Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.
Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.
Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.
Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.
Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”
Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.
Nội dung bài viết
1/ Cài đặt chứng chỉ Let’s Encrypt
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
3/ Cập nhật cấu hình trong Google Search Console và Analytics
4/ Tự động gia hạn Let’s Encrypt
1/ Cài đặt chứng chỉ Let’s Encrypt
1.1/ Cài đặt certbot
yum -y install certbot
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option --standalone
# Stop Nginx service nginx stop # Issue SSL Let's Encrypt certbot certonly --standalone
Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.
Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.
Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.
Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again. - If you lose your account credentials, you can recover through e-mails sent to admin@hocvps.com. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Lưu ý các thông tin mình bôi đỏ:
- /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
- 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)
Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website
Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:
# Stop Nginx service nginx stop # Install Let's Encrypt certbot certonly --standalone
Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.
2/ Cấu hình Nginx
Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf
Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.
Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.
Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)
mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem
Chỉnh sửa cấu hình domain bằng Nano Editor
nano /etc/nginx/conf.d/hocvps.com.conf
Cấu hình SSL xử lý các request
Trong block server { ... } thứ 2 điều chỉnh như sau:
+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;
+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:
# SSL ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; # Improve HTTPS performance with session resumption ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; # DH parameters ssl_dhparam /etc/nginx/ssl/dhparam.pem; # Enable HSTS add_header Strict-Transport-Security "max-age=31536000" always;
Redirect toàn bộ www http sang https
Trong block server { ... } ở phía trên cùng:
+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;
+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;
Kết quả được như sau:
server {
listen 80;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com
Redirect toàn bộ www https sang https
Thêm mới block server { ... } ở trên cùng
server {
listen 443 ssl;
server_name www.hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com
Cấu hình SSL với port quản lý HocVPS Script Admin
Lưu ý:
- Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
- Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link
http://IP:portđể vào khu vực quản trị HocVPS Script Admin.
Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;
Cấu hình SSL cho port HocVPS tương tự như bên dưới:
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log off;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
...
Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018
File cấu hình Nginx cuối cùng sẽ tương tự như sau:
server {
listen 443 ssl;
server_name www.hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
listen 80;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
listen 443 ssl default_server;
# access_log off;
access_log /home/hocvps.com/logs/access.log;
# error_log off;
error_log /home/hocvps.com/logs/error.log;
root /home/hocvps.com/public_html;
index index.php index.html index.htm;
server_name hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
# Improve HTTPS performance with session resumption
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
# DH parameters
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# Enable HSTS
add_header Strict-Transport-Security "max-age=31536000" always;
location / {
try_files $uri $uri/ /index.php?$args;
}
# Custom configuration
include /home/hocvps.com/public_html/*.conf;
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_connect_timeout 1000;
fastcgi_send_timeout 1000;
fastcgi_read_timeout 1000;
fastcgi_buffer_size 256k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
}
location /nginx_status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
location /php_status {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
allow 127.0.0.1;
deny all;
}
# Disable .htaccess and other hidden files
location ~ /\.(?!well-known).* {
deny all;
access_log off;
log_not_found off;
}
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
gzip_static off;
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
expires 30d;
break;
}
location ~* \.(txt|js|css)$ {
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
expires 30d;
break;
}
}
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log /home/hocvps.com/logs/nginx_error.log;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
location / {
autoindex on;
try_files $uri $uri/ /index.php;
}
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_connect_timeout 1000;
fastcgi_send_timeout 1000;
fastcgi_read_timeout 1000;
fastcgi_buffer_size 256k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
}
location ~ /\. {
deny all;
}
}
_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:
- Không thiết lập HocVPS Admin Port
- Bỏ tham số
default_serverbên cạnhlisten 443
_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):
- Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
- Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng
ip:port - Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.
_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Tham khảo thêm Tối ưu HTTPS trên Nginx.
Kiểm tra lại cấu hình Nginx
nginx -t
Phản hồi như sau là ok:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
Khởi động lại Nginx
service nginx restart
Giờ truy cập vào domain để tận hưởng thành quả thôi.
Lưu ý:
- Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
- Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
- Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.
3/ Cập nhật cấu hình trong Google Search Console và Analytics
Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.
4/ Tự động gia hạn Let’s Encrypt
Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.
certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"
Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.
Mở file cấu hình crontab:
# EDITOR=nano crontab -e
Copy và paste đoạn code bên dưới vào cửa sổ terminal:
30 2 * * * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log
Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công
crontab: installing new crontab
crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.
Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.
Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 6.Một số vấn đề gặp phải
5/ Xóa chứng chỉ Let’s Encrypt
Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:
# Remove Let's Encrypt certbot delete
Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.
6/ Một số vấn đề gặp phải
Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service
Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.
# cd /opt/letsencrypt && git pull
Nếu gặp thông báo lỗi thì sử dụng lệnh này: # cd /opt/letsencrypt && git reset --hard && git pull
Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau:
Kiểm tra nội dung /var/spool/mail/root thấy:
Failed to find executable /usr/sbin/service in PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin Unable to find pre-hook command /usr/sbin/service in the PATH. (PATH is /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)
Kiểm tra nội dung /var/log/cron thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung /var/log/le-renew.log và bên trong /var/log/letencrypt không thấy gì khả nghi.
– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.
# whereis service service: /sbin/service /usr/share/man/man8/service.8.gz
# echo $PATH /usr/bin:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
Có thể thấy, lệnh service nằm trong /sbin/service, không thuộc biến môi trường PATH. Crontab chỉ tìm /usr/sbin/service và không thấy.
– Giải pháp::
Bạn cần sử dụng đường dẫn cụ thể để chạy lệnh service trong crontab. Vị trí sẽ tùy thuộc vào từng hệ thống, kiểm tra bằng # whereis service.
Ví dụ, khi là /sbin/service thì câu lệnh chèn vào crontab sẽ như sau:
30 2 * * * certbot renew --pre-hook "/sbin/service nginx stop" --post-hook "/sbin/service nginx start" >> /var/log/le-renew.log
– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.
No renewals were attempted.
Hoặc expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink
– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.
Kiểm tra nội dung cert và private key:
# openssl x509 -noout -text -in /etc/letsencrypt/live/hocvps.com/cert.pem unable to load certificate 3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE # openssl rsa -noout -text -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check unable to load Private Key 3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY
Kiểm tra MD5 của cert và key (trùng nhau là ok):
# openssl x509 -noout -modulus -in fullchain.pem | openssl md5 # openssl rsa -noout -modulus -in privkey.pem | openssl md5
Kiểm tra danh sách cert trong VPS
# certbot certificates
Found the following certs:
Certificate Name: hocvps.com
Domains: hocvps.com www.hocvps.com
Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------
– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)
# cd /opt/letsencrypt # ./certbot delete --cert-name hocvps.com Saving debug log to /var/log/letsencrypt/letsencrypt.log ------------------------------------------------------------------------------- Deleted all files relating to certificate hocvps.com. -------------------------------------------------------------------------------
– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS
# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)
#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error
– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ
- CentOS6 chứng chỉ lưu tại
/etc/ssl/certs/ca-bundle.crt - CentOS7 chứng chỉ lưu tại
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.
# yum reinstall -y ca-certificates
– Đối với lỗi (35) – Cập nhật NSS
# yum update nss -y
Chúc bạn thành công.
Chào bạn mình có website https://tinycat99.ws khi gõ check thì thấy redirect từ http qua https là 307 làm sao chỉnh để redirect là 301 nhỉ ?
nginx: [warn] conflicting server name “baohanh-lg.net” on 0.0.0.0:80, ignored
Bị lỗi này thì khắc phục sao vậy các bác
Redirecting to /bin/systemctl restart nginx.service
Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.
Khởi động lại Nginx
service nginx restart
lỗi này sao khắc phục anh, Thanks
Mình có con vps cài hocvps mà lâu lâu bị full hơn 100% cpu như này là lỗi do đâu a nhỉ, có cách nào giải quyết không ạ
ảnh: https://www.upsieutoc.com/image/FnBJYb
Hi admin!
Website của mình sử dụng Let’s Encrypt trên nền host Cpanel… Đã dùng được 3 tháng giờ nó báo hết hạn xong báo lỗi trang web truy cập không an toàn…giờ nhờ nhà cung cung Host họ bảo không phải lỗi bên đó, giờ bảo mua trả phí đi thì không lỗi nữa?…Vậy có lỗi do host hay không ạ?
admin xem giúp web: https://wedgiare.com/
Xin trân thành cám ơn.
Em đang dùng hocvps, dùng ssl của gogetssl, giờ sắp hết hạn, làm sao để gia hạn vậy admin ơi.
hướng dẫn giúp em với
Chào ad ạ. E cài ssl trên vps google đó, sau khi cài xong các site truy cập bình thường, duy nhất khi vào port admin là nó không truy cập được ạ
Các bác ghé website: https://pus.edu.vn người ta hỗ trợ nè. giờ hocvps bị Luân Trần bỏ rơi rồi
ERR_CONNECTION_TIMED_OUT
Cài cả buổi xong lỗi này Fix ở đâu vậy?
Ping nginx -t ngon lành.
Đã dò không sai chính tả, trên Cloudflare Off cả SSL không đc. Fixible hoặc Full Strict cũng không đc?
Tắt đám mây cũng không được.
Chào ad! Ad cài ssl giúp em với ạ
Kiểm tra lại thấy thêm hàng trên nữa. bị gì và khắc phục thế nào đây các Anh Chị
nginx -t
nginx: [warn] conflicting server name “www.webtoi.net” on 0.0.0.0:443, ignored
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
mình cũng bị lỗi nginx: [warn] conflicting server name giống bạn, khả năng cáo là VPS của bạn dùng nhiều IP vào cùng 1 VPS (làm web vệ tinh trên cùng 1 VPS nhưng mua thêm nhiều IP)
không biết xử lý như thế nào nhỉ, hơi đau đầu vụ này
# service nginx restart
Redirecting to /bin/systemctl restart nginx.service
Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.
cài thêm ssl
restart lại bị vẫy? A/E cho hỏi sửa sao nhỉ?
Mình đã cài vps theo hướng dẫn này : https://hocvps.com/cai-dat-lets-encrypt
nhưng sau khi cài xong thì domain mình không chạy được https và ra trang 404.
Đây là file config của mình
https://pastebin.com/DmamYeLQ
Trước khi cài thì mình chạy dc domain không ssl.
Sau khi cài xong thì ra trang 404.
hi chào admin. Tình hình là mình đã cài giống như hướng dẫn.
Sau khi cài xong thì domain mình ra 404 không hoạt động.
Trước khi cài thì nó hoạt động không ssl.
Nhưng khi cài xong thì nó lại không hoạt động.
Có gì chỉ rõ giúp mình
Đây là file config domain.
https://pastebin.com/DmamYeLQ
e chào ad ạ.
em k biết e đã cài chứng chỉ Let’s Encrypt nhiều lần giờ đã bị giới hạn.
k biết giờ còn cách nào k ad.
Thanks ad nhiều ạ
Em đã cài ngon lành cho cả domain chính và domain phụ ( donmain thứ 2 add vào ) Vậy cho em hỏi cách gia hạn thủ công cho domain thứ 2 thì làm như thế nào vậy ạ?
Nếu cả 2 domain đều không dùng CDN Cloudflare thì domain thứ 2 có tự động gia hạn không? Hay mặc định nó phải gia hạn thủ công kể cả có dùng CDN Cloudflare hay không?
Thanks anh.
Cài cái này có lâu không mọi người
Hi admin,
Mình gia hạn SSL thủ công thì bị treo luôn.
[root@sv1 home]# /opt/letsencrypt/certbot-auto renew –pre-hook “service nginx stop” –post-hook “service nginx start”
Another instance of Certbot is already running.
Giờ phải khắc phục như thế nào ?
Thanks admin.
VPS chạy nhiều domain
1) Admin test.domain.com // chạy Ok
2) Cài đặt SSL cho một subdomain: test.domain.com
Sau khi cài đặt & service nginx restart VPS báo Ok
nhưng khi truy cập vào test.domain.com nó tự động chuyển sang 1 domain khác đang host trên VPS.
Nhờ Admin chỉ giúp cách khắc phục ?
Regards
Mình đã cài ssl cho website hieuhoaexpress.com (ví dụ) rồi, mình hiện có một subdomain ở một server khác nhưng muốn sử dụng chứng chỉ của ssl abc.com để cho subdomain cũng có ssl luôn thì phải làm thế nào ạ?
Tích hợp luôn vào script đi ad chứ như thế này hơi khoai…
Tạo cron tự động gia hạn là chỉ tạo 1 lần đối với tất cả domain phải ko ad? Hay phải mỗi domain lại phải tạo thêm 1 lần
AD có thể trả lời giúp mình tìm hướng giải quyết chút.
Mình thực hiện hoàn thiện các thứ.. web chạy ok ssl và admin hocvps cũng okey mọi thứ.
Nhưng sau thành công này thì lại không kết nối được SSH… mình đã khởi tạo lại centos 4 5 lần rồi cứ như thế này … Không hiểu tại sao ? AD giúp mình với… Mình đang dùng thử AWS EC2
Trời ơi…. Mày mò 1 hồi thì mới hiểu ra… Thế là tốn công 4 5 lần cài đi xóa lại HĐH… Bởi vì SSH nó không hoạt động… Mình restart lại nó cũng không khởi động… Thì ra, shutdown và chạy lại nó lại hoạt động bình thường… hix
Cho mình hỏi, sau khi cài theo hướng dẫn thì tất cả domain trên con VPS Vultr của mình đều không cài đặt/update được plugin, theme mới.
Nó báo lỗi như sau:
An unexpected error occurred. Something may be wrong with WordPress.org or this server’s configuration. If you continue to have problems, please try the support forums.
Warning: An unexpected error occurred. Something may be wrong with WordPress.org or this server’s configuration. If you continue to have problems, please try the support forums. (WordPress could not establish a secure connection to WordPress.org. Please contact your server administrator.) in /home/muasamthongthai.com/public_html/wp-admin/includes/plugin-install.php on line 181
Cho mình hỏi vì sao và cách sửa thế nào. Mình thử chạy lệnh phân quyền webserver mà không được.
Hình ảnh: http://prntscr.com/ojufau
Nay chạy lệnh gia hạn thủ công Let Encrypt xuất hiện liên tục các lỗi như thế này:
/opt/letsencrypt/certbot-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"Bootstrapping dependencies for RedHat-based OSes... (you can skip this with --no-bootstrap)
yum is /usr/bin/yum
yum is hashed (/usr/bin/yum)
Loaded plugins: fastestmirror
http://mirror.0x.sg/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
To address this issue please refer to the below knowledge base article
https://access.redhat.com/articles/1320623
If above article doesn't help to resolve this issue please create a bug on https://bugs.centos.org/
http://download.nus.edu.sg/mirror/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
http://ossm.utm.my/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
http://centos.ipserverone.com/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
http://mirror.upsi.edu.my/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
http://mirror.myren.net.my/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not
Found
Trying other mirror.
http://centos.usonyx.net/main/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
http://mirror.qoxy.com/centos/7.5.1804/os/x86_64/repodata/repomd.xml: [Errno 14] HTTP Error 404 - Not Found
Trying other mirror.
Bác Luân cho cách khắc phục với
Có video hướng dẫn cụ thể k ạ, chứ nhìn vầy cảm thấy hơi mù mịt :3
Luân ơi, hướng dẫn giùm cách thêm 1 domain mới với.
Tks!
Ơ ơ anh ơi sao ổ khóa của em nó đen thui không giống của anh vậy 🙂
sau khi cài xong thì port quản trị không vào được nhưng website vẫn chạy bình thường ạ
giờ mình k vào phpmyadmin được
à ok rồi ạ
thiếu cái này
server {
listen 2018 ssl;
Khi kiểm tra lại cấu hình nó lỗi thế này là xử lí sao đây a Luân ơi ! Help me !
[root@rentaldanang home]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: [emerg] open() “/home/clear/logs/access.log” failed (2: No such file or directory)
nginx: configuration file /etc/nginx/nginx.conf test failed
Chào admin!
Web em làm về dịch vụ kế toán, tên miền là : https://ketoanthuannguyen.vn . Khi em cài xong thì vào https nó báo lỗi ERR_TOO_MANY_REDIRECTS. kể cả vào bàng http như trước thì cũng báo lỗi tương tự . Vậy bị lỗi gì ạ?
Bạn kiểm tra lại cấu hình Nginx, Site URL SETTING trong WP và cả thiết lập Cloudflare (đám mây vàng – nếu có)
Non-ASCII domain names not supported. To issue for an Internationalized Domain Name, use Punycode
Anh Luân ơi em hỏi nó báo như này là sao ạ?.
Bạn tắt unikey khi gõ domain nhé. Dính kí tự đặc biệt rồi
Cài SSL xong thì vps ko chạy nữa, web cũng không vào được là làm sao anh Luân nhỉ?
Bạn kiểm tra trạng thái Nginx như thế nào
Có vấn đề này mình tìm cách mấy hôm vẫn vô vọng, mong được ad giải đáp:
Mình có 3 domain, 1 cái chính là .com, 2 cái phụ là .edu.vn và .vn
Mình đã dùng hocvps script thêm 3 domain và có 3 cái folder, sau đó làm theo hướng dẫn như bài viết trên và tạo được ssl thành công cho cả 3 cái domains.
Nhưng hiện giờ mình muốn redirect 301 hai cái domain phụ .edu.vn và .vn về cái chính là .com thì không dùng chức năng 13) Thêm Redirect Domain được. Ad hướng dẫn giúp mình với!
Bạn sửa Nginx Conf của domain phụ và thêm redirect 301 thủ công nhé. Tính năng 13) chỉ hoạt động đối với Nginx Conf nguyên gốc, khi bạn chưa chỉnh sửa(tức chưa cài ssl)
Ad ơi. Mình thêm domain mới và chạy project nodejs thì config như thế nào nhỉ. Mình bị báo 502 suốt. Mình chạy project cổng 3333. Cảm ơn!
Giúp với Ad ơi
Sorry bạn, vấn đề này thì mình không rõ rồi
ad cũng k giải quyết đc r :3
Mình thêm 1 domain nữa và cài ssl theo hướng dẫn là:
# Stop Nginx
service nginx stop
# Install Let’s Encrypt
/opt/letsencrypt/certbot-auto certonly –standalone
nhưng sao vẫn không được??? có phải chỉnh gì nữa không nhỉ?
Thks Luân!
Không được là như thế nào bạn nhỉ? Bạn phải mô tả cụ thể mình mới biết được. Còn bạn phải thực hiện đầy đủ các bước như ghi đó, chứ ko phải chỉ issue cert
Ở đoạn Cấu hình SSL với port quản lý HocVPS Script Admin, mình đã cấu hình đúng sao nó k đăng nhập được vậy ad, dùng cả: https://domain.com:port và cả: ip:port vẫn không được.
====================================
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log off;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic “Restricted”;
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
…
1. Bạn post đúng cấu hình bạn đã thực hiện nhé
2. Port HocVPS Admin của bạn có phải 2018 không?
Chào bác, bác cho em hỏi em đã cài thành công cho 1 website trên hocvps rồi.
Giờ em muốn cài ssl thêm 1 web khác nữa thì mình bắt đầu từ đâu ạ?
Hay là phải làm từ đầu bài viết này luôn?
Em cám ơn
Từ bước phát hành chứng chỉ nhé bạn
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
Chào bạn, tự dưng vps của mình nó k bị lỗi gì cả, mà truy cập website thì nó báo kết nối bị từ chối như ảnh này: http://prntscr.com/o5iapu ( bị cả 2 website trên cùng 1 vps luôn ).
Mình thử cài lại ssl nó cũng k hoạt động.
Xin hỏi mình có thể làm gì đeer kiểm tra tình trạng của VPS và hướng khắc phục vậy Luận ?
Xin cảm ơn
Bạn kiểm tra trạng thái Nginx trên VPS nhé
service nginx status
nginx -t
Trước nó báo còn 20 ngày hết hạn. Mình cài đặt crontab như trên. Nhưng sau hôm nay nó lại báo còn 10 ngày hết hạn nhỉ. mình có nhiều web trên 1 server, nhưng chỉ có 1 con báo sắp hết hạn ssl
Mình cũng bị y chang. Chỉ mỗi 1 domain. Và gia hạn thủ công cũng không được luôn.
Bạn gia hạn thủ công xem lỗi ở đâu nhé
Bạn gia hạn thủ công xem lỗi ở đâu nhé
Xin chào,
Mình có 1 domain chính và 1 blog là subfolder từ domain này. soloyo.vn và soloyo.vn/blog.
Mình đã cài được Letsencrypt cho domain. Bạn cho mình hỏi làm thế nào để cài được ssl cho blog soloyo.vn/blog.
Cảm ơn ban
Subfolder nếu không cài Nginx riêng thì bản chất cũng chỉ là 1 phần của domain thôi mà
Bạn truy cập domain.com/abcxyz thì nó tự lấy SSL từ domain chính domain.com thôi
Mình cũng gặp tình trạng giống bác này và thử rồi nhưng k thấy phản hồi j ạ??