Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Thỉnh thoảng bạn nên cập nhật mã nguồn Let’s Encrypt từ Github để có được tính năng mới nhất. Hoặc đôi khi chứng chỉ Lets Encrypt không tự động gia hạn mặc dù đã kích hoạt crontab.

# cd /opt/letsencrypt && git pull

– Nếu gặp thông báo lỗi như bên dưới:

error: Your local changes to 'letsencrypt-auto' would be overwritten by merge. Aborting.
Please, commit your changes or stash them before you can merge.

bạn sẽ cần sử dụng dòng lệnh này:

# cd /opt/letsencrypt && git reset --hard && git pull

– Bạn có thể thiết lập tự động cập nhật mã nguồn Let’s Encrypt qua crontab.

# EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal

0 0 1 * * cd /opt/letsencrypt && git pull

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option --standalone

Cho đến tháng 5, 2016, Certbot được gọi với tên letsencrypt hoặc letsencrypt-auto, tùy thuộc vào cách cài đặt. Một số bài hướng dẫn trên Internet vẫn sử dụng tên cũ này, trong bài hướng dẫn này sẽ sử dụng certbot-auto, tất cả đều tương tự nhau.

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám thì mới cài đặt được Let’s Encrypt.
# Stop Nginx
service nginx stop

# Issue SSL Let's Encrypt
/opt/letsencrypt/certbot-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop

# Install Let's Encrypt
/opt/letsencrypt/certbot-auto certonly --standalone

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.
Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.

Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Chỉnh sửa cấu hình domain bằng Nano Editor

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Lưu ý:

  • Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
  • Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link http://IP:port để vào khu vực quản trị HocVPS Script Admin.

Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log         off;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

server {
	listen 443 ssl default_server;
		
	# access_log off;
	access_log /home/hocvps.com/logs/access.log;
	# error_log off;
    	error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	# Disable .htaccess and other hidden files
	location ~ /\.(?!well-known).* {
		deny all;
		access_log off;
		log_not_found off;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log /home/hocvps.com/logs/nginx_error.log;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;

        error_page 497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
     	location / {
		autoindex on;
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:

  • Không thiết lập HocVPS Admin Port
  • Bỏ tham số default_server bên cạnh listen 443

_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port
  • Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.

_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Tham khảo thêm Tối ưu HTTPS trên Nginx.


Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

# EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.

Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 6.Một số vấn đề gặp phải

5/ Xóa chứng chỉ Let’s Encrypt

Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:

# Remove Let's Encrypt
/opt/letsencrypt/certbot-auto delete

Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.

6/ Một số vấn đề gặp phải

Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service

Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.

# cd /opt/letsencrypt && git pull

Nếu gặp thông báo lỗi thì sử dụng lệnh này: # cd /opt/letsencrypt && git reset --hard && git pull

Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau:
Kiểm tra nội dung /var/spool/mail/root thấy:

Failed to find executable /usr/sbin/service in PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
Unable to find pre-hook command /usr/sbin/service in the PATH.
(PATH is /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)

Kiểm tra nội dung /var/log/cron thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung /var/log/le-renew.log và bên trong /var/log/letencrypt không thấy gì khả nghi.

– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.

# whereis service
service: /sbin/service /usr/share/man/man8/service.8.gz
# echo $PATH
/usr/bin:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

Có thể thấy, lệnh service nằm trong /sbin/service, không thuộc biến môi trường PATH. Crontab chỉ tìm /usr/sbin/service và không thấy.

– Giải pháp::
Bạn cần sử dụng đường dẫn cụ thể để chạy lệnh service trong crontab. Vị trí sẽ tùy thuộc vào từng hệ thống, kiểm tra bằng # whereis service.

Ví dụ, khi là /sbin/service thì câu lệnh chèn vào crontab sẽ như sau:

30 2 * * * /opt/letsencrypt/certbot-auto renew --pre-hook "/sbin/service nginx stop" --post-hook "/sbin/service nginx start" >> /var/log/le-renew.log

– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:

Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Hoặc expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink
– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

Kiểm tra danh sách cert trong VPS

#  /opt/letsencrypt/certbot-auto certificates
Found the following certs:
  Certificate Name: hocvps.com
    Domains: hocvps.com www.hocvps.com
    Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------

– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)

# cd /opt/letsencrypt
# ./certbot-auto delete --cert-name hocvps.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Deleted all files relating to certificate hocvps.com.
-------------------------------------------------------------------------------

– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS

# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)
#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error

– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ

  • CentOS6 chứng chỉ lưu tại /etc/ssl/certs/ca-bundle.crt
  • CentOS7 chứng chỉ lưu tại /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.

# yum reinstall -y ca-certificates

– Đối với lỗi (35) – Cập nhật NSS

# yum update nss -y

Chúc bạn thành công.

Comment của bạn

Your email address will not be published. Required fields are marked *

1,888 Comments

  1. ezlasso 15 comment

    Hi Luân
    Mình cài let’scencrypt đã hoàn thành xong. Lúc đầu còn vào được firemanager,hay phpMyAdmin nhưng sau 3-4 ngày mình lại không còn vào được nữa
    Mình có dùng cloudflare hiện đã tắt hết đám mây màu vàng rồi: http://prntscr.com/l7c8h3
    File code mình thêm vào như sau: https://pastebin.com/gDDYrVPw
    Bạn xem qua giúp mình. cảm ơn bạn

        1. Việt Phương Moderator

          HocVPS Admin của bạn gốc là 2668 hay 2241? Vì như ảnh là port 2241 chưa mở

          1. ezlasso 15 comment

            lúc đầu là 2668 mình vào không được mấy lần sau đó đổi lại là 2241. hiện tại là 2241

          2. Việt Phương Moderator

            Bạn chạy lệnh sau nhé
            iptables -I INPUT -p tcp --dport 2241 -j ACCEPT
            service iptables save

          3. ezlasso 15 comment

            bạn có skype hay zalo không để mình kết bạn với bạn cho mau?

          4. Việt Phương Moderator

            Vậy tốt nhất giờ bạn chuyển đổi lại thành 1 port hoàn toàn khác đi. Chứ Nginx Conf của bạn đang không đồng nhất với hệ thống HocVPS
            Nginx thì bạn để 2241

          5. ezlasso 15 comment

            mình hiện tại là 4868. Nhưng mình vẫn không vào được filemanager hay phpMyAdmin được. Hiện tại mình không vào đươc SSH qua putty với kết nối filezilla hay winscp. Ad giúp mình với

          6. Việt Phương Moderator

            Nếu bạn không thể kết nối SSH thì thử qua viewconsole của nhà cung cấp nhé. Có thể do bạn đăng nhập sai quá nhiều nên Fail2Ban đang chặn

          7. ezlasso 15 comment

            Còn cái phpadmin với filermanager nữa. làm sao để vào được vậy ad ?

          8. Việt Phương Moderator

            Cái PHPMyAdmin hay FileManager thì do xung đột Nginx Conf. HocVPs bạn để port X nhưng trong Nginx Conf bạn lại để port Y

  2. Lê Thịnh 23 comment

    Ad ơi sau khi mình chạy lệnh /opt/letsencrypt/certbot-auto certonly –standalone nó yêu cầu nhập domain mình ấn nhầm nên nó ra thế này:

    Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
    to cancel): nano /etc/nginx/conf.d/t-tgroup.com.vn.conf^Z
    [1]+ Stopped /opt/letsencrypt/certbot-auto certonly –standalone

    Sau đó chạy lại thì nó hiện thế này:

    [root@banghesofagiare home]# /opt/letsencrypt/certbot-auto certonly –standalone
    Another instance of Certbot is already running.

    Giờ ko biết giải quyết sao nữa.

    1. ezlasso 15 comment

      sorry bạn này giờ mình mới kiểm tra lại port admin mình hiện tại là 4868
      bạn check lại giúp mình nhé

    1. Việt Phương Moderator

      Cung cấp mình Nginx Conf bạn đã cài đặt SSL
      và kết quả của nginx -t

      1. Ngoc Thang Nguyen 36 comment

        Đây là file conf của thachthatdecor.com.vn nhưng ko hề có từ mocviet và ip chung: 66.42.61.247

        server {
        listen 80;

        server_name http://www.thachthatdecor.com.vn;
        rewrite ^(.*) http://thachthatdecor.com.vn$1 permanent;
        }
        server {
        listen 80;
        listen 443;

        ssl on;
        ssl_certificate /etc/letsencrypt/live/thachthatdecor.com.vn/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/thachthatdecor.com.vn/privkey.pem;

        access_log off;
        # access_log /home/thachthatdecor.com.vn/logs/access.log;
        error_log off;
        # error_log /home/thachthatdecor.com.vn/logs/error.log;

        root /home/thachthatdecor.com.vn/public_html;
        index index.php index.html index.htm;
        server_name thachthatdecor.com.vn;

        location / {
        try_files $uri $uri/ /index.php?$args;
        }

        # Custom configuration
        include /home/thachthatdecor.com.vn/public_html/*.conf;

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 300;
        fastcgi_send_timeout 300;
        fastcgi_read_timeout 300;
        fastcgi_buffer_size 32k;
        fastcgi_buffers 8 16k;
        fastcgi_busy_buffers_size 32k;
        fastcgi_temp_file_write_size 32k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME /home/thachthatdecor.com.vn/public_html$fastcgi_script_name;
        }
        location ~ /\. {
        deny all;
        }
        location = /favicon.ico {
        log_not_found off;
        access_log off;
        }
        location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
        }
        location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
        gzip_static off;
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }

        location ~* \.(txt|js|css)$ {
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }
        }

        Còn đây là đúng 2 link có chưa https://www.thachthatdecor.com.vn trong file sql nhưng hơn 1000 link mocvietdecor.vn, mình ko biết lỗi chỗ nào hix
        (19365, ‘wpseo-premium-redirects-base’, ‘a:11:{i:0;a:4:{s:6:\”origin\”;s:17:\”tap-chi-noi-that2\”;s:3:\”url\”;s:7:\”tin-tuc\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:1;a:4:{s:6:\”origin\”;s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-408\”;s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:2;a:4:{s:6:\”origin\”;s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-403\”;s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:3;a:4:{s:6:\”origin\”;s:81:\”san-pham/bo%cc%a3-phong-ngu%cc%89-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-107\”;s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-107\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:4;a:4:{s:6:\”origin\”;s:69:\”san-pham/bo-phong-ngu-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:3:\”url\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:5;a:4:{s:6:\”origin\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-105\”;s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-105\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:6;a:4:{s:6:\”origin\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:7;a:4:{s:6:\”origin\”;s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-408\”;s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:8;a:4:{s:6:\”origin\”;s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-403\”;s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:9;a:4:{s:6:\”origin\”;s:26:\”thiet-ke-van-phong-cao-cap\”;s:3:\”url\”;s:47:\”thiet-ke-van-phong-cao-cap-can-nhung-yeu-to-nao\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}i:10;a:4:{s:6:\”origin\”;s:34:\”https://www.thachthatdecor.com.vn/\”;s:3:\”url\”;s:1:\”/\”;s:4:\”type\”;i:301;s:6:\”format\”;s:5:\”plain\”;}}’, ‘no’),

        (19366, ‘wpseo-premium-redirects-export-plain’, ‘a:11:{s:17:\”tap-chi-noi-that2\”;a:2:{s:3:\”url\”;s:7:\”tin-tuc\”;s:4:\”type\”;i:301;}s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-408\”;a:2:{s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;}s:47:\”san-pham/bo%cc%a3-ban-ghe-quan-an-6-ghe-epa-403\”;a:2:{s:3:\”url\”;s:41:\”san-pham/bo-ban-ghe-quan-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;}s:81:\”san-pham/bo%cc%a3-phong-ngu%cc%89-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-107\”;a:2:{s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-107\”;s:4:\”type\”;i:301;}s:69:\”san-pham/bo-phong-ngu-go%cc%83-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;a:2:{s:3:\”url\”;s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;}s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-105\”;a:2:{s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-105\”;s:4:\”type\”;i:301;}s:63:\”san-pham/bo-phong-ngu-go-cong-nghie%cc%a3p-mfc-an-cuong-epn-104\”;a:2:{s:3:\”url\”;s:57:\”san-pham/bo-phong-ngu-go-cong-nghiep-mfc-an-cuong-epn-104\”;s:4:\”type\”;i:301;}s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-408\”;a:2:{s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-408\”;s:4:\”type\”;i:301;}s:38:\”san-pham/bo%cc%a3-ban-an-6-ghe-epa-403\”;a:2:{s:3:\”url\”;s:32:\”san-pham/bo-ban-an-6-ghe-epa-403\”;s:4:\”type\”;i:301;}s:26:\”thiet-ke-van-phong-cao-cap\”;a:2:{s:3:\”url\”;s:47:\”thiet-ke-van-phong-cao-cap-can-nhung-yeu-to-nao\”;s:4:\”type\”;i:301;}s:34:\”https://www.thachthatdecor.com.vn/\”;a:2:{s:3:\”url\”;s:1:\”/\”;s:4:\”type\”;i:301;}}’, ‘no’),
        (19367, ‘wpseo-premium-redirects-export-regex’, ‘a:0:{}’, ‘no’),

        1. Việt Phương Moderator

          Bạn cài như hướng dẫn trong bài đó. Phần Redirect toàn bộ www https sang https bạn đã làm đâu

        1. Việt Phương Moderator

          Bạn đọc lại bài hướng dẫn đó, ghi đầy đủ mà. Giờ mình mô tả lại cũng là mô tả bài hướng dẫn thôi
          1. Chứng chỉ bạn mới chỉ issue cho thachthatdecor.com.vn phiên bản non-www. Bạn đọc phần issue chứng chỉ để hiểu thêm
          2. Nginx Conf bạn cấu hình sai. Bạn đọc phần cấu hình Nginx Conf để hiểu thêm

      2. Ngoc Thang Nguyen 36 comment

        mình làm lại theo hướng dẫn r mà vẫn bị lỗi https://www, bạn xem lại giúp m file .conf này với hix
        server {
        listen 443 ssl;
        server_name http://www.thachthatdecor.com.vn;

        # SSL
        ssl_certificate /etc/letsencrypt/live/thachthatdecor.com.vn/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/thachthatdecor.com.vn/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        rewrite ^(.*) https://thachthatdecor.com.vn$1 permanent;
        }
        server {
        listen 80;

        server_name thachthatdecor.com.vn http://www.thachthatdecor.com.vn;
        rewrite ^(.*) http://thachthatdecor.com.vn$1 permanent;
        }
        server {
        listen 80;
        listen 443;

        ssl on;
        ssl_certificate /etc/letsencrypt/live/thachthatdecor.com.vn/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/thachthatdecor.com.vn/privkey.pem;

        access_log off;
        # access_log /home/thachthatdecor.com.vn/logs/access.log;
        error_log off;
        # error_log /home/thachthatdecor.com.vn/logs/error.log;

        root /home/thachthatdecor.com.vn/public_html;
        index index.php index.html index.htm;
        server_name thachthatdecor.com.vn;

        location / {
        try_files $uri $uri/ /index.php?$args;
        }

        # Custom configuration
        include /home/thachthatdecor.com.vn/public_html/*.conf;

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 300;
        fastcgi_send_timeout 300;
        fastcgi_read_timeout 300;
        fastcgi_buffer_size 32k;
        fastcgi_buffers 8 16k;
        fastcgi_busy_buffers_size 32k;
        fastcgi_temp_file_write_size 32k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME /home/thachthatdecor.com.vn/public_html$fastcgi_script_name;
        }
        location ~ /\. {
        deny all;
        }
        location = /favicon.ico {
        log_not_found off;
        access_log off;
        }
        location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
        }
        location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
        gzip_static off;
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }

        location ~* \.(txt|js|css)$ {
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }
        }

        1. Việt Phương Moderator

          Block listen 80; sai. Block listen 80; listen 443; sai. Bạn xem lại kỹ bài hướng dẫn cũng như cấu hình mẫu nhé.

      3. Ngoc Thang Nguyen 36 comment

        Mình xin lỗi là xem trang này vài chục lần r, nhưng m ko phải dân code nên ko biết lỗi chỗ nào sửa thế nào, bạn cho mình xin 1 file .conf của trang con (chứ ko phải trang chính) đc ko? Thậm chí file .conf bạn xem là của Nam Trần bạn Luân đó nhưng b vẫn bảo ko đúng thì mình chịu thật rồi hix hix

        1. Việt Phương Moderator

          Bạn xem bài hướng dẫn đó. Conf của trang con chỉ cần bỏ đoạn cuối block 2018 là xong
          server {
          listen 2018 ssl;
          .....
          ....

          Ví dụ bạn so block 80 của bạn với block 80 trong bài viết khác nhau chỗ nào?
          Và block 443 thứ hai thì khác với trong bài viết như thế nào

  3. Thành 1 comment

    Cho mình hỏi chút, lúc cài có chỗ nhập email, thì mình nhập email của gmail có được không hay bắt buộc phải có email tên miền

    1. Việt Phương Moderator

      Email nào cũng được nhé bạn, email cá nhân Gmail okie. Để sau này chứng chỉ không gia hạn đúng lúc thì Let’s nó báo ý mà

  4. Thanh 1 comment

    Chào Luân và Partners.

    Mình có dùng Let’s Encrypt như bên Luân chỉ để đổi từ HTTP sang HTTPS
    và đã thành công

    Nhưng nay mình có việc nên chuyển lại HTTP

    Mình dùng lệnh như Luân hướng dẫn và remove rồi

    # Remove Let’s Encrypt
    /opt/letsencrypt/certbot-auto delete

    và mình cũng change file .conf về mặc định, test Nginx thì thấy không bị lỗi

    Mình cũng change option trong Phpmyadmin cũng không được

    Mong Luân dành chút time hướng dẫn dùm mình nhé

  5. Trần Huy 3 comment

    Em chào anh Luân.Em cài SSL xong thì không vào được phpmyadmin nữa. Em dùng cloudflare và vào theo địa chỉ http://IP:port/phpmyadmin thì báo lỗi 403 forbidden. Em sửa lại file domin.conf như ban đầu thì lại vào bình thường. Anh giúp em cách khắc phục với. Em cảm ơn anh.

    1. Việt Phương Moderator

      Cung cấp mình nội dung Nginx Conf của domain bạn đã cài đặt SSL

      1. Trần Huy 3 comment

        Đây là nội dung file conf của em. anh xem giúp em nhé.
        server {
        listen 443 ssl;
        server_name http://www.thisathachlaixehn.com;

        # SSL
        ssl_certificate /home/thisathachlaixehn.com/certificate.pem;
        ssl_certificate_key /home/thisathachlaixehn.com/cert_key.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        rewrite ^(.*) https://thisathachlaixehn.com$1 permanent;
        }
        server {
        listen 80;

        server_name thisathachlaixehn.com http://www.thisathachlaixehn.com;
        rewrite ^(.*) https://thisathachlaixehn.com$1 permanent;
        }

        server {
        listen 443 ssl default_server;

        # access_log off;
        access_log /home/thisathachlaixehn.com/logs/access.log;
        # error_log off;
        error_log /home/thisathachlaixehn.com/logs/error.log;

        root /home/thisathachlaixehn.com/public_html;
        index index.php index.html index.htm;
        server_name thisathachlaixehn.com;
        # SSL
        ssl_certificate /home/thisathachlaixehn.com/certificate.pem;
        ssl_certificate_key /home/thisathachlaixehn.com/cert_key.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security “max-age=31536000” always;
        location / {
        try_files $uri $uri/ /index.php?$args;
        }

        # Custom configuration
        include /home/thisathachlaixehn.com/public_html/*.conf;

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 1000;
        fastcgi_send_timeout 1000;
        fastcgi_read_timeout 1000;
        fastcgi_buffer_size 256k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        fastcgi_temp_file_write_size 256k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        }

        location /nginx_status {
        stub_status on;
        access_log off;
        allow 127.0.0.1;
        allow 149.28.159.199;
        deny all;
        }

        location /php_status {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
        allow 127.0.0.1;
        allow 149.28.159.199;
        deny all;
        }

        # Disable .htaccess and other hidden files
        location ~ /\.(?!well-known).* {
        deny all;
        access_log off;
        log_not_found off;
        }

        location = /favicon.ico {
        log_not_found off;
        access_log off;
        }

        location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
        }

        location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
        gzip_static off;
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }

        location ~* \.(txt|js|css)$ {
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }
        }

        server {
        listen 2804;

        access_log off;
        log_not_found off;
        error_log /home/thisathachlaixehn.com/logs/nginx_error.log;

        root /home/thisathachlaixehn.com/private_html;
        index index.php index.html index.htm;
        server_name thisathachlaixehn.com;

        auth_basic “Restricted”;
        auth_basic_user_file /home/thisathachlaixehn.com/private_html/thisathachlaixehn/.htpasswd;

        location / {
        autoindex on;
        try_files $uri $uri/ /index.php;
        }

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 1000;
        fastcgi_send_timeout 1000;
        fastcgi_read_timeout 1000;
        fastcgi_buffer_size 256k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        fastcgi_temp_file_write_size 256k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        }

        location ~ /\. {
        deny all;
        }
        }

        1. Việt Phương Moderator

          auth_basic “Restricted”;
          auth_basic_user_file /home/thisathachlaixehn.com/private_html/thisathachlaixehn/.htpasswd;
          Đoạn này đúng phải là
          auth_basic “Restricted”;
          auth_basic_user_file /home/thisathachlaixehn.com/private_html/hocvps/.htpasswd;

  6. Kudo 2 comment

    Ad giúp em khắc phục lỗi này với ạ. Bước nhập tên miền sẽ sử dụng chứng chỉ SSL, em điền cả 2 dạng non-www và www như trên bài viết mà chỉ có non-www thì e được cấp. Em dùng cloudflare ạ.
    ====================
    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: http://www.mydomain.com
    Type: unauthorized
    Detail: Invalid response from
    http://www.mydomain.com/.well-known/acme-challenge/c8kni12sUI7O1NFRdifq7TuC-YtNiRoVf3P9aUH4ytQ:
    “\n\n\n\nChe”

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address.

    1. Việt Phương Moderator

      Bạn cần trỏ cả non-www và www của domain về IP. Đồng thời khi issue thì tắt đám mây vàng của Cloudflare

        1. Kudo 1 comment

          Ở record em để Name là http://www.domain và ip vps cũng tắt đám mây đi rồi mà vẫn bị lỗi này. Em làm từ hôm qua tới giờ mà vẫn không được, rất mong anh hỗ trợ giúp em ạ.
          ======================
          http://www.domain.com/.well-known/acme-challenge/GFQ3agvfFiGXf8eRvY5YoRhxSvedISXaIcysK-bR3xA:
          “\n\n\n\nChe”

          To fix these errors, please make sure that your domain name was
          entered correctly and the DNS A/AAAA record(s) for that domain
          contain(s) the right IP address.

          1. Việt Phương Moderator

            Lỗi rõ ràng nó ghi là không thể xác minh domain này trên địa chỉ IP. Bạn chưa trỏ chính xác. Nhìn kết quả ping bên dưới của mình đó, non-www và www trỏ 2 hướng khác nhau
            To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain contain(s) the right IP address.
            Nếu bạn không thể issue cả non-www hay www thì mới là vấn đề bên VPS. Đây issue được non-www và lỗi www thì vấn đề thuộc về bên DNS rồi
            # ping www.p***c.com
            Pinging parking.namesilo.com [209.141.38.xxx] with 32 bytes of data:
            # ping p***c.com
            Pinging p***c.com [139.180.212.xxx] with 32 bytes of data:

  7. Nguyễn Duy Khánh 32 comment

    Của e khi kiểm tra lại

    nginx -t

    thì ra lỗi này a giúp e sửa với a ơi
    conflicting server name “khanh.org” on 0.0.0.0:443, ignored

    1. Việt Phương Moderator

      Có nhiều hơn một chỗ quy định port 443 của domain khanh.org
      Bạn port Nginx Conf của domain lên mình chỉ cho

  8. Nam Dang 26 comment

    Ad cho hỏi hình như ko cài được cho sub domain phải không ạ? Lần nào em cài cũng bị lỗi, cài các site khác thì bình thường.

    1. Việt Phương Moderator

      Cài subdomain bình thường nhé bạn. Bạn cài gặp lỗi gì?
      Và bạn đã trỏ sub về IP VPS chưa?

  9. sơn 10 comment

    Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
    to cancel): healthyeatingadvisors.com
    Obtaining a new certificate
    Performing the following challenges:
    http-01 challenge for healthyeatingadvisors.com
    Waiting for verification…
    Cleaning up challenges
    An unexpected error occurred:
    The server experienced an internal error :: Error finalizing order :: Unable to meet CA SCT embedding requirements
    Please see the logfiles in /var/log/letsencrypt for more details.
    mình cài đến đây thì bi lỗi này, nhờ bạn xem giúp

    1. Việt Phương Moderator

      Bạn cập nhật mã nguồn Let’s như trong bài viết rồi chạy lại lệnh nhé
      Và cho mình kết quả lệnh /opt/letsencrypt/certbot-auto --version

      1. sơn 10 comment

        This page isn’t working
        healthyeatingadvisors.com redirected you too many times.
        sau khi cấu hình xong thì lại bị lỗi này, mình đã restart lại sv, xóa cookie, reset moderm các kiểu mà vẫn bị.

        1. Việt Phương Moderator

          Vậy bạn cấu hình lỗi rồi.
          1. Cung cấp cấu hình Nginx Conf bạn đã cài đặt
          2. Bạn có dùng cloudflare không
          3. Bạn có dùng các plugin SSL hay bảo mật security hay redirect https gì không?

      1. sơn 10 comment

        mình dùng lênh
        nginx -t
        thì nó ra thế này
        nginx: [warn] conflicting server name “healthyeatingadvisors.com” on 0.0.0.0:443, ignored
        nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
        nginx: configuration file /etc/nginx/nginx.conf test is successful

        1. Việt Phương Moderator

          Block đầu tiền dùng để redirect thì phải là
          server_name www.healthyeatingadvisors.com; nhé bạn

          1. sơn 10 comment

            cảm ơn ban nhé. Cho mình hỏi là cài wordpress bằng Hocvps script rồi thì giờ sv đã tối ưu chưa? và có thể sử dụng được lâu dài không?

          2. Việt Phương Moderator

            Chưa tối ưu hoàn toàn theo các mã nguồn riêng nhé nhưng đã hơn mức trung bình. Tùy từng mã nguồn bạn cần tối ưu riêng theo mục đích của mình
            Còn ở mức độ cơ bản thì đảm bảo rồi

    1. Tuấn Vũ 3 comment

      Đây là config của mình:

      server {
      listen 443 ssl http2;
      server_name http://www.congnghehoangnguyen.com;

      # SSL
      ssl_certificate /etc/letsencrypt/live/congnghehoangnguyen.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/congnghehoangnguyen.com/privkey.pem;
      ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
      ssl_prefer_server_ciphers on;
      ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

      rewrite ^(.*) https://congnghehoangnguyen.com$1 permanent;

      # enable ngx_pagespeed
      pagespeed on;

      pagespeed FileCachePath /var/ngx_pagespeed_cache;

      # let’s speed up PageSpeed by storing it in the super duper fast memcached
      # pagespeed MemcachedThreads 1;
      # pagespeed MemcachedServers “localhost:11211”;

      # disable CoreFilters
      pagespeed RewriteLevel PassThrough;

      # enable collapse whitespace filter
      pagespeed EnableFilters collapse_whitespace;

      # enable JavaScript library offload
      pagespeed EnableFilters canonicalize_javascript_libraries;

      # combine multiple CSS files into one
      pagespeed EnableFilters combine_css;

      # combine multiple JavaScript files into one
      pagespeed EnableFilters combine_javascript;

      # remove tags with default attributes
      pagespeed EnableFilters elide_attributes;

      # improve resource cacheability
      pagespeed EnableFilters extend_cache;

      # flatten CSS files by replacing @import with the imported file
      pagespeed EnableFilters flatten_css_imports;
      pagespeed CssFlattenMaxBytes 5120;

      # defer the loading of images which are not visible to the client
      pagespeed EnableFilters lazyload_images;

      # enable JavaScript minification
      pagespeed EnableFilters rewrite_javascript;

      # enable image optimization
      pagespeed EnableFilters rewrite_images;

      # pre-solve DNS lookup
      pagespeed EnableFilters insert_dns_prefetch;

      # rewrite CSS to load page-rendering CSS rules first.
      pagespeed EnableFilters prioritize_critical_css;
      }
      server {
      listen 80;

      server_name congnghehoangnguyen.com http://www.congnghehoangnguyen.com;
      rewrite ^(.*) https://congnghehoangnguyen.com$1 permanent;
      }

      server {
      listen 443 ssl default_server;

      # access_log off;
      access_log /home/congnghehoangnguyen.com/logs/access.log;
      # error_log off;
      error_log /home/congnghehoangnguyen.com/logs/error.log;

      root /home/congnghehoangnguyen.com/public_html;
      index index.php index.html index.htm;
      server_name congnghehoangnguyen.com;

      # SSL
      ssl_certificate /etc/letsencrypt/live/congnghehoangnguyen.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/congnghehoangnguyen.com/privkey.pem;
      ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
      ssl_prefer_server_ciphers on;
      ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

      # Improve HTTPS performance with session resumption
      ssl_session_cache shared:SSL:50m;
      ssl_session_timeout 1d;

      # DH parameters
      ssl_dhparam /etc/nginx/ssl/dhparam.pem;
      # Enable HSTS
      add_header Strict-Transport-Security “max-age=31536000” always;

      location / {
      try_files $uri $uri/ /index.php?$args;
      }

      # Custom configuration
      include /home/congnghehoangnguyen.com/public_html/*.conf;

      location ~ \.php$ {
      fastcgi_split_path_info ^(.+\.php)(/.+)$;
      include /etc/nginx/fastcgi_params;
      fastcgi_pass 127.0.0.1:9000;
      fastcgi_index index.php;
      fastcgi_connect_timeout 1000;
      fastcgi_send_timeout 1000;
      fastcgi_read_timeout 1000;
      fastcgi_buffer_size 256k;
      fastcgi_buffers 4 256k;
      fastcgi_busy_buffers_size 256k;
      fastcgi_temp_file_write_size 256k;
      fastcgi_intercept_errors on;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
      }

      location /nginx_status {
      stub_status on;
      access_log off;
      allow 127.0.0.1;
      allow 45.76.220.28;
      deny all;
      }

      location /php_status {
      fastcgi_pass 127.0.0.1:9000;
      fastcgi_index index.php;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
      include /etc/nginx/fastcgi_params;
      allow 127.0.0.1;
      allow 45.76.220.28;
      deny all;
      }

      # Disable .htaccess and other hidden files
      location ~ /\.(?!well-known).* {
      deny all;
      access_log off;
      log_not_found off;
      }

      location = /favicon.ico {
      log_not_found off;
      access_log off;
      }

      location = /robots.txt {
      allow all;
      log_not_found off;
      access_log off;
      }

      location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
      gzip_static off;
      add_header Pragma public;
      add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
      access_log off;
      expires 30d;
      break;
      }

      location ~* \.(txt|js|css)$ {
      add_header Pragma public;
      add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
      access_log off;
      expires 30d;
      break;
      }
      }

      server {
      listen 2018;

      access_log off;
      log_not_found off;
      error_log /home/congnghehoangnguyen.com/logs/nginx_error.log;

      root /home/congnghehoangnguyen.com/private_html;
      index index.php index.html index.htm;
      server_name congnghehoangnguyen.com;

      auth_basic “Restricted”;
      auth_basic_user_file /home/congnghehoangnguyen.com/private_html/hocvps/.htpasswd;

      location / {
      autoindex on;
      try_files $uri $uri/ /index.php;
      }

      location ~ \.php$ {
      fastcgi_split_path_info ^(.+\.php)(/.+)$;
      include /etc/nginx/fastcgi_params;
      fastcgi_pass 127.0.0.1:9000;
      fastcgi_index index.php;
      fastcgi_connect_timeout 1000;
      fastcgi_send_timeout 1000;
      fastcgi_read_timeout 1000;
      fastcgi_buffer_size 256k;
      fastcgi_buffers 4 256k;
      fastcgi_busy_buffers_size 256k;
      fastcgi_temp_file_write_size 256k;
      fastcgi_intercept_errors on;
      fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
      }

      location ~ /\. {
      deny all;
      }
      }

      1. Việt Phương Moderator

        Chứng chỉ bạn chỉ issue cho non-www thì đâu áp dụng được cho www. Bên cạnh đó bỏ default_server nếu không phải domain chính cài HocVPS

  10. Thang 20 comment

    [root@vultr home]# nginx -t
    nginx: [emerg] “server” directive is not allowed here in /home/bahramansaffronvietnam.com/public_html/bahramansaffronvietnam.com.conf:1
    nginx: configuration file /etc/nginx/nginx.conf test failed

    lỗi này nó bào gì vậy các bác, mình có cần cấu hình y trang như trên trong đây ko ạ/home/bahramansaffronvietnam.com/public_html/bahramansaffronvietnam.com.conf

    1. Việt Phương Moderator

      Bình thường chỉ file /etc/nginx/conf.d/bahramansaffronvietnam.com.conf cấu hình server_name thôi
      Nginx không cho phép cấu hình như thế trong /home/bahramansaffronvietnam.com/public_html/bahramansaffronvietnam.com.conf
      Nên bạn kiểm tra lại file trên và xóa đi nếu có cấu hình server_name nhé
      Thường file trong thư mục web chỉ cấu hình phụ thêm cho cấu hình gốc ở /etc/nginx/conf.d/

  11. Khánh 32 comment

    E bị thông báo này
    nginx: [warn] conflicting server name “detoxtainha.com” on 0.0.0.0:443, ignored
    nginx: [warn] conflicting server name “kinhdoanhquanao.com” on 0.0.0.0:443, ignored
    nginx: [warn] conflicting server name “sendy.blog” on 0.0.0.0:443, ignored
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful

    Và bây giờ vào các web thì vẫn được nhưng vào trang quản trị domain.com:2018 thì lại báo lỗi 403.
    bây giờ xử lý ntn được a

    1. Việt Phương Moderator

      Bạn kiểm tra lại toàn bộ Nginx Conf trong thư mục /etc/nginx/conf.d nhé
      Có nhiều hơn 1 block cấu hình cho server_name detoxtainha.com listen port 443. Tương tự với cả 2 domain dưới
      Nginx sẽ đọc block nào viết trc theo thứ tự trên xuống dưới nhưng việc 2 block cùng quy định 1 thứ sẽ gây xung đột

      1. Nguyễn Duy Khánh 32 comment

        E sửa thì ko còn 3 dòng trên nữa. Nhưng tìm /etc/nginx/conf.d thì nó lại báo là ko có thư mục này.
        Với cái domain mặc định bây giờ đang biến mất thì làm sao mở lại được a nhỉ domainchinh.com:2018 hiện tại báo lỗi 500 a ạ

        1. Việt Phương Moderator

          1. Bạn cho mình kết quả của ls -al /etc/nginx/conf.d/
          2. default_server bạn đang để ở website nào? Cấu hình Nginx ban đầu sẽ có 1 website có phần đó, đồng thời là website cấu hình HocVPS Admin

          1. Nguyễn Duy Khánh 32 comment

            total 40
            drwxr-xr-x 2 root root 4096 Sep 28 19:35 .
            drwxr-xr-x 4 root root 4096 Sep 28 13:18 ..
            -rw-r–r– 1 root root 0 Sep 26 22:31 default.conf
            -rw-r–r– 1 root root 4495 Sep 28 17:28 detoxtainha.com.conf
            -rw-r–r– 1 root root 4759 Sep 28 17:35 khanh.org.conf
            -rw-r–r– 1 root root 4587 Sep 28 15:47 kinhdoanhquanao.com.conf
            -rw-r–r– 1 root root 4390 Sep 28 15:48 sendy.blog.conf

            đây là kq của file conf.d

            website defualt là khanh.org a ơi :))
            A giúp e với ko e phải xóa VPS đi cài lại mất

          2. Việt Phương Moderator

            1. Như vậy vẫn tồn tại thư mục /etc/nginx/conf.d chứ đâu phải không có như bạn bảo
            2. Bạn cung cấp nội dung Nginx Conf của từng site, paste qua http://pastebin.com/ cho gọn

          3. Nguyễn Duy Khánh 32 comment

            E cài được rồi a ơi, là do file .conf trong các domain con, e copy nguyên của site chính nên nó bị loạn, giờ thì bình thường rồi. Cám ơn a

  12. Hung 16 comment

    Mình đã làm thành công. Bh mình muốn add thêm 1 site nữa vào vps và muốn cài thêm ssl đc ko bạn.

        1. Việt Phương Moderator

          HocVPS thì thêm website bằng menu 2 nhé bạn. Xong bạn cài SSL như bình thường

  13. Hung 16 comment

    Mình đã làm thành công cho 1 site rồi.bây giờ mình muốn add thêm 1 domain nữa vào vps và cài ntn nhỉ.

  14. Anh Z 50 comment

    Mình làm theo hướng dẫn, đến lệnh cuối cùng là khởi động lại vps thì nó lỗi vầy 😀

    “Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.”

    Ad cho mình hỏi làm sao để khắc phục ạ ?

    Tks ad

      1. Pham Thanh 1 comment

        Mình chạy nginx -t => sau đó nhập pas vào thì thấy báo 2 dòng syntax is ok và test is successful
        Còn khi chạy service nginx status thì thấy báo :

        [root@tokyo_centos6_2g home]# service nginx status
        Redirecting to /bin/systemctl status nginx.service
        nginx.service – nginx – high performance web server
        Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
        Active: failed (Result: exit-code) since Wed 2018-10-10 01:14:28 +07; 5min ago
        Docs: http://nginx.org/en/docs/
        Process: 764 ExecStart=/usr/sbin/nginx -c /etc/nginx/nginx.conf (code=exited, status=1/FAILURE)

        Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: Starting nginx – high performance web server…
        Oct 10 01:14:28 tokyo_centos6_2g nginx[764]: Enter PEM pass phrase:
        Oct 10 01:14:28 tokyo_centos6_2g nginx[764]: nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/etc/…ib)
        Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: nginx.service: control process exited, code=exite…s=1
        Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: Failed to start nginx – high performance web server.
        Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: Unit nginx.service entered failed state.
        Oct 10 01:14:28 tokyo_centos6_2g systemd[1]: nginx.service failed.
        Hint: Some lines were ellipsized, use -l to show in full.

        1. Việt Phương Moderator

          systemctl status nginx -l của bạn kết quả gì?
          Dòng này báo lỗi này nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/etc/…ib)

  15. Nguyễn Duy Khánh 32 comment

    Đã làm được rồi. Khó hơn dùng Cpanel 1 tý nhưng đi về bản chất thì sướng hơn.

  16. Nguyễn Duy Khánh 32 comment

    Phần cuối cùng e gặp lỗi này, a cho e biết e bị sai ở đoạn nào a nhỉ?
    nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/itea.com.vn/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/itea.com.vn/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
    nginx: configuration file /etc/nginx/nginx.conf test failed

    1. Việt Phương Moderator

      Không tồn tại chứng chỉ itea.com.vn. Bạn đã issue chứng chỉ chưa?.
      /opt/letsencrypt/certbot-auto certificates

      1. Nguyễn Duy Khánh 32 comment

        Lúc cài đặt e chưa tắt đám mây bên clound a ơi. e làm xong rồi. Cám ơn a đã hỗ trợ

  17. Khánh 32 comment

    E gặp vấn đề là màn hình View để gõ lệnh (giống MS DOS ngày xưa) không paste được. bình thường e làm theo hocvps toàn gõ chay. Bài này lệnh dài quá. làm thế nào để e paste được a Luân ơi

    1. Việt Phương Moderator

      Bạn dùng trình SSH gì? Hầu hết là chuột phải tương đương paste nhé

  18. Công Đạt 4 comment

    Mình đang tìm hiểu về VPS nên chưa biết gì? Mình cài đến đây rồi làm sao cài như hướng dẫn đc a?
    Cấu hình SSL xử lý các request

    Trong block server { … } thứ 2 điều chỉnh như sau:

    + Chuyển listen 80 default_server; thành listen 443 ssl default_server;

    + Sau dòng server_name hocvps.com;

    https://uphinhnhanh.com/image/8TcXKw

    1. Việt Phương Moderator

      Hệ thống bạn là hệ thống nào? Vì như hình file đó không có nội dung nào để bạn chỉnh sửa cả
      Cho mình kết quả của
      ls -al /etc/nginx/conf.d
      whereis nginx

  19. Khanh Hồ 4 comment

    Chào Admin, mình đã tạo SSL cho tên miền chính thành công rồi, nhưng muốn cài thêm cho tên miền cho một website khác theo lệnh hướng dẫn
    # Stop Nginx
    service nginx stop

    # Install Let’s Encrypt
    /opt/letsencrypt/certbot-auto certonly –standalone

    Nhưng bị thông báo lỗi như này Admin giải đáp giúp mình
    https://pastebin.com/wsyZ1qjC

    1. Việt Phương Moderator

      1. Bạn trỏ domain về VPS và đã tắt CDN Cloudflare(nếu có) chưa? Mình kiểm tra thì bạn trỏ về 45.168.77.202, hình như VPS đang off?
      2. Kiểm tra hệ thống bạn đang dùng firewalld hay iptables?

      1. Khanh Hồ 4 comment

        Hiện mình đã trỏ đầy đủ record www cname A về vps mình chưa cài cloudflare cho domain, vẫn trỏ trực tiếp từ ncc về

        1. Việt Phương Moderator

          Vậy tiếp phần 2 đi, kiểm tra mình hệ thống firewall. Nếu là firewalld chạy các lệnh sau rồi cài đặt lại chứng chỉ
          firewall-cmd –add-service=http
          firewall-cmd –add-service=https
          firewall-cmd –runtime-to-permanent

  20. Kien Le 2 comment

    Mình đang chạy 2 web trên cùng 1 máy chủ
    Khi truy cập vào domain1.com mình đã thêm ssl ok
    Nhưng khi thêm ssl cho domain2.net thì https://domain2.net sẽ tự chuyển sang trang còn lại???!??
    Mod giúp mình với huhu

    1. Việt Phương Moderator

      Cho mình Nginx Conf của 2 domain bạn đã cài và kết quả của
      nginx -t

        1. Việt Phương Moderator

          Domain 1: Chưa có block redirect HTTPS WWW về HTTPS NON-WWW. Đó chính là block đầu tiên trong đoạn config mẫu của bài viết
          Domain 2: Chưa cài HTTPS tí gì, tức chưa có block 443 nào (cả www và non-www). Việc bạn cài SSL vào block 80 HTTP không giải quyết vấn đề
          Và như vậy, domain 2 chưa hề có HTTPS.
          Nên khi bạn cố truy cập HTTPS của domain2 –> kết quả không có gì –> không có gì show default_server(chính là domain1)

  21. NAM NGUYEN KHAC 4 comment

    Chào bạn, lại làm phiền bạn chút rồi ! Mình cái ssl, vào web thì không vào được. Mình xóa luôn data vs Host. Sau đó mình setup host mới, nhưng domain của mình vẫn ở dạng https, mà không chuyển về http. không kết nối tới host được.
    Bạn có cách nào khác phục được vấn đề này không ?

    1. Việt Phương Moderator

      Bạn xóa cache hoặc đổi trình duyệt đi. Vì HSTS nên trình duyệt sẽ lưu thông tin SSL của website

  22. nguyen khac nam 4 comment

    Bạn Phương ơi, cho mình hỏi chút. Mình cài đúng như hướng dẫn của bạn, Hệ thống báo lại :
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful

    sau đó mình vào lại web, web báo không ” This page isn’t working ”

    Tuy nhiên mình vào các phần File Manager lại vào bình thường.
    Bạn xem giúp mình với nhé !
    – Code Nginx : https://pastebin.com/XrPJ9qxm

    1. Việt Phương Moderator

      1. Bạn có bật Cloudflare CDN đám mây vàng không?
      2. Bạn có dùng plugin redirect HTTPS hay security gì không (đối với WP)

      1. nguyen khac nam 4 comment

        Mình chưa dùng coudflare, và cũng không có plugin gì cả ! mình dùng cài ssl theo hướng dẫn của bạn mấy web rồi, đều ok hết. Chỉ web này, mình copy toàn bộ đoạn mã cuối và thay tên domain của mình vào. Thì lại gặp lỗi như thế này ! bạn giúp mình với !

        1. Việt Phương Moderator

          Domain bạn ban đầu là non-www hay www? Và bạn dùng mã nguồn gì? trùng với mã nguồn các web đều ok không?

      2. nguyen khac nam 4 comment

        domain của mình non-www, mình cài wordpress, mình cài hoàn toàn từ hocvps script.

  23. hugn 16 comment

    cua mình bước kt bị báo như thế này
    nginx: [warn] server name “/etc/letsencrypt/live/domain cua minh/fullchain.pem” has suspicious symbols in /etc/nginx/conf.d/pvh.vn.conf:6
    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful

    1. Việt Phương Moderator

      Có kí tự đáng ngờ trong Nginx Conf của bạn, ở dòng 6. Bạn kiểm tra lại nhé

  24. Dung Le 6 comment

    Các bạn vui lòng xem giúp mình lỗi sau với:
    http://prntscr.com/kuamui
    Mình không biết là Let’s Encrypt có update gì mới không, mà bây giờ khi cập nhật lại, hoặc cài cho domain mới đều dính vụ verify này. Chân thành cảm ơn các bạn.

    1. Việt Phương Moderator

      Domain bạn đã trỏ về IP VPS chưa? Và đã tắt CDN Cloudflare chưa(nếu có)

      1. Dung Le 6 comment

        Mình trỏ về VPS, và không có dùng Cloudflare.
        Hiện tượng này mình mới bị gần đây thôi, chứ đợt trước vẫn thêm domain, cài ssl bình thường. Mình tìm trên mạng thì cũng chung chung, không fix được.

    2. Dung Le 6 comment

      Cuối cùng thì mình đã tìm ra lỗi, do dính firewall:

      [root@server public_html]# service nginx stop
      Redirecting to /bin/systemctl stop nginx.service
      [root@server public_html]# firewall-cmd –add-service=http
      success
      [root@server public_html]# firewall-cmd –add-service=https
      success
      [root@server public_html]# firewall-cmd –runtime-to-permanent
      success
      [root@server public_html]# /opt/letsencrypt/certbot-auto certonly –standalone
      Saving debug log to /var/log/letsencrypt/letsencrypt.log
      Plugins selected: Authenticator standalone, Installer None
      Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
      to cancel): domain.net http://www.domain.net
      Obtaining a new certificate
      Performing the following challenges:
      http-01 challenge for domain.net
      http-01 challenge for http://www.domain.net
      Waiting for verification…
      Cleaning up challenges

      IMPORTANT NOTES:
      – Congratulations! Your certificate and chain have been saved at:
      /etc/letsencrypt/live/domain.net/fullchain.pem
      Your key file has been saved at:
      /etc/letsencrypt/live/domain.net/privkey.pem
      Your cert will expire on 2018-12-13. To obtain a new or tweaked
      version of this certificate in the future, simply run certbot-auto
      again. To non-interactively renew *all* of your certificates, run
      “certbot-auto renew”
      – If you like Certbot, please consider supporting our work by:

      Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
      Donating to EFF: https://eff.org/donate-le

      [root@server public_html]#

      1. Việt Phương Moderator

        Ơ, nhưng website bạn vẫn vào bình thường trc khi issue cert đúng ko? Nếu vậy thì port 80 đang mở mà

        1. Dung Le 6 comment

          Đúng vậy, trên VPS vẫn đang chạy web khác bình thường. Nhưng cuối cùng, mình chạy các lệnh trên thì ok.

  25. vu don 18 comment

    mình cài hocvps xong truy cập website đã thấy welcome Nginx
    cài ssl cho domain đó
    chưa cài mã nguồn gì cả.
    truy cập ssl toàn báo lỗi không truy cập được không biết lý do vì sao ạ.
    domain teehz dot com

    1. Việt Phương Moderator

      Cung cấp mình phần SSL bạn đã cài đặt. Paste qua pastebin.com cho gọn

        1. Việt Phương Moderator

          listen 80 default_server; chuyển thành listen 443 ssl default_server; nhé bạn. Xong restart Nginx đi

  26. khoai 3 comment

    Cho mình hỏi, ở bước này:
    /opt/letsencrypt/certbot-auto certonly –standalone
    nó yêu cầu nhập email thì email đấy mình lấy ở đâu vậy bạn?
    Mình nhập email cá nhân của mình vào mà ko được.

    Xin cám ơn.

    1. khoai 3 comment

      mình bị lỗi vầy
      Non-ASCII domain names not supported. To issue for
      an Internationalized Domain Name, use Punycode.

  27. luan 12 comment

    nó báo lỗi, sửa sao vậy anh

    Cleaning up challenges
    Failed authorization procedure. tinbinhdinh.info (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid
    response from http://tinbinhdinh.info/.well-known/acme-challenge/MaoNVr01w2C57fCRZ-XZhuz1RD9HRCTEgruecVaxZYI: ”

    300 Multiple Choices

    Multiple C”, http://www.tinbinhdinh.info (http-01): urn:ietf:params:acme:error:dns :: DNS problem: NXDOMAIN looking up A for http://www.tinbinhdinh.info

    IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: tinbinhdinh.info
    Type: unauthorized
    Detail: Invalid response from
    http://tinbinhdinh.info/.well-known/acme-challenge/MaoNVr01w2C57fCRZ-XZhuz1RD9HRCTEgruecVaxZYI:

    300 Multiple Choices

    Multiple C”

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address.
    – The following errors were reported by the server:

    Domain: http://www.tinbinhdinh.info
    Type: None
    Detail: DNS problem: NXDOMAIN looking up A for http://www.tinbinhdinh.info
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

    1. Việt Phương Moderator

      Bạn chưa tạo và trỏ record www về IP VPS nên Let’s không thể issue cert cho www.tinbinhdinh.info được

    1. Việt Phương Moderator

      Bạn kiểm tra log xem thời điểm đó có vấn đề. Còn trên ảnh là kết nối giữa server với CA có vấn đề nên không xác minh cert đc

  28. Hưng 16 comment

    Mình lệnh mkdir /etc/nginx/ssl/ báo lỗi mkdir: cannot create directory ‘/etc/nginx/ssl/’: File exists

    1. Việt Phương Moderator

      Thư mục /etc/nginx/ssl đã tồn tại nên nó sẽ không tạo nữa. Bạn có thể thực hiện bước tiếp theo

  29. Đức 2 comment

    Mình đã cấu hình thành công cho tên miền. Nhưng các tên miền khác không cài SSL nằm chung server thì bị lỗi 502 Bad Gateway. Có bạn nào từng bị vấn đề này rồi hướng dẫn giúp mình với.
    Cám ơn bạn!

    1. Việt Phương Moderator

      Lỗi 502 Bad Gateway do nhiều vấn đề nên bạn cần kiểm tra trạng thái của Nginx và PHP-FPM đồng thời xem cả log 2 service này
      Kiểm tra lại cấu hình SSL bạn đã cài đặt

      1. Đức 2 comment

        Mình đã sửa được lỗi này rồi: set fastcgi_pass là 127.0.0.1:9000;

        nhưng bây giờ không truy cập được phpmyadmin.

        Đây là file cấu hình của domain chính. Nhờ bạn xem giúp mình với. Cám ơn bạn.

        server {
        listen 80;
        server_name domain.com http://www.domain.com;
        rewrite ^(.*) https://domain.com$1 permanent;
        }

        server {
        listen 443 ssl;
        server_name http://www.domain.com;

        # SSL
        ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        rewrite ^(.*) https://domain.com$1 permanent;
        }

        server {
        listen 443 ssl default_server;

        # access_log off;
        access_log /home/domain.com/logs/access.log;
        # error_log off;
        error_log /home/domain.com/logs/error.log;

        root /home/domain.com/public_html;
        index index.php index.html index.htm;
        server_name domain.com;

        # SSL
        ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security “max-age=31536000” always;

        location / {
        try_files $uri $uri/ /index.php?$args;
        }

        # Custom configuration
        include /home/domain.com/public_html/*.conf;

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 1000;
        fastcgi_send_timeout 1000;
        fastcgi_read_timeout 1000;
        fastcgi_buffer_size 256k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        fastcgi_temp_file_write_size 256k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME /home/domain.com/public_html$fastcgi_script_name;
        }
        location /nginx_status {
        stub_status on;
        access_log off;
        allow 127.0.0.1;
        deny all;
        }
        location /php_status {
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME /home/domain.com/public_html$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
        allow 127.0.0.1;
        deny all;
        }
        # Disable .htaccess and other hidden files
        location ~ /\.(?!well-known).* {
        deny all;
        access_log off;
        log_not_found off;
        }
        location = /favicon.ico {
        log_not_found off;
        access_log off;
        }
        location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
        }
        location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
        gzip_static off;
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }

        location ~* \.(txt|js|css)$ {
        add_header Pragma public;
        add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
        access_log off;
        expires 30d;
        break;
        }
        }

        server {
        listen 2018 ssl;

        access_log off;
        log_not_found off;
        error_log /home/domain.com/logs/nginx_error.log;

        root /home/domain.com/private_html;
        index index.php index.html index.htm;
        server_name domain.com;

        error_page 497 https://$server_name:$server_port$request_uri;

        ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        auth_basic “Restricted”;
        auth_basic_user_file /home/domain.com/private_html/hocvps/.htpasswd;

        location / {
        autoindex on;
        try_files $uri $uri/ /index.php;
        }

        location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        include /etc/nginx/fastcgi_params;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_connect_timeout 1000;
        fastcgi_send_timeout 1000;
        fastcgi_read_timeout 1000;
        fastcgi_buffer_size 256k;
        fastcgi_buffers 4 256k;
        fastcgi_busy_buffers_size 256k;
        fastcgi_temp_file_write_size 256k;
        fastcgi_intercept_errors on;
        fastcgi_param SCRIPT_FILENAME /home/domain.com/private_html$fastcgi_script_name;
        }

        location ~ /\. {
        deny all;
        }
        }

        1. Việt Phương Moderator

          Không hiểu ý bạn lắm. Cấu hình gốc của HocVPS là fastcgi_pass 127.0.0.1:9000; rồi mà, có sửa gì đâu nhỉ
          Và cấu hình SSL trên của bạn là domain phụ hay domain chính cài HocVPS?
          Còn PHPMyAdmin bạn truy cập gặp thông báo gì

  30. ha 16 comment

    Mình chưa hiểu cái đoạn không thiết lập port admin để login = ip là bỏ cả cái đoạn
    server {
    listen 2018 ssl;
    đến cuối hay bỏ đoạn trong mà Luân viết phía trên, hay là bỏ đoạn bôi đỏ thế?

    1. Việt Phương Moderator

      Không thiết lập tức cả phần server chứa 2018 sẽ không chỉnh sửa gì bạn nhé

  31. Huy 9 comment

    Bạn ơi cho mình hỏi. Nay mình tạo vps và test nhiều nên giờ khi cài ssl Let’s Encrypt nó báo quá giới hạn số lượng ssl cho tên miền rồi.

    Vậy giờ mình muốn cài lại chứng chỉ cũ trước đó thì làm thế nào bạn?

  32. QUANG TRAN NHAT 3 comment

    Hi cả nhà,
    Khi mình thử renew thì bị lỗi này:

    HTTPSConnectionPool(host=’acme-v02.api.letsencrypt.org’, port=443): Max retries exceeded with url: /directory (Caused by NewConnectionError(‘: Failed to establish a new connection: [Errno -2] Name or service not known’,)). Skipping.

    Mình đang xài server Vultr ở Singapore, không biết lỗi này của Let’s Encrypt hay là server ạ?
    Mong mọi người hỗ trợ mình với 🙂

        1. Việt Phương Moderator

          Okie, cám ơn bạn nhé. Vậy chắc là số lần gia hạn với api-v01 quá rate limit nên chặn. Khi đó bạn chuyển đổi sang đăng kí qua api-v02.
          Bạn làm thành công rồi chứ

  33. shin 2 comment

    sau 1 hồi làm theo hướng dẫn là ko vô dc web
    lệnh nginx -t nó ra
    [root@vultr home]# nginx -t
    nginx: [emerg] unexpected end of file, expecting “;” or “}” in /etc/nginx/conf.d/quyetchien.net.conf:174
    nginx: configuration file /etc/nginx/nginx.conf test failed

  34. thd 3 comment

    Em bị gặp thông báo này là sao anh?

    Sep 01 12:48:18 domain.com systemd[1]: Started Command Scheduler.
    Sep 01 12:48:18 domain.com systemd[1]: Starting Command Scheduler…
    Sep 01 12:48:18 domain.com crond[521]: (CRON) INFO (RANDOM_DELAY will be scaled with factor 77% if used.)
    Sep 01 12:48:18 domain.com crond[521]: (CRON) INFO (running with inotify support)

    1. Việt Phương Moderator

      Bạn có dùng Varnish hay gì làm front-end không. Và bạn chạy lại thử xem, nghi có vấn đề kết nối đến source