Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Thỉnh thoảng bạn nên cập nhật mã nguồn Let’s Encrypt từ Github để có được tính năng mới nhất, việc này không bắt buộc.

cd /opt/letsencrypt && git pull

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2017.

Tìm block server { ... } có dòng listen 2017;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:2017$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2017

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$server_name:2017$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_Update 07/04/2017:
Do OCSP Stapling khó tương thích với Nginx, mình sẽ bỏ khỏi cấu hình Nginx. Để sử dụng/nghiên cứu sâu hơn, mời bạn tham khảo: Tối ưu HTTPS trên Nginx

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.


_ Bạn sẽ không thể gia hạn tự động SSL Let’s Encrypt nếu dùng CloudFlare CDN (biểu tượng đám mây vàng).
_ Nếu vẫn muốn dùng kết hợp Cloudafare CDN:

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý CloudFlare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port hoặc http://domain:port

5/ Một số vấn đề gặp phải

Cert lỗi không thể đọc (corrupt/symlink).

– Dấu hiệu: Đến ngày hết hạn thì không thể auto-renew hay renew thủ công, với thông báo:

# /opt/letsencrypt/letsencrypt-auto renew
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/hocvps.com.conf
-------------------------------------------------------------------------------
[('PEM routines', 'PEM_read_bio', 'no start line')]
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/crypto_util.py", line 229, in _load_cert_or_req
    return load_func(typ, cert_or_req_str)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/crypto.py", line 1661, in load_certificate
    _raise_current_error()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/_util.py", line 48, in exception_from_error_queue
    raise exception_type(errors)
Error: [('PEM routines', 'PEM_read_bio', 'no start line')]
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Additionally, the following renewal configuration files were invalid:
  /etc/letsencrypt/renewal/hocvps.com.conf (parsefail)
0 renew failure(s), 1 parse failure(s)

Hoặc

——————————————————————————-
Processing /etc/letsencrypt/renewal/hocvps.com.conf
——————————————————————————-
expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

/2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Renewal conf file /etc/letsencrypt/renewal/hocvps.com.conf is broken. Skipping.
2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Traceback was:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/cert_manager.py", line 246, in _search_lineages
    candidate_lineage = storage.RenewableCert(renewal_file, cli_config)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 401, in __init__
    self._check_symlinks()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 460, in _check_symlinks
    "expected {0} to be a symlink".format(link))
CertStorageError: expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

– Giải pháp:

  • Xóa hoàn toàn cert cũ: # rm -rf /etc/letsencrypt/live/hocvps.com/ /etc/letsencrypt/renewal/hocvps.com.conf /etc/letsencrypt/archive/hocvps.com/
  • Issue lại cert mới cho site (như mục 1.1). Chú ý, do thư mục cert có thể thay đổi (ví dụ /etc/letsencrypt/live/hocvps.com-0001/), cần cập nhật lại đường dẫn cert trong Nginx Conf của domain.

Chúc bạn thành công.

Comment của bạn

Your email address will not be published. Required fields are marked *

1,082 Comments

  1. Ngọc Khánh 6 comment

    Em xài hocvps script cài thì ok cả rồi nhưng vào site quản lí file với phpmyadmin thì bị lỗi 403. Hu hu.. Ai giúp e với ạ?

        1. Việt Phương Moderator

          Bạn copy file gốc từ bài viết rồi Find Replace đúng không?
          Bạn phải thay hocvps.com bằng domain của bạn nhé, không được thay hocvps

  2. Nam 1 comment

    Ad cho em hỏi, là khi ok rồi, nhưng mà cứ bật cloudflare thì nó lỗi nhỉ, nó báo chuyển hướng quá nhiều lần, còn tắt đi thì lại bt, có cách nào bật mà ko bị lỗi k ad?

  3. Hoàng 2 comment

    Có cách nào áp dụng được trên wordpress multisite với các domain khác nhau không. Mình có 1 multisite, giờ tên miền khác thì không dùng dc.

    1. Việt Phương Moderator

      Bạn cấu hình ngược lại với bài hướng dẫn nhé. Bài hướng dẫn là
      1. Toàn bộ httphttp://www redirect về https
      2. Toàn bộ https://www redirect về https

  4. Trần Ngọc Châu 4 comment

    Khi mình thêm domain thì gặp phải cảnh báo
    nginx: [warn] conflicting server name “hanoipiesrcing.vn” on 0.0.0.0:80, ignored

    1. Việt Phương Moderator

      Bạn bị trùng, có 2 đoạn trong /etc/nginx/conf.d cùng chứa hanoipiesrcing.vn block 80
      Có thể ở ngay chính file đó, hoặc trong file khác cùng thư mục (file backup)

  5. Phieudu 21 comment

    “IMPORTANT NOTES:
    – The following errors were reported by the server:

    Domain: xxxx.com
    Type: connection
    Detail: Timeout

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.”

    là bị sao nhỉ ad. Domain chạy ầm ầm rồi

    1. Việt Phương Moderator

      Domain (A Record) bạn trỏ về VPS chưa? Cũng như đã ngắt Cloudfare (đám mây vàng) chưa. Bạn dùng VPS ping tới domain xem. Và bạn chú ý không spam comment ở nhiều topic, hỏi đúng topic trọng tâm thôi nhé

  6. Vi Nguyen 13 comment

    Mình mới cài lại Cent OS 7.3 trên Vultr
    Chạy crontab thì báo lỗi này

    30 2 * * * /opt/letsencrypt/letsencrypt-auto renew –pre-hook “service nginx stop” –post-hook “service nginx start” >> /var/log/le-renew.log

    crontab: installing new crontab

    ————–
    “-bash: crontab:: command not found”
    ————–

    Mong các bác giúp

    1. Vi Nguyen 13 comment

      sorry, em đã làm được rồi
      lý do là không rành crontab, đó là thông báo mà cứ nhầm là lệnh

      1. Việt Phương Moderator

        Uhm ok bạn. crontab: installing new crontab là thông báo đã chèn thành công 1 cronjob

  7. Tajobs 18 comment

    Mấy lệnh tự động gia hạn ssl đó là nó sẽ tự động gia hạn ssl của toàn bộ domain, sub trên vps luôn à ad

    1. Việt Phương Moderator

      Đúng bạn, tự động gia hạn của toàn bộ các cert đã đc tạo trên VPS. Nhưng chỉ tự động gia hạn khi còn 30 ngày thôi

  8. TRI 9 comment

    Mình làm tới 2/ Cấu hình Nginx thì không biết nữa.
    Bạn nào làm tốt chỉ mình với nhé.
    Sau cả ngày vật lộn mình phát hiện dùng Cloudflare nhanh gọn
    Vậy có gì khác nhau giữa cài trên Nginx và dùng trực tiếp Cloudflare?
    Cảm ơn các bạn quan tâm.

    1. Việt Phương Moderator

      1. Bài viết đã chi tiết rồi, bạn chỉ cần sửa file như đề cập
      2. Khi đó cloudfare hoạt động như 1 webserver tương tự Nginx. Về mặt SSL thì sẽ có thể sự khác biệt về các trình duyệt chấp nhận

      1. TRI 9 comment

        Hi Việt Phương, mình mới mua VPS Vultr.
        Hiện đã cài Cent OS 6×64 và kết nối được với ZOC .
        Nhờ Phương hướng dẫn các bước tiếp theo làm gì?
        P/S: mình có đọc đi đọc lại mà không biết các lệnh đó dán vào đâu.
        Vui lòng hướng dẫn giúp mình.
        Cảm ơn Phương.

  9. Mến 5 comment

    Vì đã mua chứng chỉ SSL tới 3 năm rồi mà cài cả ngày chả được …. Trong khi đó qua chứng chỉ SSL miễn phí cài 1 phát được luôn …. Không biết cái CHỨNG CHỈ SSL MIỄN PHÍ và CHỨNG CHỈ SSL THU PHÍ có gì khác ? ,,,, Hỏi admin để biết rõ hơn. Để có động lực tiếp tục cài chứng chỉ thu phí, chứ cài hoài ko được mãn quá 🙁

    1. TRI 9 comment

      Mình cũng vậy bạn ah. Làm như có gì đó mà không thông. Làm cả ngày bực bội lắm. Chia sẻ cùng bạn.

    2. Việt Phương Moderator

      Khác biệt về thời gian, về support từ đội ngũ phát hành, về bảo hành, về các trình duyệt (phiên bản) hỗ trợ, về độ bảo mật

        1. Mến 5 comment

          Cuối cùng cũng cài được cái SSL thu phí, cảm ơn ad đã thêm động lực 🙂 /// và cuối cùng ko phi ~15$

          1. Việt Phương Moderator

            Uhm bạn, không quá khó mà 🙂 Chủ yếu bước gen chứng chỉ chứ cài đặt vào VPS thì đơn giản

  10. Hoa 2 comment

    Bạn ơi cho mình hỏi, giờ nếu mình muốn gỡ SSL ra, không dùng nữa thì làm thế nào?

    1. Việt Phương Moderator

      Bạn chỉnh sửa cấu hình Nginx về ban đầu (trước khi cài đặt SSL) nhé

      1. Hoa 2 comment

        Mình newbie, không rành code , bản có thể hướng dẫn cụ thể hơn xíu được không?
        Cám ơn bạn!

        1. Việt Phương Moderator

          Bạn đã sửa được cấu hình Nginx từ chưa SSL về SSL thì hoàn toàn có thể sửa được từ SSL về chưa SSL mà. File ban đầu như thế nào thì phục hồi lại thôi

  11. tuấn 5 comment

    Em dùng vps vultr, đã cài WordPress Application. giờ có cài Let’s Encrypt được không bác Luân. Nếu được em nhờ bác cài. Thanks

    1. Việt Phương Moderator

      Tức VPS cài sẵn WordPress từ Vultr? Bên ý sửa dụng Webserver Apache (LAMP). Cài được bình thường nhưng sẽ khác từ bước 2/ Cấu hình Nginx vì bạn sẽ cần Cấu hình Apache. Bạn search trên mạng nhiều bạn tham khảo nhé, vì đi sâu Apache mình không rõ

    1. Việt Phương Moderator

      Quản lý domain, A Record www hiện bạn chưa trỏ về VPS/chưa cấu hình

        1. Việt Phương Moderator

          Chắc bạn ngắt mỗi đám mây vàng của non-www mà không ngắt cả www

          1. Duy Thắng 3 comment

            Mình cài SSL Let’s Encrypt qua ngày hôm sau thấy nó báo như vậy từ web master tool. Là do mình thao tác sai hay là do sử dụng SSL miễn phí nó báo như vậy vậy admin?

            Tới: Quản trị viên web của https://noitoiseden. com/
            Google phát hiện thấy rằng chứng chỉ SSL/TLS được sử dụng trên https://noitoiseden. com/ là tự ký, có nghĩa là chứng chỉ đã được phát hành bởi máy chủ của bạn chứ không phải một Tổ chức phát hành chứng chỉ. Bởi vì chỉ các Tổ chức phát hành chứng chỉ mới được coi là nguồn đáng tin cậy của chứng chỉ SSL/TLS nên hầu hết các trình duyệt không thể tin cậy chứng chỉ của bạn. Ngoài ra, một chứng chỉ tự ký có nghĩa là nội dung của bạn không được xác thực, nội dung có thể bị sửa đổi và bên thứ ba có thể chặn dữ liệu người dùng hoặc hành vi duyệt web của bạn. Do đó, nhiều trình duyệt web sẽ chặn người dùng bằng cách hiển thị cảnh báo bảo mật khi họ truy cập vào trang web của bạn. Điều này được thực hiện để ngăn bên thứ ba chặn hành vi duyệt web của người dùng, có thể xảy ra trên các trang web không an toàn.

          2. Việt Phương Moderator

            https://www.ssllabs.com/ssltest/analyze.html?d=noitoiseden.com
            https://www.sslshopper.com/ssl-checker.html?hostname=noitoiseden.com
            Và mình thử truy cập thấy hoàn toàn bình thường http://prntscr.com/gwfsrn nên không rõ vấn đề ở đây rồi. Bạn contact lại GG support xem sao chứ chứng chỉ bạn là Let’s Encrypt và không phải tự ký
            Hoặc có thể trước khi dùng Let’s Encrypt bạn dùng chứng chỉ tự kí?

          3. Duy Thắng 3 comment

            Trước khi mình đăng ký thì mình vẫn sử dụng http, với lại web của mình khi lên bằng mobile sử dụng google chrome thì cái ổ khóa và chữ https nó không hiện màu xanh. nó hiện chữ màu trắng giống như http

  12. Binh Nguyen 26 comment

    Hey. Mình không biết bị lỗi gì sau khi cài ssl xong domain truy cập ok hết nhưng khi vào HocVPS Script abc.com:xxxx thì nó báo như sau:
    This site can’t provide a secure connection

    abc.com sent an invalid response.
    ERR_SSL_PROTOCOL_ERROR

    1. Việt Phương Moderator

      Cho mình phần Nginx Conf bạn vừa cài đặt. Và bạn cài cho domain chính hay domai phụ trong HocVPS

      1. Binh Nguyen 26 comment

        Mình dùng cho domain chính, bạn cho mình mail mình gửi file cấu hình qua cho bạn xem

  13. Dong Ha Van 6 comment

    em copy file này rồi sửa thành domain mình đc không ạ. Thanks ad
    “File cấu hình Nginx cuối cùng sẽ tương tự như sau”

    1. Việt Phương Moderator

      Nếu bạn dùng HocVPS thì okie nhé, sẽ không xung đột. Và sửa hocvps.com thành domain bạn. Nếu dùng cho domain phụ thì xóa phần cấu hình HocVPs Admin đi

  14. Minh Quyet 8 comment

    Khi e cài ở mục 1. Xong thì nó báo lỗi này ạ
    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.
    – Your account credentials have been saved in your Certbot
    configuration directory at /etc/letsencrypt. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and private keys obtained by Certbot so
    making regular backups of this folder is ideal.

    Làm sao khắc phục vậy ad? E cám ơn ạ

    1. Việt Phương Moderator

      Đảm bảo đúng domain record và www record của bạn đã trỏ về IP VPS

  15. Minh 42 comment

    Mình tạo 2 subdomain, 1 cái ko nhận ssl vào bình thường, còn 1 cái cứ chuyển hướng sang https làm bị kết nối riêng tư khoog vào được.

    1. Việt Phương Moderator

      Do cấu hình nginx của bạn. Bạn xem lại cấu hình của cả domain và subdomain.

      1. Minh 42 comment

        Mìn kiểm tra doamin vẫn có ssl bình thường, mình thêm subdomain bằng hocvps, không có cài gì thêm mà co subdomain tự nó chuyển hướng hoặc có subdomain nhảy thẳng vào một domain khác cùng sever. Mặc dù mình đã add record A cho subdomain rồi.

        1. Việt Phương Moderator

          Nếu thế thì bạn đâu có cài SSL cho subdomain? Let’s Encrypt chỉ bảo vệ những domain bạn đăng kí

  16. phuha 11 comment

    mình bị lỗi này, giải quyết sao đây bạn “There were too many requests of a given type :: Error creating new cert :: too many certificates already issued for exact set of domains:”

    Mình cài lại vps, issue lại SSL thì bị lỗi này.

    1. Việt Phương Moderator

      Bạn issue quá nhiều lần cho cái domains này, bao gồm cả cert của domains này. Chắc là hơn 5 lần trong 7 ngày?

      1. phuha 11 comment

        uhm, tại mình mới làm quen vps nên cài đi cại lại nhiều, có cách nào khắc phục không bạn?

        1. Việt Phương Moderator

          Không, bạn chỉ có thể chờ đợi mà thôi. Đó là rule của Let’s Encrypt để đảm bảo các user không spam quá nhiều

    1. Việt Phương Moderator

      Bạn sửa các phần server_name và redirect tương ứng. Ở bài viết là server_name https non-www thì giữ lại còn các cái còn lại sẽ redirect về nó

  17. 11 comment

    bị lỗi này là sao bạn

    nginx: [emerg] “location” directive is not allowed here in /etc/nginx/conf.d/nuocmamphuha.com.conf:47
    nginx: configuration file /etc/nginx/nginx.conf test failed

    giúp mình với

        1. Việt Phương Moderator

          Mình nhìn thì không thấy sai gì cả. Bạn thử tắt tất process nginx rồi khởi động lại nginx
          kill $(ps aux | grep '[n]ginx' | awk '{print $2}')
          Và trong thư mục /etc/nginx/conf.d không có file khác cũng về nuocmamphuha.com.conf chứ?