Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Thỉnh thoảng bạn nên cập nhật mã nguồn Let’s Encrypt từ Github để có được tính năng mới nhất, việc này không bắt buộc.

cd /opt/letsencrypt && git pull

– Nếu gặp thông báo lỗi như bên dưới:

error: Your local changes to 'letsencrypt-auto' would be overwritten by merge. Aborting.
Please, commit your changes or stash them before you can merge.

bạn sẽ cần sử dụng dòng lệnh này:

git reset --hard && git pull

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2017.

Tìm block server { ... } có dòng listen 2017;

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$server_name:2017$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2017

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        # Enable HSTS
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2017 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$server_name:2017$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}


_Update 07/04/2017:
Do OCSP Stapling khó tương thích với Nginx, mình sẽ bỏ khỏi cấu hình Nginx. Để sử dụng/nghiên cứu sâu hơn, mời bạn tham khảo: Tối ưu HTTPS trên Nginx

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.
  • Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
  • Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * * /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.


_ Bạn sẽ không thể gia hạn tự động SSL Let’s Encrypt nếu dùng CloudFlare CDN (biểu tượng đám mây vàng).
_ Nếu vẫn muốn dùng kết hợp Cloudafare CDN:

  • Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý CloudFlare.
  • Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng ip:port hoặc http://domain:port

5/ Một số vấn đề gặp phải

Cert lỗi không thể đọc (corrupt/symlink).

– Dấu hiệu: Đến ngày hết hạn thì không thể auto-renew hay renew thủ công, với thông báo:

# /opt/letsencrypt/letsencrypt-auto renew
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
  DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log

-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/hocvps.com.conf
-------------------------------------------------------------------------------
[('PEM routines', 'PEM_read_bio', 'no start line')]
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/crypto_util.py", line 229, in _load_cert_or_req
    return load_func(typ, cert_or_req_str)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/crypto.py", line 1661, in load_certificate
    _raise_current_error()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/OpenSSL/_util.py", line 48, in exception_from_error_queue
    raise exception_type(errors)
Error: [('PEM routines', 'PEM_read_bio', 'no start line')]
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.

No renewals were attempted.

Additionally, the following renewal configuration files were invalid:
  /etc/letsencrypt/renewal/hocvps.com.conf (parsefail)
0 renew failure(s), 1 parse failure(s)

Hoặc

——————————————————————————-
Processing /etc/letsencrypt/renewal/hocvps.com.conf
——————————————————————————-
expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

/2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Renewal conf file /etc/letsencrypt/renewal/hocvps.com.conf is broken. Skipping.
2017-06-05 10:12:09,000:DEBUG:certbot.cert_manager:Traceback was:
Traceback (most recent call last):
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/cert_manager.py", line 246, in _search_lineages
    candidate_lineage = storage.RenewableCert(renewal_file, cli_config)
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 401, in __init__
    self._check_symlinks()
  File "/root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/storage.py", line 460, in _check_symlinks
    "expected {0} to be a symlink".format(link))
CertStorageError: expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink

– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.

Kiểm tra nội dung cert và private key:

# openssl x509 -in /etc/letsencrypt/live/hocvps.com/cert.pem -text -noout
unable to load certificate
3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE
# openssl rsa -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check
unable to load Private Key
3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY

Kiểm tra MD5 của cert và key (trùng nhau là ok):

# openssl x509 -noout -modulus -in fullchain.pem | openssl md5
# openssl rsa -noout -modulus -in privkey.pem | openssl md5

– Giải pháp:

  • Xóa hoàn toàn cert cũ: # rm -rf /etc/letsencrypt/live/hocvps.com/ /etc/letsencrypt/renewal/hocvps.com.conf /etc/letsencrypt/archive/hocvps.com/
  • Issue lại cert mới cho site (như mục 1.1). Chú ý, do thư mục cert có thể thay đổi (ví dụ /etc/letsencrypt/live/hocvps.com-0001/), cần cập nhật lại đường dẫn cert trong Nginx Conf của domain.

Chúc bạn thành công.

Comment của bạn

Your email address will not be published. Required fields are marked *

1,132 Comments

  1. Quang Huy Tran 22 comment

    Cho em hỏi, em có thể cài SSL let’s encrypt này cho link hocvps script admin https://ip:2017 , rồi cài SSL trả phí mua ở nhà cung cấp khác cho các site đang chạy trong vps đc không ạ ? Túm lại em chỉ muốn cho https://ip:port nhìn đẹp mắt tí thui :))

    1. Việt Phương Moderator

      Mỗi site mỗi cấu hình Nginx riêng nên các SSL riêng, không xung đột nhau nên bạn không lo. Còn Let’s Encrypt hay các nhà cung cấp đều không phát hành SSL cho IP nhé, chỉ cho domain

  2. Thuận 3 comment

    “Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf”. đến bước này mình bí, Admin giúp mình với. khi mình vô đường dẫn /etc/nginx/conf.d/ thì ko có file config cho từng domain, nó chỉ có file IP_VPS.conf thôi. giờ phải làm sao vậy admin? Thank nhiều!

    1. Việt Phương Moderator

      1. Hệ thống bạn là HocVPS chứ? Lúc cài đặt HocVPS bạn nhập domain hay IP?
      2. Cho mình kết quả câu lệnh ls -al /etc/nginx/conf.d

      1. Thuận 3 comment

        Cảm ơn bạn. Mình cài với script hocvps cũ, cài vestaxp. Mình cài lại với hocvps script mới rôi và đã cài thành công Let’s Encrypt. Cảm ơn bạn đã reply.

        1. Việt Phương Moderator

          Ok bạn. Note là chỉ dùng HocVPS/VestaCP chứ không dùng cả 2 nhé bạn

  3. fususu 30 comment

    của em trong error nó xuất hiện chi chít lỗi này là sao hả các bác?

    2017/10/28 22:43:28 [error] 9656#9656: *896556 access forbidden by rule, client: 103.227.176.5, server: mydomain.com, request: “GET /.well-known/acme-challenge/824X4_I4PSOS_V08DDZL0OC-5L__TRAZ HTTP/1.1”, host: “mydomain.com”
    2017/10/28 22:43:29 [error] 9656#9656: *896558 access forbidden by rule, client: 103.227.176.5, server: mydomain.com, request: “GET /.well-known/acme-challenge/C8FMTMNPC_GABP4GR3Z8MWOGL_DLJYIZ HTTP/1.1”, host: “mydomain.com”
    2017/10/28 22:43:29 [error] 9656#9656: *896560 access forbidden by rule, client: 103.227.176.5, server: mydomain.com, request: “GET /.well-known/acme-challenge/G8SIXGLWJWMM4707LTCCHVWSK2SV2JMU HTTP/1.1”, host: “mydomain.com”

    1. Việt Phương Moderator

      Bạn cài Let’s Encrypt theo bài viết này hay theo script nào? Vì mình thấy LE đang đòi truy cập /.well-known/acme-challenge/
      Bạn kiểm tra nếu trong Nginx Conf của domain không có đoạn nào về well-known thì bạn thêm vào, nhớ trong block show web nhé
      # Disable .htaccess and other hidden files
      location ~ /\.(?!well-known).* {
      deny all;
      access_log off;
      log_not_found off;
      }

      1. Fususu 30 comment

        Từ xưa giờ mình trung thành với hocvps mà, mình cài letsencrypt theo hướng dẫn của hocvps, có cài thêm cái httpd2 gì đó nữa 🙂

        1. Việt Phương Moderator

          Khá lạ vì cài LE theo hướng dẫn này không liên quan đến thư mục /.well-known/acme-challenge/.
          1. Bạn fix như comment trên.
          2. Bạn kiểm tra lại nội dung /var/log/letsencrypt/letsencrypt.log sau khi fix (chắc sau 1 ngày), gửi mình file đó

  4. quoc 5 comment

    mình đang dùng share hosting có xài SSL Let encrypt, giờ chuyển qua xài VPS thì làm thế nào vì đến đoạn CÀI ĐẶT CHỨNG CHỈ LET’S ENCRYPT thì mình bị lỗi do đang sử dụng trên share hosting rồi nên nó ko cho qua bước này.

    1. Việt Phương Moderator

      Bạn phải trỏ tên miền về VPS mới issue được cert nhé. LE làm thế tránh gian lận thôi 🙂

  5. DO DINH TUAN 31 comment

    Mình gặp phả lỗi này admin giúp mình vs!

    nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/www.thongtinchungcu.vn/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/www.thongtinchungcu.vn/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)

    1. Việt Phương Moderator

      Không tồn tại cert /etc/letsencrypt/live/www.thongtinchungcu.vn/. Bạn kiểm tra lại thư mục xem, có thể cert chỉ là /etc/letsencrypt/live/thongtinchungcu.vn/

  6. nam nguyễn 5 comment

    Mình làm theo các bước cài đặt rồi mà sao ko thể truy cập vào web được thế admin?
    Không thể truy cập trang web này

    bongda442.info đã từ chối kết nối.
    Hãy thử:
    Kiểm tra kết nối
    Kiểm tra proxy và tường lửa
    ERR_CONNECTION_REFUSED

  7. Trung 3 comment

    Chào bác, sau khi cài thành công Let’s encrypt cho 1 domain trong VPS của em thì cái HocVPS Script Admin không kết nối được (link http://45.32.111.193:2017/). Nhờ bác hỗ trợ cách sửa để vào được file manager/phpadmin…

    1. Việt Phương Moderator

      Bạn đăng nhập bằng domain nhé. Cấu hình SSL phần HocVPS Admin rồi thì không truy cập được qua IP nữa

      1. Trung 3 comment

        Lúc ban đầu cài VPS em lười trỏ domain nên dùng luôn ip làm domain chính.
        Có cách nào khắc phục không ạ? Nếu không thì cũng cám ơn bác đã hỗ trợ.

        1. Việt Phương Moderator

          Nếu thế là bạn cài SSL cho domain phụ? Chứ domain chính là IP thì Let’s Encrypt không có issue SSL đâu. Nếu thế thì cho mình nội dung 2 file .conf của domain chính (chính là IP) và domain phụ

  8. Hoàng 4 comment

    Có cách nào tạo Certificate tự động cho tất cả tên miền không nhỉ. Mình có 1 server, và mình muốn tạo name server dạng ns1.hoangsoft.com, ns2.hoangsoft.com sau đó mỗi lần đổi name server cho tên miền đó về 2 name server trên và truy cập tên miền nó sẽ tự tạo ra các Certificate của Let’s Enscrypt cho tên miền đó luôn mà ko phải gõ command.

  9. Minh Quyet 12 comment

    Ad cho e hỏi chút ạ. E dùng vps cloud google. Vps 1 e đã cài ssl Lét encrypt rồi. Nhưng do e lỡ tay xóa nhầm vps nên e cài lại hocvps mới. E có cần cài lại SSL này ko ạ? Hay là khi xóa vps rồi coi như là domain mới hoàn toàn ạ!

    1. Việt Phương Moderator

      Bạn cài lại SSL nhé. Let’s Encrypt cho issue miễn phí mà, đừng quá 5 cert/7 ngày là đc

      1. Minh Quyet 12 comment

        Ý e là domain đó e đã cài SSL ở vps cũ rồi. Giờ chuyển sang vps mới thì vẫn fai cài lại như bình thường ạ!

    1. Việt Phương Moderator

      1. Bạn tắt hết trình gõ tiếng việt (unikey,vietkey) và issue lại cert xem
      2. Cho mình nội dung của /var/log/letencrypt
      3. Cho mình kết quả của ls -al /etc/letsencrypt/live

      1. Duy Khanh 1 comment

        Mình cũng bị giống như bạn này. Domain chính đã làm ngon lành. Nhưng thêm domain trong cùng vps nữa thì báo lỗi y hệt
        1. Mình đã thử tắt , và điền lại lệnh vài lần rồi đều lỗi thế, thử cả điền từng lệnh
        2. File nội dung đó đây https://pastebin.com/yPj0NQ9f
        3. Kết quả của lệnh: ls: cannot access /etc/letencrypt/live: No such file or directory

        Hy vọng đc bạn giúp cảm ơn ^^

  10. Thảo H 12 comment

    Mình cài xong rồi thì kiểm tra ngĩn báo như thế này

    nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/dunglendi.com/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/dunglendi.com/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
    nginx: configuration file /etc/nginx/nginx.conf test failed

    Admin giúp mình khắc phục với, mình mới học nên chưa biết nhiều. AD chỉ cụ thể giúp với ạ

    1. Việt Phương Moderator

      Nginx không thấy cert của bạn.
      1. Cho mình cấu hình Nginx của domain đó. Paste qua https://pastebin.com/ cho gọn
      2. Kết quả lệnh ls -al /etc/letsencrypt/live/

      1. Thao Hoang 12 comment

        [root@server home]# ls -al /etc/letsencrypt/live/
        total 12
        drwx—— 3 root root 4096 Nov 15 09:38 .
        drwxr-xr-x 9 root root 4096 Nov 15 09:38 ..
        drwxr-xr-x 2 root root 4096 Nov 15 09:38 ohbonus.com

          1. Thao Hoang 12 comment

            mình cài 2 web trên 1 server. hqua mình làm cả 2 cái đều bị lỗi như vậy. giờ muốn xóa hết cài lại thì ntn ạ

          2. Việt Phương Moderator

            Cert thì lỗi sẽ không tồn tại cert, thành công thì tồn tại cert.
            Cấu hình nginx thì back về trước khi chỉnh sửa là không ssl, còn chỉnh sửa thì là ssl
            Thế thôi nên chả có cái gì để xóa cả

  11. LINH IT PRO 5 comment

    Mình cài domain thành công rồi.
    Đến cài subdomain thì nó báo thế này:
    Mong các cao nhân giúp đỡ.

    The following errors were reported by the server:

    Domain: http://www.cms.vrvisit.vn
    Type: connection
    Detail: DNS problem: NXDOMAIN looking up A for http://www.cms.vrvisit.vn

    To fix these errors, please make sure that your domain name was
    entered correctly and the DNS A/AAAA record(s) for that domain
    contain(s) the right IP address. Additionally, please check that
    your computer has a publicly routable IP address and that no
    firewalls are preventing the server from communicating with the
    client. If you’re using the webroot plugin, you should also verify
    that you are serving files from the webroot path you provided.

        1. Việt Phương Moderator

          Hiện Let’s Encrypt nó detect là http://www.cms chưa trỏ về IP VPS nên
          1. Bạn trỏ hẳn * A Record về ip VPS.
          2. Hoặc bạn issue cert cho cms.domain thôi. Vì mình thấy thông thường người dùng họ cũng không truy cập qua https:/www.
          Chụp mình bản DNS Config của bạn. Và hình như bạn không dùng Cloudfare đúng không

  12. Tuấn Anh 17 comment

    Luân ơi, mình có tạo subdomain, https cho main domain ok rồi nhưng khi vào = sub thì nó direct về main domain, mình thử thay listen 443 ssl http2; bằng listen 80 default_server; thì nó lại bt.

    Thanks!@

    1. Việt Phương Moderator

      Bạn mô tả lại cụ thể case của bạn đi. Hoặc cung cấp Nginx Conf của domain và subdomain. Paste qua https://pastebin.com/ cho gọn
      Và trước khi cài SSL thì cả sub và main đều hoạt động độc lập bình thường?

  13. NAM 21 comment

    CÁCH CÀI CHUẨN 100%

    Hi mọi ng !
    Mình cài cũng bị 2,3 lần mới okie sau đó mình rút ra được kinh nghiệm này để mọi người cài ít bị lỗi hơn.

    1 > Tắt unikey trước khi cài đặt
    2 > Phần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, các bạn chạy lại lệnh:
    # Stop Nginx
    service nginx stop

    # Install Let’s Encrypt
    cd /opt/letsencrypt
    ./letsencrypt-auto certonly –standalone

    3 > Cấu hình Nginx (phần này nhiều người gặp lỗi nhất)
    Sau khi các bạn “Tạo file DH parameters 2048 bit” và “Mở file cấu hình lên với nano” => các bạn xóa hết đi => Tiếp đó các bạn coppy tất cả “File cấu hình Nginx cuối cùng sẽ tương tự như sau:” bỏ vào NOTEPAD++ => Các bạn nhấn tổ hợp Ctrl+H thay thế “hocvps.com” bằng “domain” của các bạn ==> sau đó các bạn coppy đống này paste vào file nano cấu hình ==> Ctrl + 0 và enter lưu lại. Ctrl + X thoát ra => và kiểm tra kết quả với nginx -t

    Chúc các bạn thành công !

    1. Việt Phương Moderator

      Lưu ý là phần 3 thì các domain không phải domain chính cài HocVPs thì không cấu hình phần HocVPs Port, cụ thể là phần 2017 như trong hướng dẫn