Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2017.

Tìm block server { ... } có dòng listen 2017;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:2017$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2017

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$server_name:2017$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_Update 07/04/2017:
Do OCSP Stapling khó tương thích với Nginx, mình sẽ bỏ khỏi cấu hình Nginx. Để sử dụng/nghiên cứu sâu hơn, mời bạn tham khảo: Tối ưu HTTPS trên Nginx

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.


_ Bạn sẽ không thể gia hạn tự động SSL Let’s Encrypt nếu dùng CloudFlare CDN (biểu tượng đám mây vàng).
_ Nếu vẫn muốn dùng kết hợp Cloudafare CDN:

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudfare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port hoặc http://domain:port

5/ Một số vấn đề gặp phải

5.1/ Cert lỗi không thể đọc (corrupt/symlink).

– Dấu hiệu: Đến ngày hết hạn thì không thể auto-renew hay renew thủ công, với thông báo:

# /opt/letsencrypt/letsencrypt-auto renew
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/hocvps.com.conf
-------------------------------------------------------------------------------
[('PEM routines', 'PEM_read_bio', 'no start line')]
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/crypto_util.py", line 229, in _load_cert_or_req
    return load_func(typ, cert_or_req_str)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/crypto.py", line 1661, in load_certificate
    _raise_current_error()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/_util.py", line 48, in exception_from_error_queue
    raise exception_type(errors)
Error: [('PEM routines', 'PEM_read_bio', 'no start line')]
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Additionally, the following renewal configuration files were invalid:
  /etc/letsencrypt/renewal/hocvps.com.conf (parsefail)
0 renew failure(s), 1 parse failure(s)

Hoặc

——————————————————————————-
Processing /etc/letsencrypt/renewal/hocvps.com.conf
——————————————————————————-
expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink


/2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Renewal conf file /etc/letsencrypt/renewal/hocvps.com.conf is broken. Skipping.
2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Traceback was:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/cert_manager.py", line 246, in _search_lineages
    candidate_lineage = storage.RenewableCert(renewal_file, cli_config)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 401, in __init__
    self._check_symlinks()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 460, in _check_symlinks
    "expected {0} to be a symlink".format(link))
CertStorageError: expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink


– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

– Giải pháp:

  • Xóa hoàn toàn cert cũ: # rm -rf /etc/letsencrypt/live/hocvps.com/ /etc/letsencrypt/renewal/hocvps.com.conf /etc/letsencrypt/archive/hocvps.com/
  • Issue lại cert mới cho site (như mục 1.1). Chú ý, do thư mục cert có thể thay đổi (ví dụ /etc/letsencrypt/live/hocvps.com-0001/), cần cập nhật lại đường dẫn cert trong Nginx Conf của domain.

Chúc bạn thành công.

853 Comments

  1. Tony 14 comment

    nginx: [emerg] a duplicate default server for 0.0.0.0:80 in /etc/nginx/conf.d/vps.seowpress.com.conf:102
    nginx: configuration file /etc/nginx/nginx.conf test failed

    xử lý sao đây mấy bạn ơi

    1. Việt Phương Moderator

      Dòng 102 của /etc/nginx/conf.d/vps.seowpress.com.conf bạn có default_server
      Trong khi ở file conf của domain khác hoặc trong chính file đó bạn đã khai báo default_server rồi
      Bạn xóa đi là đc

    2. Việt 5 comment

      IMPORTANT NOTES:
      – The following errors were reported by the server:

      Domain: linhnga.shop
      Type: connection
      Detail: DNS problem: NXDOMAIN looking up A for linhnga.shop

      To fix these errors, please make sure that your domain name was
      entered correctly and the DNS A record(s) for that domain
      contain(s) the right IP address. Additionally, please check that
      your computer has a publicly routable IP address and that no
      firewalls are preventing the server from communicating with the
      client. If you’re using the webroot plugin, you should also verify
      that you are serving files from the webroot path you provided.
      – Your account credentials have been saved in your Certbot
      configuration directory at /etc/letsencrypt. You should make a
      secure backup of this folder now. This configuration directory will
      also contain certificates and private keys obtained by Certbot so
      making regular backups of this folder is ideal.

      Anh ơi lỗi này của em là lỗi gì ạ. Giúp em fix với ạ

      1. Việt Phương Moderator

        Domain chưa trỏ về IP VPS nhé. Của cả bản ghi domain và bản ghi www

        1. Việt 5 comment

          Anh ơi giúp em cái này ạ. Sau khi em cài wordpress xong thì nó bị lỗi ntn mà không hiện cài đặt wordpress ạ. Anh fix giúp em với ạ.
          403 Forbidden
          nginx/1.4.6 (Ubuntu)

          1. Việt Phương Moderator

            Bạn kiểm tra lại webserver Nginx và log của nginx xem. Mà bạn cài WP như thế nào trên server Ubuntu

          2. Việt Phương Moderator

            Bạn cài Nginx chưa? In this guide, we will go over how to install WordPress on an Ubuntu 14.04 server. For the web server component, we will use nginx, a powerful and efficient web server that has seen wide adoption due to its performance capabilities.

          3. Việt 5 comment

            em cài nginx, mysql, lemp rồi ạ. Em ping linhnga.shop cũng đc rồi ạ.

  2. Tony 14 comment

    nginx: [emerg] “server” directive is not allowed here in /etc/nginx/conf.d/vps.seowpress.com.conf:96
    nginx: configuration file /etc/nginx/nginx.conf test failed

    Giờ nó ra lỗi này. Huuuuu

    1. Việt Phương Moderator

      Tiếp dòng 96, không được có server Nó báo sao thì bạn sửa đó thôi, có gì khó đâu nhỉ

      1. Tony 14 comment

        +++++++++++++++++++++++++++++++++++++++

        Bạn tạo ssl file này giúp mình với việt Phương

  3. Tony 14 comment

    nginx: [emerg] a duplicate default server for 0.0.0.0:80 in /etc/nginx/conf.d/vps.seowpress.com.conf:9
    nginx: configuration file /etc/nginx/nginx.conf test failed

    Lỗi này lỗi gì bạn. Minh mới add dòng:

    server {
    listen 9999 ssl http2;

    access_log off;
    log_not_found off;
    error_log /home/vps.seowpress.com/logs/nginx_error.log;

    root /home/vps.seowpress.com/private_html;
    index index.php index.html index.htm;
    server_name vps.seowpress.com;

    rror_page 497 https://$server_name:9999$request_uri;
    # SSL
    ssl_certificate /etc/letsencrypt/live/vps.seowpress.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/vps.seowpress.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    auth_basic “Restricted”;
    auth_basic_user_file /home/vps.seowpress.com/private_html/hocvps/.htpasswd;

    Là bị lỗi rồi

    1. Việt Phương Moderator

      nginx: [emerg] a duplicate default server for 0.0.0.0:80 in /etc/nginx/conf.d/vps.seowpress.com.conf:9
      nginx: configuration file /etc/nginx/nginx.conf test failed
      Lỗi này lỗi gì bạn. Minh mới add dòng:

      Trong cấu hình Nginx có 2 đoạn default server lặp nhau. Cụ thể dòng 9 của cấu hình Nginx có defaul_server
      Nếu bạn không hiểu được lặp với chỗ nào thì bạn xóa default_server đi là ok

      1. Tony 14 comment

        nginx: [warn] conflicting server name “vps.seowpress.com” on 0.0.0.0:80, ignored
        nginx: [warn] conflicting server name “www.vps.seowpress.com” on 0.0.0.0:80, ignored
        nginx: [warn] conflicting server name “vps.seowpress.com” on 0.0.0.0:9999, ignored
        nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
        nginx: configuration file /etc/nginx/nginx.conf test is successful

        không vào được cổng 9999 bị lỗi gì thế bạn Phương

        1. Việt Phương Moderator

          Bạn cấu hình lặp rồi. Có nhiều hơn 1 block cấu hình vps.seowpress.com:80, http://www.vps.seowpress.com:80, vps.seowpress.com:9999
          Có thể trong thư mục conf.d bạn đã có 2 file giống hệt nhau cấu hình như thế nên bị conflict.
          Còn không vào được cổng 9999 vì bạn đã cấu hình sai phần Nginx để đăng nhập vào port đó

  4. Chi Vu Dinh 17 comment

    Em không gia hạn tự động được. Gia hạn thủ công gặp lỗi này là sao a nhỉ.
    ——————————————————————————-
    Processing /etc/letsencrypt/renewal/domain.com.conf
    ——————————————————————————-
    expected /etc/letsencrypt/live/domain.com/cert.pem to be a symlink
    Renewal configuration file /etc/letsencrypt/renewal/domain.com.conf is broken. Skipping.

      1. Việt Phương Moderator

        OK bạn. Thank nhé. Đổi tên toàn bộ cert hiện tại và tạo lại symlink từ /archive

  5. Don 4 comment

    Lỗi em ntn thì phải làm sao ad?
    “Certbot has problem setting up the virtual environment.

    Based on your pip output, the problem can likely be fixed by
    increasing the available memory”
    [root@vultr letsencrypt]# free -m
    total used free shared buff/cache available
    Mem: 740 259 276 108 204 260
    Swap: 0 0 0

    1. Việt Phương Moderator

      Thiếu RAM để khởi tạo môi trường certbot
      Ram 740MB mà thiếu ư, mình tầm 512 vẫn issue được cert bình thường. Bạn thử tạo swap rồi issue lại cert nhé

      1. Don 4 comment

        Cám ơn anh!
        Lỗi ntn nữa sửa sao anh?
        ——————————————————————————-
        Processing /etc/letsencrypt/renewal/svietland.com.conf
        ——————————————————————————-
        expected /etc/letsencrypt/live/svietland.com/cert.pem to be a symlink
        Renewal configuration file /etc/letsencrypt/renewal/svietland.com.conf is broken. Skipping.

        No renewals were attempted.

        Additionally, the following renewal configuration files were invalid:
        /etc/letsencrypt/renewal/svietland.com.conf (parsefail)
        0 renew failure(s), 1 parse failure(s)

          1. Don 4 comment

            Bây giờ sửa không được, còn cách nào remove cái cũ, làm lại cái mới từ bước nào đó không anh?

          2. Việt Phương Moderator

            Bạn xóa toàn bộ cert liên quan đến domain tại 3 thư mục trong /etc/letencrypt là archive, live, renewal nhé

          3. Don 4 comment

            Mình làm được rồi rm hết folder /opt/* luôn, Cảm ơn Việt Phương nhé!

          4. Việt Phương Moderator

            Thế bạn xóa luôn let’s encrypt rồi còn gì 😀 Cách fix mình chỉ là để đảm bảo cert site khác vẫn tồn tại, chỉ xóa cert site lỗi

    1. Việt Phương Moderator

      Bạn check crontab which crontab. Không có thì cài đặt yum install crontabs

  6. Thao 7 comment

    Mình cài đặt xong ok rồi, có ổ khóa xanh rồi, nhưng web bị lỗi ko kết nôí được data, nó trắng trang làm sao giơ nhỉ

        1. Việt Phương Moderator

          Site cấu hình SSL OK. Còn File not found. là bạn đang show 1 root không có nội dung gì. Bạn xem trong thư mục web có nội dung không /home/funtees.us/public_html
          Và cho mình nội dung file Nginx Conf của bạn, paste qua https://pastebin.com/

          1. Thao 7 comment

            Cảm ơn bạn nhiều. đây là nội dung config của mình: https://pastebin.com/ydpeUeHx

            trong thư muc /home/www.funtees.us/public_html vẫn có nội dung bạn à, có code wp của site mình vẫn bình thường. Nhờ bạn xem giúp mình nhé, mình cảm ơn.

          2. Thao 7 comment

            OK rồi, mình tìm ra vấn đề rồi, xin cảm ơn bạn Luân Trần và Việt Phương nhiều nhé, cảm ơn.

          3. Thao 7 comment

            Cài xong mình bị lỗi 502 Bad Gateway file log như bên dưới, bạn xem lỗi gì giúp mình với, có cách nào khắc phục được không? cảm ơn bạn.

            connection 6
            2017/07/07 16:39:29 [alert] 5435#5435: *15 open socket #91 left in connection 7
            2017/07/07 16:39:29 [alert] 5435#5435: *16 open socket #92 left in connection 8
            2017/07/07 16:39:29 [alert] 5435#5435: *17 open socket #93 left in connection 9
            2017/07/07 16:39:29 [alert] 5435#5435: aborting

          4. Việt Phương Moderator

            Log này không ra vấn đề bạn à. Bạn xem log error của nginx hoặc php-fpm ý

          5. Thao 7 comment

            [12-Jun-2017 18:49:30] NOTICE: fpm is running, pid 15886
            [12-Jun-2017 18:49:30] NOTICE: ready to handle connections
            [12-Jun-2017 18:49:30] NOTICE: systemd monitor interval set to 10000ms
            [12-Jun-2017 18:49:32] NOTICE: Terminating …
            [12-Jun-2017 18:49:32] NOTICE: exiting, bye-bye!

            Bạn xem giúp mình nó là lỗi gì với

          6. Thao 7 comment

            Mình sent info qua mail rồi, bạn xem giúp mình với nhé, cảm ơn bạn.

          7. Việt Phương Moderator

            Done. Các bạn chú ý không sửa domain chính cài đặt HocVPS Script nhé.

    1. Luân Trần Admin

      Cảm ơn bạn mình thử rồi, thấy nó cài thêm nhiều service khác quá. Ngoài ra lệnh chạy bị lỗi @@

  7. Tan Hoang 35 comment

    Bạn ơi cho mình hỏi mình cài đặt ssl trên vps cho 1 website giờ mình add thêm trang web mới vào vps đó mà cài ssl cho trang web thêm vào như trong hướng dẫn trên mà ko được vậy, mình không thấy báo lỗi gì, thì là do nguyên nhân gì vậy, và làm thế nào để kiểm tra trang web thêm vào đó đã được kích hoạt ssl chưa? mình có cái cái Really Simple SSL để kích hoạt ssl mà thấy báo chứ có ssl. cảm ơn bạn!

    1. Tan Hoang 35 comment

      Trong vps của mình thì mình cài ssl đầu tiền cho website này: https://hoangvantan.com/
      giờ mình add thêm website này trong vps: tashinvietnam.com giờ phải làm như nào vậy bạn?

      1. Tan Hoang 35 comment

        chỉnh như nào vậy bạn của mình nó cũng cứ bị như trong ảnh của bạn, không xuất hiện khóa màu xanh và secure website của mình đây: https://hoangvantan.com mà lạ là khi ở trong phần admin của trang với một số mục trên trang thì lại có khóa màu xanh??

        1. Việt Phương Moderator

          Mixed Content: The page at 'https://xxx/' was loaded over HTTPS, but requested an insecure image 'http://ho.lazada.vn/aff_i?offer_id=2587&aff_id=147455&aff_sub=&aff_sub2=&aff_sub3=&aff_sub4=&aff_sub5='. This content should also be served over HTTPS.
          Mixed Content: The page at 'https://xxx/' was loaded over HTTPS, but requested an insecure image 'http://srv-live.lazada.co.th/cms/lazada_vn.png'. This content should also be served over HTTPS.

          Bạn dùng plugin như trong bài hướng dẫn đó, hoặc chỉnh sửa trong code

          1. Tan Hoang 35 comment

            Ok rồi bạn à, bỏ hết mấy cái ads liên quan đến thì hêt luôn, cảm ơn bạn.
            Cho mình hỏi thêm, VPS của mình đang cài một trang đã cài chứng chỉ SSL giờ mình add thêm một site nữa thì phải cài SSL cho nó như nào vậy bạn, mình có làm theo hướng dẫn phần 1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website. Nhưng cần làm thêm những gì để có thể thêm ssl được, cảm ơn bạn!

          2. Việt Phương Moderator

            Khi đó bạn đã có chứng chỉ của site B. Thì bạn cấu hình Nginx Conf của site B để nó lên SSL sử dụng chứng chỉ đó

          3. Tan Hoang 35 comment

            Ok, cảm ơn bạn, mình đã cấu hinh file config lại và đã activate được ssl rồi 🙂

  8. Su 3 comment

    cho mình hỏi là mình tạo cho nhiều domain đã thành công,
    nhưng khi mình nhập ip:port thì nó lại nhảy sang domain sau cùng mà mình đã cài SSL.
    giờ làm thế nào để nó nhảy về lại đúng domain hệ thống:port hoặc ip:port

    1. Việt Phương Moderator

      Bạn cài SSL cho các domain không phải domain chính trong HocVPs thì không thêm phần cấu hình port nhé. Bạn kiểm tra lại các Nginx Conf của các domain, thấy thừa phần đó thì xóa đi

  9. Zan Nguyễn 45 comment

    Đoạn này số port phải là 2313 chớ ko phải 2017 ^^

    “Cấu hình SSL với port quản lý HocVPS Script Admin

    Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2017.

    Tìm block server { … } có dòng listen 2017;

    Cấu hình SSL cho port HocVPS tương tự như bên dưới:

    server {
    listen 2017 ssl http2;
    access_log off;
    log_not_found off;
    error_log off;
    root /home/hocvps.com/private_html;
    index index.php index.html index.htm;
    server_name hocvps.com;

    error_page 497 https://$server_name:2017$request_uri;
    # SSL
    ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    auth_basic “Restricted”;
    auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;

    …”

  10. Chuẩn 1 comment

    Chào anh! Cho em hỏi 1 vấn đề về CloudFlare ạ:
    – Như trogn bài viết, có phần đánh dấu đỏ anh viết: “Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.”
    => Cho em hỏi, trong quá trình cài đặt thì tắt đám mây đi, rồi khi mình cài đặt xong thì bật đám mây đó ali5 được không ạ?

    1. Việt Phương Moderator

      Không bạn nhé. Nếu bạn dùng song song thì phải cấu hình CF như cuối bài viết mình ghi

  11. tri 5 comment

    mình làm xong các bước trên thì bị lỗi file not found và site trắng, bạn giúp mình với

  12. kính 12 comment

    chào admin mình đã cấu hình chuẩn rồi

    lệnh nginx -t báo nhu vậy :

    nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
    nginx: configuration file /etc/nginx/nginx.conf test is successful

    Khi vào web thì thanh địa chỉ màu xanh 1 lúc thì chuyển sau màu trắng là bị lỗi gì vậy admin. Mình cảm ơn

  13. kính 12 comment

    Mình Renew báo như vậy ko biết ok chưa ạ.

    /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
    DeprecationWarning
    Saving debug log to /var/log/letsencrypt/letsencrypt.log

    ——————————————————————————-
    Processing /etc/letsencrypt/renewal/yeuhangngoai.vn.conf
    ——————————————————————————-
    Cert not yet due for renewal

    ——————————————————————————-
    Processing /etc/letsencrypt/renewal/yeuhangngoai.com.conf
    ——————————————————————————-
    Cert not yet due for renewal

    The following certs are not due for renewal yet:
    /etc/letsencrypt/live/yeuhangngoai.vn/fullchain.pem (skipped)
    /etc/letsencrypt/live/yeuhangngoai.com/fullchain.pem (skipped)
    No renewals were attempted.
    No hooks were run.

          1. kính 12 comment

            bạn ơi, những comment facebook của web khi ở http thì qua https mất hết đúng ko bạn

          2. Việt Phương Moderator

            Mình không rõ lắm về tích hợp comment như vậy, có thể do tính là thay đổi URL nên sẽ mất comment

  14. Thanh Hải 14 comment

    Chào anh, em có 1 thắc mắc muốn hỏi chút ạ, em đang sử dụng Hocvps,

    trên Hocvps em chỉ setup duy nhất 1 domain

    em có làm 1 diễn đàn để rao vặt, trang tin của thành viên có thể trỏ domain khác vào để hiển thị

    ví dụ: http://raovat.com/thanh-vien/thanh-hai/tin-dang.html
    khi trỏ tên miền thì sẽ là: http://thanhhai.com/tin-dang.html

    và cái này hoạt động bình thường

    nhưng khi em setup thì https://raovat.com chạy okie, còn cái thanhhai.com thì không được ạ, anh có giải pháp nào không ạ,

    chúc anh sức khỏe và cảm ơn anh nhiều

    1. Việt Phương Moderator

      Bạn hỏi đúng topic nhé. Topic này bên Let’s Encrypt SSL. Và mình cũng chưa hiểu hệ thống bạn setup như thế nào để hiển thị cái thanhhai cho /thanhhai/ nên không tư vấn được rồi. Chắc bạn cần tự nghiên cứu rule Nginx để hiển thị và rewrite

  15. Thanh Hải 14 comment

    Hi anh, em đã cài đặt cho domain thành công

    Anh cho em hỏi thêm là cơ chế của bizweb, haravan, thì làm thế nào để các domain trỏ về hoặc subdomain được tự động tạo ra nhận được https ạ

    cảm ơn anh nhiều

      1. Việt Phương Moderator

        Let’s Encrypt cert là cho domain nên chỉ dành cho domain đăng kí thôi bạn nhé, tức chỉ domainwww.domain. Các bên kia có thể họ dùng WildCard SSL, bảo mật cho domain*.domain.
        Bạn không tự động được, mỗi sub bạn tạo ra thì bạn update vào nội dung của cert, ví dụ issue cert nhập domain abc.domain cde.domain

        1. Thanh Hải 14 comment

          hocvps script có thể cài được WildCard SSL không ạ,

          thêm nữa là nếu em trỏ một domain khác vào subdomain thì domain mới này có thể nhận được ssl không ạ

          cảm ơn anh

          1. Việt Phương Moderator

            1. WildCard SSL chỉ là SSL thôi mà, hệ thống nào cũng cài được, không chỉ gì HocVPS Script bạn à.
            2. Ý bạn là Park Domain kiểu demo.domain.com tương đương demodomain.com?
            Thực ra, không xét câu hỏi thì SSL đăng kí cho những gí sẽ chỉ bảo vệ cái đó. Nếu SSL đăng kí cho domain*.domain.com thì chỉ dành cho những site nó đăng kí

          2. Thanh Hải 14 comment

            vâng, dạng Park Domain đấy anh ạ

            vậy có thể đăng ký ssl cho domain demodomain.com được không anh

            khi mà web chính đang chạy là domain.com

          3. Việt Phương Moderator

            Bạn cứ đảm bảo trỏ đúng domain về IP thì nó cho đăng kí SSL thôi. Trên VPS bạn bao nhiêu site mà chả được, đâu gì site chính
            Cấu hình Park Domain thì tách riêng 1 Nginx Conf riêng

  16. 17 comment

    Crontab chỉ cần thực hiện 1 lần là nó tự động gia hạn cho tất cả các domain đúng ko các bạn?

Comment của bạn

Your email address will not be published. Required fields are marked *