot-auto certonly –standalone
  Saving debug log to /var/log/letsencrypt/letsencrypt.log
  Plugins selected: Authenticator standalone, Installer None
  Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
  to cancel): domain.net http://www.domain.net
  Obtaining a new certificate
  Performing the following challenges:
  http-01 challenge for domain.net
  http-01 challenge for http://www.domain.net
  Waiting for verification…
  Cleaning up challenges
  
  IMPORTANT NOTES:
  – Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/domain.net/fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live/domain.net/privkey.pem
  Your cert will expire on 2018-12-13. To obtain a new or tweaked
  version of this certificate in the future, simply run certbot-auto
  again. To non-interactively renew *all* of your certificates, run
  “certbot-auto renew”
  – If you like Certbot, please consider supporting our work by:
  
  Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
  Donating to EFF: https://eff.org/donate-le
  
  [root@server public_html]#
  1. Reply
    
    Việt Phương Moderator 15/09/2018 at 6:49 am
    
    Ơ, nhưng website bạn vẫn vào bình thường trc khi issue cert đúng ko? Nếu vậy thì port 80 đang mở mà
    1. Reply
      
      Dung Le 6 comment 15/09/2018 at 7:22 am
      
      Đúng vậy, trên VPS vẫn đang chạy web khác bình thường. Nhưng cuối cùng, mình chạy các lệnh trên thì ok.
Reply

vu don 20 comment 14/09/2018 at 2:15 pm

mình cài hocvps xong truy cập website đã thấy welcome Nginx
cài ssl cho domain đó
chưa cài mã nguồn gì cả.
truy cập ssl toàn báo lỗi không truy cập được không biết lý do vì sao ạ.
domain teehz dot com
1. Reply
  
  Việt Phương Moderator 14/09/2018 at 3:01 pm
  
  Cung cấp mình phần SSL bạn đã cài đặt. Paste qua pastebin.com cho gọn
  1. Reply
    
    vũ đồn 20 comment 14/09/2018 at 4:39 pm
    
    https://pastebin.com/A2jJhUhL
    bác check giúp e với ạ
    1. Reply
      
      Việt Phương Moderator 14/09/2018 at 5:49 pm
      
      listen 80 default_server; chuyển thành listen 443 ssl default_server; nhé bạn. Xong restart Nginx đi
Reply

khoai 3 comment 13/09/2018 at 11:50 am

Cho mình hỏi, ở bước này:
/opt/letsencrypt/certbot-auto certonly –standalone
nó yêu cầu nhập email thì email đấy mình lấy ở đâu vậy bạn?
Mình nhập email cá nhân của mình vào mà ko được.

Xin cám ơn.
1. Reply
  
  Việt Phương Moderator 13/09/2018 at 12:03 pm
  
  Nhập email của bạn nhé. Bạn nhập mail gặp thông báo gì?
2. Reply
  
  khoai 3 comment 13/09/2018 at 12:10 pm
  
  mình bị lỗi vầy
  Non-ASCII domain names not supported. To issue for
  an Internationalized Domain Name, use Punycode.
  1. Reply
    
    Việt Phương Moderator 13/09/2018 at 1:37 pm
    
    Bạn tắt unikey khi gõ domain nhé, nghi là do khi bạn www
Reply

luan 12 comment 11/09/2018 at 4:19 pm

nó báo lỗi, sửa sao vậy anh

Cleaning up challenges
Failed authorization procedure. tinbinhdinh.info (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid
response from http://tinbinhdinh.info/.well-known/acme-challenge/MaoNVr01w2C57fCRZ-XZhuz1RD9HRCTEgruecVaxZYI: ”

300 Multiple Choices

Multiple C”, http://www.tinbinhdinh.info (http-01): urn:ietf:params:acme:error:dns :: DNS problem: NXDOMAIN looking up A for http://www.tinbinhdinh.info

IMPORTANT NOTES:
– The following errors were reported by the server:

Domain: tinbinhdinh.info
Type: unauthorized
Detail: Invalid response from
http://tinbinhdinh.info/.well-known/acme-challenge/MaoNVr01w2C57fCRZ-XZhuz1RD9HRCTEgruecVaxZYI:
”

300 Multiple Choices

Multiple C”

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
– The following errors were reported by the server:

Domain: http://www.tinbinhdinh.info
Type: None
Detail: DNS problem: NXDOMAIN looking up A for http://www.tinbinhdinh.info
– Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
1. Reply
  
  Việt Phương Moderator 11/09/2018 at 4:39 pm
  
  Bạn chưa tạo và trỏ record www về IP VPS nên Let’s không thể issue cert cho www.tinbinhdinh.info được
Reply

Ngô Văn Cương 142 comment 10/09/2018 at 3:20 pm

Dạo này mình cứ gia hạn là gặp phải lỗi này. Phải chờ 1 thời gian hơn 1-2 tiếng mới được.
https://imgur.com/a/j0P8f6M
1. Reply
  
  Việt Phương Moderator 11/09/2018 at 10:31 am
  
  Bạn kiểm tra log xem thời điểm đó có vấn đề. Còn trên ảnh là kết nối giữa server với CA có vấn đề nên không xác minh cert đc
Reply

Hưng 16 comment 06/09/2018 at 3:32 pm

Mình lệnh mkdir /etc/nginx/ssl/ báo lỗi mkdir: cannot create directory ‘/etc/nginx/ssl/’: File exists
1. Reply
  
  Việt Phương Moderator 06/09/2018 at 4:44 pm
  
  Thư mục /etc/nginx/ssl đã tồn tại nên nó sẽ không tạo nữa. Bạn có thể thực hiện bước tiếp theo
Reply

Đức 2 comment 06/09/2018 at 8:17 am

Mình đã cấu hình thành công cho tên miền. Nhưng các tên miền khác không cài SSL nằm chung server thì bị lỗi 502 Bad Gateway. Có bạn nào từng bị vấn đề này rồi hướng dẫn giúp mình với.
Cám ơn bạn!
1. Reply
  
  Việt Phương Moderator 06/09/2018 at 8:52 am
  
  Lỗi 502 Bad Gateway do nhiều vấn đề nên bạn cần kiểm tra trạng thái của Nginx và PHP-FPM đồng thời xem cả log 2 service này
  Kiểm tra lại cấu hình SSL bạn đã cài đặt
  1. Reply
    
    Đức 2 comment 08/09/2018 at 9:39 pm
    
    Mình đã sửa được lỗi này rồi: set fastcgi_pass là 127.0.0.1:9000;
    
    nhưng bây giờ không truy cập được phpmyadmin.
    
    Đây là file cấu hình của domain chính. Nhờ bạn xem giúp mình với. Cám ơn bạn.
    
    server {
    listen 80;
    server_name domain.com http://www.domain.com;
    rewrite ^(.*) https://domain.com$1 permanent;
    }
    
    server {
    listen 443 ssl;
    server_name http://www.domain.com;
    
    # SSL
    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    
    rewrite ^(.*) https://domain.com$1 permanent;
    }
    
    server {
    listen 443 ssl default_server;
    
    # access_log off;
    access_log /home/domain.com/logs/access.log;
    # error_log off;
    error_log /home/domain.com/logs/error.log;
    
    root /home/domain.com/public_html;
    index index.php index.html index.htm;
    server_name domain.com;
    
    # SSL
    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    
    # Improve HTTPS performance with session resumption
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;
    
    # DH parameters
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    # Enable HSTS
    add_header Strict-Transport-Security “max-age=31536000” always;
    
    location / {
    try_files $uri $uri/ /index.php?$args;
    }
    
    # Custom configuration
    include /home/domain.com/public_html/*.conf;
    
    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/domain.com/public_html$fastcgi_script_name;
    }
    location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;
    deny all;
    }
    location /php_status {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME /home/domain.com/public_html$fastcgi_script_name;
    include /etc/nginx/fastcgi_params;
    allow 127.0.0.1;
    deny all;
    }
    # Disable .htaccess and other hidden files
    location ~ /\.(?!well-known).* {
    deny all;
    access_log off;
    log_not_found off;
    }
    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }
    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }
    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    
    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }
    
    server {
    listen 2018 ssl;
    
    access_log off;
    log_not_found off;
    error_log /home/domain.com/logs/nginx_error.log;
    
    root /home/domain.com/private_html;
    index index.php index.html index.htm;
    server_name domain.com;
    
    error_page 497 https://$server_name:$server_port$request_uri;
    
    ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    
    auth_basic “Restricted”;
    auth_basic_user_file /home/domain.com/private_html/hocvps/.htpasswd;
    
    location / {
    autoindex on;
    try_files $uri $uri/ /index.php;
    }
    
    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/domain.com/private_html$fastcgi_script_name;
    }
    
    location ~ /\. {
    deny all;
    }
    }
    1. Reply
      
      Việt Phương Moderator 09/09/2018 at 9:15 am
      
      Không hiểu ý bạn lắm. Cấu hình gốc của HocVPS là fastcgi_pass 127.0.0.1:9000; rồi mà, có sửa gì đâu nhỉ
      Và cấu hình SSL trên của bạn là domain phụ hay domain chính cài HocVPS?
      Còn PHPMyAdmin bạn truy cập gặp thông báo gì
Reply

ha 37 comment 04/09/2018 at 10:57 pm

Mình chưa hiểu cái đoạn không thiết lập port admin để login = ip là bỏ cả cái đoạn
server {
listen 2018 ssl;
đến cuối hay bỏ đoạn trong mà Luân viết phía trên, hay là bỏ đoạn bôi đỏ thế?
1. Reply
  
  Việt Phương Moderator 05/09/2018 at 8:33 am
  
  Không thiết lập tức cả phần server chứa 2018 sẽ không chỉnh sửa gì bạn nhé
Reply

Huy 14 comment 04/09/2018 at 10:37 pm

Bạn ơi cho mình hỏi. Nay mình tạo vps và test nhiều nên giờ khi cài ssl Let’s Encrypt nó báo quá giới hạn số lượng ssl cho tên miền rồi.

Vậy giờ mình muốn cài lại chứng chỉ cũ trước đó thì làm thế nào bạn?
1. Reply
  
  Việt Phương Moderator 05/09/2018 at 8:34 am
  
  Bạn đợi 5 ngày nhé
Reply

QUANG TRAN NHAT 3 comment 03/09/2018 at 11:33 am

Hi cả nhà,
Khi mình thử renew thì bị lỗi này:

HTTPSConnectionPool(host=’acme-v02.api.letsencrypt.org’, port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError(‘: Failed to establish a new connection: [Errno -2] Name or service not known’,)). Skipping.

Mình đang xài server Vultr ở Singapore, không biết lỗi này của Let’s Encrypt hay là server ạ?
Mong mọi người hỗ trợ mình với 🙂
1. Reply
  
  Việt Phương Moderator 03/09/2018 at 1:34 pm
  
  Bạn post full thông báo lúc renew thủ công mình xem
  1. Reply
    
    QUANG TRAN NHAT 3 comment 03/09/2018 at 10:54 pm
    
    Mình cũng không rõ là lỗi do đâu nhưng sau khi tham khảo thread này https://community.letsencrypt.org/t/max-retries-exceeded-with-acme-v01-api-letsencrypt-org-443/10711/15 thì chỉ cần chạy “curl https://acme-v02.api.letsencrypt.org/directory” rồi chạy lại câu lệnh renew thủ công là được 🙂
    1. Reply
      
      Việt Phương Moderator 04/09/2018 at 9:40 am
      
      Okie, cám ơn bạn nhé. Vậy chắc là số lần gia hạn với api-v01 quá rate limit nên chặn. Khi đó bạn chuyển đổi sang đăng kí qua api-v02.
      Bạn làm thành công rồi chứ
Reply

shin 10 comment 03/09/2018 at 3:44 am

sau 1 hồi làm theo hướng dẫn là ko vô dc web
lệnh nginx -t nó ra
[root@vultr home]# nginx -t
nginx: [emerg] unexpected end of file, expecting “;” or “}” in /etc/nginx/conf.d/quyetchien.net.conf:174
nginx: configuration file /etc/nginx/nginx.conf test failed
1. Reply
  
  Việt Phương Moderator 03/09/2018 at 7:55 am
  
  Dòng 174 thiếu dấu kết thúc dòng nhé bạn
Reply

thd 3 comment 01/09/2018 at 12:51 pm

Em bị gặp thông báo này là sao anh?

Sep 01 12:48:18 domain.com systemd[1]: Started Command Scheduler.
Sep 01 12:48:18 domain.com systemd[1]: Starting Command Scheduler…
Sep 01 12:48:18 domain.com crond[521]: (CRON) INFO (RANDOM_DELAY will be scaled with factor 77% if used.)
Sep 01 12:48:18 domain.com crond[521]: (CRON) INFO (running with inotify support)
1. Reply
  
  Việt Phương Moderator 01/09/2018 at 7:46 pm
  
  Chắc bình thường. Mình không thấy thông báo gì đặc biệt
Reply

Hoàng 4 comment 30/08/2018 at 10:09 am

Hi bạn!
Khi thêm tên miền mới mình đến đoạn # Install Let’s Encrypt
/opt/letsencrypt/certbot-auto certonly –standalone
Thì bão lỗi Couldn’t download https://raw.githubusercontent.com/certbot/certbot/v0.26.1/letsencrypt-auto-source/letsencrypt-auto. HTTP Error 503: Backend is unhealthy

Bị lỗi này phải làm sao bạn. Thank!
1. Reply
  
  Việt Phương Moderator 30/08/2018 at 11:45 am
  
  Bạn có dùng Varnish hay gì làm front-end không. Và bạn chạy lại thử xem, nghi có vấn đề kết nối đến source
Reply

Viet Dev 1 comment 29/08/2018 at 11:16 am

Mình đã làm được rồi. https://mauwebdev.com . Tks ad nhé.

Cài đặt chứng chỉ Let’s Encrypt SSL trên server HocVPS Script

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt certbot

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

2/ Cấu hình Nginx

3/ Cập nhật cấu hình trong Google Search Console và Analytics

4/ Tự động gia hạn Let’s Encrypt

5/ Xóa chứng chỉ Let’s Encrypt

6/ Một số vấn đề gặp phải

Comment của bạn Cancel reply

2,208 Comments

Comment mới

Bài mới

Liên kết bạn bè

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt certbot

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

2/ Cấu hình Nginx

3/ Cập nhật cấu hình trong Google Search Console và Analytics

4/ Tự động gia hạn Let’s Encrypt

5/ Xóa chứng chỉ Let’s Encrypt

6/ Một số vấn đề gặp phải

Bài viết liên quan:

Comment của bạn Cancel reply

2,208 Comments

Comment mới

Bài mới

Liên kết bạn bè