Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt certbot

yum -y install certbot

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám thì mới cài đặt được Let’s Encrypt.
# Stop Nginx
service nginx stop

# Issue SSL Let's Encrypt
certbot certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop

# Install Let's Encrypt
certbot certonly --standalone

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.
Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.

Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Chỉnh sửa cấu hình domain bằng Nano Editor

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Lưu ý:

  • Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
  • Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link http://IP:port để vào khu vực quản trị HocVPS Script Admin.

Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log         off;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen 443 ssl;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen 80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

server {
	listen 443 ssl default_server;
		
	# access_log off;
	access_log /home/hocvps.com/logs/access.log;
	# error_log off;
    	error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	# Disable .htaccess and other hidden files
	location ~ /\.(?!well-known).* {
		deny all;
		access_log off;
		log_not_found off;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
        location = /robots.txt {
                allow all;
                log_not_found off;
                access_log off;
        }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen 2018 ssl;

 	access_log        off;
	log_not_found     off;
 	error_log /home/hocvps.com/logs/nginx_error.log;

    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;

        error_page 497 https://$server_name:$server_port$request_uri;

	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
     	location / {
		autoindex on;
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:

  • Không thiết lập HocVPS Admin Port
  • Bỏ tham số default_server bên cạnh listen 443

_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port
  • Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.

_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Tham khảo thêm Tối ưu HTTPS trên Nginx.


Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

# EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.

Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 6.Một số vấn đề gặp phải

5/ Xóa chứng chỉ Let’s Encrypt

Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:

# Remove Let's Encrypt
certbot delete

Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.

6/ Một số vấn đề gặp phải

Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service

Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.

# cd /opt/letsencrypt && git pull

Nếu gặp thông báo lỗi thì sử dụng lệnh này: # cd /opt/letsencrypt && git reset --hard && git pull

Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau:
Kiểm tra nội dung /var/spool/mail/root thấy:

Failed to find executable /usr/sbin/service in PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
Unable to find pre-hook command /usr/sbin/service in the PATH.
(PATH is /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)

Kiểm tra nội dung /var/log/cron thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung /var/log/le-renew.log và bên trong /var/log/letencrypt không thấy gì khả nghi.

– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.

# whereis service
service: /sbin/service /usr/share/man/man8/service.8.gz
# echo $PATH
/usr/bin:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

Có thể thấy, lệnh service nằm trong /sbin/service, không thuộc biến môi trường PATH. Crontab chỉ tìm /usr/sbin/service và không thấy.

– Giải pháp::
Bạn cần sử dụng đường dẫn cụ thể để chạy lệnh service trong crontab. Vị trí sẽ tùy thuộc vào từng hệ thống, kiểm tra bằng # whereis service.

Ví dụ, khi là /sbin/service thì câu lệnh chèn vào crontab sẽ như sau:

30 2 * * * certbot renew --pre-hook "/sbin/service nginx stop" --post-hook "/sbin/service nginx start" >> /var/log/le-renew.log

– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:

Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Hoặc expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink
– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -noout -text -in /etc/letsencrypt/live/hocvps.com/cert.pem
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -noout -text -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

Kiểm tra danh sách cert trong VPS

#  certbot certificates
Found the following certs:
  Certificate Name: hocvps.com
    Domains: hocvps.com www.hocvps.com
    Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
    Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
    Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------

– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)

# cd /opt/letsencrypt
# ./certbot delete --cert-name hocvps.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Deleted all files relating to certificate hocvps.com.
-------------------------------------------------------------------------------

– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS

# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)
#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error

– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ

  • CentOS6 chứng chỉ lưu tại /etc/ssl/certs/ca-bundle.crt
  • CentOS7 chứng chỉ lưu tại /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem

Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.

# yum reinstall -y ca-certificates

– Đối với lỗi (35) – Cập nhật NSS

# yum update nss -y

Chúc bạn thành công.

Comment của bạn

Lưu ý: tất cả comment đều được kiểm duyệt cẩn thận! Nếu có code bạn hãy up lên pastebin.com rồi để lại link trong comment.

2,208 Comments

  1. Đạt 5 comment

    Đã làm thành công, nhưng nếu mình add vào vps thêm 1 tên miền khác thì lại phát hành thêm chứng chỉ mới và làm lại từ đầu như bai hướng dẫn hã ad
    thanks !

  2. Minh 2 comment

    Chạy dòng /opt/letsencrypt/certbot-auto certonly –standalone thì báo thế này:

    Skipping bootstrap because certbot-auto is deprecated on this system.
    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.
    Please visit https://certbot.eff.org/ to check for other alternatives.

    Search thì thấy bảo certbot-auto chỉ xài được cho Centos 6 https://stackoverflow.com/questions/66088845/skipping-bootstrap-because-certbot-auto-is-deprecated-on-this-system-when-using

    Cài cho Centos 7 như thế nào vậy?

  3. Trí 1 comment

    Mình có tự cài HocVPS Script lên VPS. khi cài SSL bị lỗi như các bạn gần đây. Đã đặt hàng admin cài đặt SSL từ trước tết mà không thấy phản hồi. Mong admin kiểm tra mail lại giúp mình nhé

  4. Tila Tran 2 comment

    Skipping bootstrap because certbot-auto is deprecated on this system.
    Your system is not supported by certbot-auto anymore. Không cài đặt được SSL nữa admin ơi.

  5. tu 52 comment

    Nếu bạn đang chạy 1 hệ script quản trị VPS như HocVPS hoặc tương tự bị lỗi khi cài đặt SSL của Let’s Encrypt thông báo lỗi
    “Skipping bootstrap because certbot-auto is deprecated on this system.
    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.
    vậy bạn nên vào trang này của cerbot và làm theo hướng dẫn nhé:
    https://certbot.eff.org/lets-encrypt/centosrhel7-nginx
    mình gõ đủ các lệnh theo link trên và cài đặt bình thường

    1. Tinh Vu 14 comment

      thank, mình làm theo link trên thấy đc luôn, mà chưa cấu hình
      có cần 2/ Cấu hình Nginx như trong bài viết trên ko nhỉ ?

      1. Tinh Vu 14 comment

        nhưng mà add domain thứ 2 lên thì lại báo lỗi nginx: [error] open() “/var/run/nginx.pid” failed (2: No such file or directory), xử lý răng đây

    2. dung 1 comment

      bạn hướng dẫn rõ hơ giúp mình với, mình chạy lênh theo link mà toàn bị lôic [root@centos-s-1vcpu-1gb-sgp1-01 home]# $ sudo yum install snapd
      -bash: $: command not found
      bac chỉ mình với

  6. Tila Tran 2 comment

    Admin ơi, ssl không tự động gia hạn nữa ạ. Có cách nào gia hạn tự động không vậy admin? Em cảm ơn admin rất nhiều ạ

  7. Quang Anh 21 comment

    Nếu bạn đang chạy 1 hệ script quản trị VPS như HocVPS hoặc tương tự bị lỗi khi cài đặt SSL của Let’s Encrypt thông báo lỗi
    “Skipping bootstrap because certbot-auto is deprecated on this system.
    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.”
    Thì giải pháp fix tạm thời như sau :
    Thay thế file certbot-auto trong /otp/letsencrypt/ bằng cách chạy dòng lệnh dưới
    phải đảm bào là thay thế hoàn toàn nhé các bro. sau đó chạy command line cài đặt như bình thường, mình đã thử và thành công
    “sudo wget https://raw.githubusercontent.com/certbot/certbot/7f0fa18c570942238a7de73ed99945c3710408b4/letsencrypt-auto-source/letsencrypt-auto -O /opt/letsencryptcertbot-auto”

    1. Triệu Vỹ 21 comment

      Thay thế hoàn toàn là sao bạn nhỉ? Mình đã chạy dòng lệnh như bạn chỉ rồi nhưng khi gia hạn vẫn bị báo lỗi như trên 🙁

  8. Duong 1 comment

    Tới bước này bị lỗi rồi bạn ơi, hình như website certbot đóng file này lại rồi.
    /opt/letsencrypt/certbot-auto certonly –standalone

  9. Tu Anh 2 comment

    Script không chạy được nữa, Ad @Luân giúp tụi mình với

    1/ Cài mới
    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.

    2/ Gia hạn

    Plugins selected: Authenticator standalone, Installer None
    Running pre-hook command: service nginx stop
    Error output from pre-hook command service:
    Redirecting to /bin/systemctl stop nginx.service

    Renewing an existing certificate
    Performing the following challenges:
    http-01 challenge for mydomain.com
    Waiting for verification…
    Challenge failed for domain mydomain.com
    http-01 challenge for mydomain.com
    Cleaning up challenges
    Attempting to renew cert (mydomain.com) from /etc/letsencrypt/renewal/mydomain.com.conf produced an unexpected error: Some challenges have failed.. Skipping.
    All renewal attempts failed. The following certs could not be renewed:
    /etc/letsencrypt/live/mydomain.com/fullchain.pem (failure)

  10. Duong 9 comment

    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.

    Không thể cài đc Letencrypt trên hocvps nữa admin ơi.

    1. vico vo 1 comment

      mình thì gia hạn bị lỗi, ko chạy code đó được, nhưng mình cài lại certbot luôn thì ok, gia hạn ngon lành, bạn thử chạy lại code cài xem
      # yum -y install certbot

  11. Ngoc Anh 1 comment

    Bạn kiểm tra lại giúp, đến hôm nay thì có vẻ như không còn cài đặt đc Let’s Encrypt SSL. Có update gì đó từ Certbot thì phải?

  12. annp 2 comment

    Em chạy đến dòng /opt/letsencrypt/certbot-auto certonly –standalone
    => thì hiện thông báo như này:
    Skipping bootstrap because certbot-auto is deprecated on this system.
    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.
    Please visit https://certbot.eff.org/ to check for other alternatives.

    Xin hỏi lỗi này giờ fix như thế nào ạ?

    Em dùng vps digitalocean

  13. windy 2 comment

    Hiện tại server hocvps đang ko cài được ssl theeo hướng dẫn này.
    Nhờ ad kiểm tra lại giúp nhé!
    [root@www ~]# service nginx stop
    Redirecting to /bin/systemctl stop nginx.service
    [root@www ~]# /opt/letsencrypt/certbot-auto certonly –standalone
    Skipping bootstrap because certbot-auto is deprecated on this system.
    Your system is not supported by certbot-auto anymore.
    Certbot cannot be installed.
    Please visit https://certbot.eff.org/ to check for other alternatives.
    [root@www ~]#

  14. nam 1 comment

    Chào bạn.
    Cảm ơn bạn nhiều về bài viết. hiện tại mình đã cài đặt thành công cho web của mình
    Tuy nhiên mình có 1 vấn đề, hi vọng bạn hỗ trợ.
    Mình có làm một ứng dụng web chạy trên port 8080 (hiện tại là vậy), nhưng mình k thể truy cập vào ứng dụng đó trên web được qua: https://myweb.com:8080 . Vấn đề là do SSL chưa đc kích hoạt cho port này. Mình có thể dùng một domain khác không được cài SSL trỏ đến VPS của mình thì có thể vô được ứng dụng bình thường.
    Bạn có thể hướng dẫn mình cách cài một SSL cho port bất kỳ được không, cảm ơn

  15. Thiện 2 comment

    Ad cho e hỏi khi e cài đặt các lệnh gia giạn nhưng vẫn không tự động gia hạn được ạ :D. Khi chạy lệnh này
    30 2 * * * /opt/letsencrypt/certbot-auto renew –pre-hook “service nginx stop” –post-hook “service nginx start” >> /var/log/le-renew.log
    thì k chạy được ạ.

  16. Minh Lượng 1 comment

    Mình cài đặt chứng chỉ xong chỉ số “time to first byte” trong Google PageSpeed test tăng lên 0,66S. Cho mình hỏi tại sao lại như thế và làm thế nào để khắc phục, cảm ơn

  17. Nguyen Duy 3 comment

    Luân ơi mình lại dính lỗi truy cập phpmyadmin nó cứ đòi về domain chính mà không dùng IP:port được. Domain chính thì mình đã trỏ qua IP khác mất rồi. Giúp mình với

      1. Nguyen Duy 3 comment

        Nó báo Kết nối của bạn không phải là kết nối riêng tư, lúc mình bấm vào nâng cao và đăng nhập thì nó hiện ra 403 Forbidden

    1. Quy Nguyen 1 comment

      Nếu VPS có nhiều domain thường thì mình không làm bước cuối mà để nguyên là sử dụng IP:port để tránh lỗi này.

  18. Mạc Văn Năng 18 comment

    AD ơi thanks cấu hình đã thành công. Nhưng có 1 vấn đề ad xem giải quyết giúp với
    Domain chính thì cài đặt ok rồi. nhưng đến domain phụ thì không cài được
    Lỗi sau khi sửa file .conf. Đã ngồi xem xét các lệnh rồi thấy thay đổi không sai mà cứ sửa là lỗi luôn. Xem trong thư mục LIVE cũng đã tạo và đã sinh ra file rồi
    E đang dùng cenos 7.

  19. Huy 8 comment

    Dòng lệnh
    /opt/letsencrypt/certbot-auto renew –pre-hook “service nginx stop” –post-hook “service nginx start”
    tự động gia hạn cho tất cả domain có trên VPS hay sao a Luân
    Ví dụ e có 2 website trên 1 VPS thì dòng lệnh trên tự động gia hạn SSL cho 2 site hay sao vậy a Luân

  20. Mạc Văn Năng 18 comment

    Admin giúp với à. Trên stablehost họ không cho trỏ domain về ip thì phải làm sao. Nhờ nó trợ giúp mà nó kêu phải cấu hình VPS. Rồi vòng vo nó bắt mình phải mua gói Addon 30$/tháng(cpanel) để nó trợ giúp.
    tự mò được cái hướng dẫn tạo zone cho vps trong thư mục etc/bind/
    Tạo xong rồi nhưng mà trên quản lý domain của stablehost không cho tạo Private Nameserver. Bác có thể chia sẻ hướng đi giải quyết được ko.
    P/s: VPS trống mới cài được cái hocvps.

    1. Luân Trần Admin

      Dùng VPS bạn phải làm mọi thứ nhé chứ không được hỗ trợ như Shared Hosting đâu.

      1. Van Nang Mac 18 comment

        Thank bác đã cài được cái lets encrypt. Lỗi không thể thiết lập được file domain.conf là vì. Website trước đây đã dùng qua thằng clouflas đặt chế độ full stric rồi. giờ cái trên vps cũng phải chuyển về đúng thế nó mới chạy chứ để chế độ thường thì web báo lỗi.
        Có 1 cái lạ là cùng 1 code đấy mua domain khác add thì chạy bình thường

  21. Minh Thanh 56 comment

    Update cách lại bài cài magento 2 phiên bản mới nhất đi anh ơi, bài cũ anh hướng dẫn hiện không cài được nữa rồi

  22. Hong Vi 48 comment

    E đã cài ssl lets encrypt thành công. giờ e sử dụng cloudfare thì bị lỗi , nên e đã chuyển về sử dụng ssl miễn phí của cloudfare nhưng vẫn bị lỗi, mong ad giúp sớm giúp e với ạ.
    Website giờ hiện, không thể truy cập vì chuyển hướng quá nhiều lần

    1. Hong Vi 48 comment

      chuyển về màu xám, cài đươc ssl hết lỗi. Thì giờ lại không chuyển về lại được màu cam để ẩn ip 🙁

      1. Hai Minh 3 comment

        Cloudflare free làm gì cho xài ssl riêng đâu bạn, trả phí mới được. Nếu xài ssl thì phải tắt đám mây cam đi.

  23. Thành 1 comment

    Chào bác Luân và mn,
    Tình hình là mình định cài 3 domain trên VPS, cài domain chính thì mọi thứ bình thường, tuy nhiên đến 2 domain phụ thì bị lỗi 502 Bad Gateway nginx, 2 domain phụ này (đã trỏ IP, add domain, tạo database) mình chỉ mới tải wordpress và giải nén ra thư mục public_html là bị lỗi ngay chưa setup được wordpress. Bác nào gặp tình huống tương tự mong chỉ hướng khắc phục giúp! Thanks!!!

    1. Quy Nguyễn 1 comment

      Vậy thì cậu test xem trước khi giải nén source wordpress truy cập vào domain có chạy bình thường không. Nếu chỉ lỗi từ lúc giải nén source wordpress thì có khả năng cậu để cả file config của nginx trong pubic_html nên xãy ra lỗi

  24. Tân 13 comment

    Chào các bạn, mình sau khi cài SSL thì bị tình trạng là website không thể truy cập vào file manager cũng như phpmyadmin,
    Có cách nào kiểm tra lỗi bị gì không các bạn nhỉ ? SSL vẫn chạy bình thường

  25. Tran Muoi Vy 1 comment

    /opt/letsencrypt/certbot-auto certonly –standalone

    Mình chạy đến lệnh trên thì bị lỗi ở đoạn Installing Python packages… như sau

    Had a problem while installing Python packages.

    pip prints the following errors:

    =====================================================
    Collecting ConfigArgParse==1.0 (from -r /tmp/tmp.HRDbnc9e1k/letsencrypt-auto-requirements.txt (line 12))
    Downloading https://files.pythonhosted.org/packages/66/37/dd9fcb3b19c1dceea450ee994952e311a96dd827bb09ee19169c3427e0d3/ConfigArgParse-1.0.tar.gz (40kB)

    …………….

    ReadTimeoutError: HTTPSConnectionPool(host=’files.pythonhosted.org’, port=443): Read timed out.
    =====================================================

    Certbot has problem setting up the virtual environment.

    We were not be able to guess the right solution from your pip
    output.

    Consult https://certbot.eff.org/docs/install.html#problems-with-python-virtual-environment
    for possible solutions.
    You may also find some support resources at https://certbot.eff.org/support/ .

    ========================

    Mọi người có ai giúp mình lỗi này được không. Xin cảm ơn!

  26. NGUYỄN VĂN PHÚC 2 comment

    nginx: [emerg] a duplicate default server for 0.0.0.0:443 in /etc/nginx/conf.d/thietbibaohoyte.com.conf:22
    nginx: configuration file /etc/nginx/nginx.conf test failed

    Lỗi này ai đã khắc phục được chưa mình dã xóa như hướng dẫn màu đỏ
    Bỏ tham số default_server bên cạnh listen 443 test nginx thi ok, nhưng ssl ko cài đươcj

  27. Nam 1 comment

    Chào mn, không biết ai bị lỗi giống mình không, mình chạy lệnh: /opt/letsencrypt/certbot-auto certonly –standalone

    Thì nó báo lỗi này, thử check trên gg là do dùng SSL của bên khác, nhưng server này mình chưa dùng SSL nào cả, mò nhưng vẫn chưa fix đc

    Transaction check error:
    package ca-certificates-2019.2.32-76.el7_7.noarch is already installed

    Error Summary
    ————-

    Could not install OS dependencies. Aborting bootstrap!

  28. Cuong 28 comment

    Dear Hocvps, tôi thêm https cho mot tên miền khác, nó trỏ về tên miền gốc, cho minh hỏi vì sao vây, bạn có thể huong dan giup minh duoc không ?

  29. Cuong Tran 28 comment

    Chào Hoc VPS.
    Minh muốn chuyển code ty direct admin qua hoc vps mình xử lý file htaccess như thế nào ?
    Mong học vps giúp mình.
    file htaccess cua minh:

    # Helicon Ape version 3.1.0.115

    RewriteEngine On
    DirectoryIndex index.php
    RewriteRule ^administrator$ administrator/ [L]
    RewriteRule ^administrator/$ administrator/ [L]

    RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
    RewriteRule ^(.*)$ http://%1/$1 [R=301,L]

    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)$ index.php?com=$1&idl=$2 [L]
    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)$ index.php?com=$1&idc=$3 [L]

    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([0-9]+)x([0-9]+)x([0-9]+)/(.*)\.(jpg|jpeg|png|gif|JPG|PNG)$ timthumb_watermark.php?src=http://%{HTTP_HOST}/upload/$2/$6.$7&h=$4&w=$3&zc=$5&q=80 [L]

    RewriteRule ^thumb/([0-9]+)x([0-9]+)/([0-9]+)/(.*)$ timthumb.php?w=$1&h=$2&zc=$3&q=80&src=http://%{HTTP_HOST}/$4 [L]

    RewriteRule ^upload/product/(.*\.(jp?g|gif|png))$ watermark.php?image=$1 [L]
    RewriteRule ^upload/album/(.*\.(jp?g|gif|png))$ watermark1.php?image=$1 [L]

    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)$ index.php?com=$1&idi=$4 [L]
    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)$ index.php?com=$1&ids=$5 [L]

    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)&page=([0-9]+)$ index.php?com=$1&idl=$2&page=$3 [L]
    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)&page=([0-9]+)$ index.php?com=$1&idc=$3&page=$4 [L]
    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)&page=([0-9]+)$ index.php?com=$1&idi=$4&page=$5 [L]
    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+)&page=([0-9]+)$ index.php?com=$1&ids=$5&page=$6 [L]

    RewriteRule ^([a-zA-Z0-9_-]+).html$ index.php?com=$1 [L]
    RewriteRule ^([a-zA-Z0-9_-]+).html&page=([0-9]+)$ index.php?com=$1&page=$2 [L]

    RewriteRule ^([a-zA-Z0-9_-]+).html&keywords=(.*)$ index.php?com=$1&keywords=$2&idl=$3&gia=$4 [L]

    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+).htm$ index.php?com=$1&lang=$2 [L]

    RewriteRule ^([a-zA-Z0-9_-]+)/([a-zA-Z0-9_-]+).html$ index.php?com=$1&id=$2 [L]

    ## EXPIRES CACHING ##

    ExpiresActive On
    ExpiresByType image/jpg “access 1 year”
    ExpiresByType image/jpeg “access 1 year”
    ExpiresByType image/gif “access 1 year”
    ExpiresByType image/png “access 1 year”
    ExpiresByType text/css “access 1 month”
    ExpiresByType text/html “access 1 month”
    ExpiresByType application/pdf “access 1 month”
    ExpiresByType text/x-javascript “access 1 month”
    ExpiresByType application/x-shockwave-flash “access 1 month”
    ExpiresByType image/x-icon “access 1 year”
    ExpiresDefault “access 1 month”

    ## EXPIRES CACHING ##

    AddOutputFilterByType DEFLATE text/* text/html text/xml text/css text/plain text/x-component text/x-js text/richtext text/xsd text/xsl
    AddOutputFilterByType DEFLATE image/svg+xml application/xhtml+xml application/xml image/x-icon
    AddOutputFilterByType DEFLATE application/rdf+xml application/rss+xml application/atom+xml
    AddOutputFilterByType DEFLATE text/javascript application/javascript application/x-javascript application/json
    AddOutputFilterByType DEFLATE application/x-font-ttf application/x-font-otf
    AddOutputFilterByType DEFLATE font/truetype font/opentype
    Header append Vary User-Agent env=!dont-vary
    AddOutputFilter DEFLATE js css htm html xml text

    # 1 year

    Header set Cache-Control “max-age=29030400, public”

    # 1 WEEK

    Header set Cache-Control “max-age=604800, public”

    # 2 DAYS

    Header set Cache-Control “max-age=604800, proxy-revalidate”

    # 2 DAYS

    Header set Cache-Control “max-age=604800, private, proxy-revalidate”

    Mình code php thuần.

  30. shin 4 comment

    Copy mỗi đoạn này và sửa hocvps thành web mình là xong và nhanh
    server {
    listen 443 ssl;
    server_name http://www.hocvps.com;

    # SSL
    ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    rewrite ^(.*) https://hocvps.com$1 permanent;
    }
    server {
    listen 80;
    server_name hocvps.com http://www.hocvps.com;
    rewrite ^(.*) https://hocvps.com$1 permanent;
    }

    server {
    listen 443 ssl default_server;

    # access_log off;
    access_log /home/hocvps.com/logs/access.log;
    # error_log off;
    error_log /home/hocvps.com/logs/error.log;

    root /home/hocvps.com/public_html;
    index index.php index.html index.htm;
    server_name hocvps.com;

    # SSL
    ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    # Improve HTTPS performance with session resumption
    ssl_session_cache shared:SSL:50m;
    ssl_session_timeout 1d;

    # DH parameters
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
    # Enable HSTS
    add_header Strict-Transport-Security “max-age=31536000” always;

    location / {
    try_files $uri $uri/ /index.php?$args;
    }

    # Custom configuration
    include /home/hocvps.com/public_html/*.conf;

    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    }
    location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;
    deny all;
    }
    location /php_status {
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    include /etc/nginx/fastcgi_params;
    allow 127.0.0.1;
    deny all;
    }
    # Disable .htaccess and other hidden files
    location ~ /\.(?!well-known).* {
    deny all;
    access_log off;
    log_not_found off;
    }
    location = /favicon.ico {
    log_not_found off;
    access_log off;
    }
    location = /robots.txt {
    allow all;
    log_not_found off;
    access_log off;
    }
    location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
    gzip_static off;
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }

    location ~* \.(txt|js|css)$ {
    add_header Pragma public;
    add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
    access_log off;
    expires 30d;
    break;
    }
    }

    server {
    listen 2018 ssl;

    access_log off;
    log_not_found off;
    error_log /home/hocvps.com/logs/nginx_error.log;

    root /home/hocvps.com/private_html;
    index index.php index.html index.htm;
    server_name hocvps.com;

    error_page 497 https://$server_name:$server_port$request_uri;

    ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    auth_basic “Restricted”;
    auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;

    location / {
    autoindex on;
    try_files $uri $uri/ /index.php;
    }

    location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    include /etc/nginx/fastcgi_params;
    fastcgi_pass 127.0.0.1:9000;
    fastcgi_index index.php;
    fastcgi_connect_timeout 1000;
    fastcgi_send_timeout 1000;
    fastcgi_read_timeout 1000;
    fastcgi_buffer_size 256k;
    fastcgi_buffers 4 256k;
    fastcgi_busy_buffers_size 256k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;
    fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    }

    location ~ /\. {
    deny all;
    }
    }

    1. Minh 44 comment

      Uncaught Error: Failed to create session ID: memcached (path: 127.0.0.1:11211)

      Mình đã cập nhật php và sử dụng mẫu trên sửa lại domain và bị lỗi trên

  31. Binh 6 comment

    Mình thử và đã thành công , mà mình có 1 vấn đề là hiện tại server mình chạy 2 domain, 1 domain mình muốn sử dụng cloudflare , không hiểu vì nguyên nhân gì mà mỗi lần dùng https nó đều sử dụng certificate của thằng domain kia 🙁