Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.
Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.
Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.
Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.
Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”
Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.
Nội dung bài viết
1/ Cài đặt chứng chỉ Let’s Encrypt
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
3/ Cập nhật cấu hình trong Google Search Console và Analytics
4/ Tự động gia hạn Let’s Encrypt
1/ Cài đặt chứng chỉ Let’s Encrypt
1.1/ Cài đặt certbot
yum -y install certbot
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option --standalone
# Stop Nginx service nginx stop # Issue SSL Let's Encrypt certbot certonly --standalone
Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.
Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.
Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.
Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again. - If you lose your account credentials, you can recover through e-mails sent to admin@hocvps.com. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Lưu ý các thông tin mình bôi đỏ:
- /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
- 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)
Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website
Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:
# Stop Nginx service nginx stop # Install Let's Encrypt certbot certonly --standalone
Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.
2/ Cấu hình Nginx
Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf
Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.
Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.
Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)
mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem
Chỉnh sửa cấu hình domain bằng Nano Editor
nano /etc/nginx/conf.d/hocvps.com.conf
Cấu hình SSL xử lý các request
Trong block server { ... } thứ 2 điều chỉnh như sau:
+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;
+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:
# SSL ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; # Improve HTTPS performance with session resumption ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; # DH parameters ssl_dhparam /etc/nginx/ssl/dhparam.pem; # Enable HSTS add_header Strict-Transport-Security "max-age=31536000" always;
Redirect toàn bộ www http sang https
Trong block server { ... } ở phía trên cùng:
+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;
+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;
Kết quả được như sau:
server {
listen 80;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com
Redirect toàn bộ www https sang https
Thêm mới block server { ... } ở trên cùng
server {
listen 443 ssl;
server_name www.hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com
Cấu hình SSL với port quản lý HocVPS Script Admin
Lưu ý:
- Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
- Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link
http://IP:portđể vào khu vực quản trị HocVPS Script Admin.
Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;
Cấu hình SSL cho port HocVPS tương tự như bên dưới:
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log off;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
...
Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018
File cấu hình Nginx cuối cùng sẽ tương tự như sau:
server {
listen 443 ssl;
server_name www.hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
listen 80;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
listen 443 ssl default_server;
# access_log off;
access_log /home/hocvps.com/logs/access.log;
# error_log off;
error_log /home/hocvps.com/logs/error.log;
root /home/hocvps.com/public_html;
index index.php index.html index.htm;
server_name hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
# Improve HTTPS performance with session resumption
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
# DH parameters
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# Enable HSTS
add_header Strict-Transport-Security "max-age=31536000" always;
location / {
try_files $uri $uri/ /index.php?$args;
}
# Custom configuration
include /home/hocvps.com/public_html/*.conf;
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_connect_timeout 1000;
fastcgi_send_timeout 1000;
fastcgi_read_timeout 1000;
fastcgi_buffer_size 256k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
}
location /nginx_status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
location /php_status {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
allow 127.0.0.1;
deny all;
}
# Disable .htaccess and other hidden files
location ~ /\.(?!well-known).* {
deny all;
access_log off;
log_not_found off;
}
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
gzip_static off;
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
expires 30d;
break;
}
location ~* \.(txt|js|css)$ {
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
expires 30d;
break;
}
}
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log /home/hocvps.com/logs/nginx_error.log;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
location / {
autoindex on;
try_files $uri $uri/ /index.php;
}
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_connect_timeout 1000;
fastcgi_send_timeout 1000;
fastcgi_read_timeout 1000;
fastcgi_buffer_size 256k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
}
location ~ /\. {
deny all;
}
}
_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:
- Không thiết lập HocVPS Admin Port
- Bỏ tham số
default_serverbên cạnhlisten 443
_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):
- Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
- Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng
ip:port - Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.
_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Tham khảo thêm Tối ưu HTTPS trên Nginx.
Kiểm tra lại cấu hình Nginx
nginx -t
Phản hồi như sau là ok:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
Khởi động lại Nginx
service nginx restart
Giờ truy cập vào domain để tận hưởng thành quả thôi.
Lưu ý:
- Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
- Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
- Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.
3/ Cập nhật cấu hình trong Google Search Console và Analytics
Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.
4/ Tự động gia hạn Let’s Encrypt
Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.
certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"
Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.
Mở file cấu hình crontab:
# EDITOR=nano crontab -e
Copy và paste đoạn code bên dưới vào cửa sổ terminal:
30 2 * * * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log
Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công
crontab: installing new crontab
crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.
Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.
Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 6.Một số vấn đề gặp phải
5/ Xóa chứng chỉ Let’s Encrypt
Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:
# Remove Let's Encrypt certbot delete
Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.
6/ Một số vấn đề gặp phải
Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service
Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.
# cd /opt/letsencrypt && git pull
Nếu gặp thông báo lỗi thì sử dụng lệnh này: # cd /opt/letsencrypt && git reset --hard && git pull
Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau:
Kiểm tra nội dung /var/spool/mail/root thấy:
Failed to find executable /usr/sbin/service in PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin Unable to find pre-hook command /usr/sbin/service in the PATH. (PATH is /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)
Kiểm tra nội dung /var/log/cron thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung /var/log/le-renew.log và bên trong /var/log/letencrypt không thấy gì khả nghi.
– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.
# whereis service service: /sbin/service /usr/share/man/man8/service.8.gz
# echo $PATH /usr/bin:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
Có thể thấy, lệnh service nằm trong /sbin/service, không thuộc biến môi trường PATH. Crontab chỉ tìm /usr/sbin/service và không thấy.
– Giải pháp::
Bạn cần sử dụng đường dẫn cụ thể để chạy lệnh service trong crontab. Vị trí sẽ tùy thuộc vào từng hệ thống, kiểm tra bằng # whereis service.
Ví dụ, khi là /sbin/service thì câu lệnh chèn vào crontab sẽ như sau:
30 2 * * * certbot renew --pre-hook "/sbin/service nginx stop" --post-hook "/sbin/service nginx start" >> /var/log/le-renew.log
– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.
No renewals were attempted.
Hoặc expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink
– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.
Kiểm tra nội dung cert và private key:
# openssl x509 -noout -text -in /etc/letsencrypt/live/hocvps.com/cert.pem unable to load certificate 3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE # openssl rsa -noout -text -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check unable to load Private Key 3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY
Kiểm tra MD5 của cert và key (trùng nhau là ok):
# openssl x509 -noout -modulus -in fullchain.pem | openssl md5 # openssl rsa -noout -modulus -in privkey.pem | openssl md5
Kiểm tra danh sách cert trong VPS
# certbot certificates
Found the following certs:
Certificate Name: hocvps.com
Domains: hocvps.com www.hocvps.com
Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------
– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)
# cd /opt/letsencrypt # ./certbot delete --cert-name hocvps.com Saving debug log to /var/log/letsencrypt/letsencrypt.log ------------------------------------------------------------------------------- Deleted all files relating to certificate hocvps.com. -------------------------------------------------------------------------------
– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS
# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)
#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error
– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ
- CentOS6 chứng chỉ lưu tại
/etc/ssl/certs/ca-bundle.crt - CentOS7 chứng chỉ lưu tại
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.
# yum reinstall -y ca-certificates
– Đối với lỗi (35) – Cập nhật NSS
# yum update nss -y
Chúc bạn thành công.
Gia hạn bị lỗi rồi bác ơi
/root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
DeprecationWarning
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Thông báo là do Python2.6 từ 2013 và không còn được support từ Python team. Mình nghĩ bạn vẫn có thể cài đặt được bình thường
https://community.letsencrypt.org/t/installing-letsencrypt/7896/5
Luân xem cái redirect ip về domain đi
Bạn mở file cấu hình .conf của domain ra, tìm dòng nào có chữ default_server thì xóa chữ đó đi là xong nha.
Thank Luân nhé, mình làm mãi mới được
– Làm lần 1: quên không tắt plugin SEO Redirection (chuyển hướng 1 số link bị lỗi về link mới) ==> lỗi không vào được web, google cảnh báo là web bị chuyển hướng quá nhiều (do lệnh ở trên thì chuyển tất cả các http -> https, còn plugin kia nó lại tự động chuyển hết về trang http://domain ) => hoảng lần 1, xóa mấy cái config ở bước 2 phía trên đi để làm lại
– Làm lần 2: thấy có Https:// rồi nhưng lại không thấy xanh (mãi mới nhớ ra và đọc các cm bên dưới bài mới biết cài thêm plugin sửa link ảnh + file CSS + code về https hết
P/S: phần chú ý cuối cùng Của bài viết, Luân nên bôi màu hay gì đó vào để mọi người chú ý hơn
Ngon rồi 🙂 Có gì bạn cứ feedback lại
Okie, mình bổ sung thêm chú ý cài plugin Really Simple SSL nếu dùng WordPress trong bài luôn.
bác luân ơi. cho mình hỏi chút các site vệ tinh mình toàn cài https hết vậy có ảnh hưởng gì đến seo ko ạ. ví dụ site chính toàn backlink từ https có sao ko nhỉ???
Không sao nhé
Có VPS mình mở đc crontab mà có VPS ko, nó bị lỗi status 127, bác biết cách khắc phục ko, hướng dẫn mình với. Thank bác.
Bạn ghi lại thông báo lỗi cụ thể nhé
Bạn ơi, Cho mình hỏi là có bắt buộc phải trỏ Domain về IP của VPS trước khi cài SSL hay không
Bắt buộc nhé, như vậy Let’s Encrypt mới xác nhận được server bạn đang dùng
Mình muốn hỏi thêm là cài xong vậy, thì mọi thứ từ http sang https nó có giữ về social, backlink không bạn?
Tất nhiên là không rồi. Link https với http khác nhau mà.
Luân cho mình hỏi, bây giờ mình chuyển thủ công js, css, image kiểu gì nhỉ. Site của mình được rồi nhưng có biểu tượng khóa màu vàng. Mình đang dùng theme genenis, không biết sửa ở theme con hay genenis nữa
Bạn dùng plugin Easy HTTPS Redirection hoặc Really Simple SSL để nó làm tự động cho
Mình đã cài đặt DNS của cloudfare rồi giờ cài ssl này vào có cần cấu hình gì lại không anh ?
Không cần cấu hình gì nhé bạn
Minhf clone mã nguồn xong đến bước 2 khi cài đặt letsencrypt thì gặp lỗi báo như này là sao bạn:
Error: Multilib version problems found. This often means that the root
cause is something else and multilib version checking is just
pointing out that there is a problem. Eg.:
1. You have an upgrade for openssl which is missing some
dependency that another package requires. Yum is trying to
solve this by installing an older version of openssl of the
different architecture. If you exclude the bad architecture
yum will tell you what the root cause is (which package
requires what). You can try redoing the upgrade with
–exclude openssl.otherarch … this should give you an error
message showing the root cause of the problem.
2. You have multiple architectures of openssl installed, but
yum can only see an upgrade for one of those arcitectures.
If you don’t want/need both architectures anymore then you
can remove the one with the missing update and everything
will work.
3. You have duplicate versions of openssl installed already.
You can use “yum check” to get yum show these errors.
…you can also use –setopt=protected_multilib=false to remove
this checking, however this is almost never the correct thing to
do as something else is very likely to go wrong (often causing
much more problems).
Protected multilib versions: openssl-1.0.1e-48.el6_8.3.x86_64 != openssl-1.0.1e-48.el6_8.1.i686
Could not install OS dependencies. Aborting bootstrap!
Mình dùng vps OVH, bạn có thể giúp mình chứ. cám ơn bạn
Luân cho hỏi là các link ảnh logo nó vẫn http giờ muốn thay hết thành https://linkanh.jpg thì làm thế nào?
Cái này chỉnh trong theme thôi bạn.
ủa, sau 90 cài là hết hạn hả bác Luân 🙁
Đúng rồi, sau đó bạn phải gia hạn thủ công hoặc để tự động gia hạn
A Luân ơi em gặp phải một vấn đề như thế này, khi chạy lệnh cài đặt thì nó luôn báo là “cannot allocated memory”. Đại loại vậy, và không thành công.
P/S: Em dùng DO gói $5 nhưng đang upgrade lên gói $10/mo lúc đang comment cái này. Server có cài HocVPS Script.
Thường lỗi đó liên quan đến RAM. Bạn chạy lại thử chưa?
Dear Bác Luân.
Em đã thành công không gặp lỗi nào cho em: https://matongrung-nguyenchat.net/ nhưng em còn chút thắc mắc, đó là vd em muốn thêm một domain khác là banmatongrungnguyenchat.com thì em chạy lại lệnh: # Install Let’s Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly –standalone
Sau đó nhập lại matongrung-nguyenchat.net http://www.matongrung-nguyenchat.net banmatongrungnguyenchat.com http://www.banmatongrungnguyenchat.com luôn.
Hay chỉ nhập: banmatongrungnguyenchat.com http://www.banmatongrungnguyenchat.com
Và sau khi nhập xong thì đã thành công chưa hay cũng phải cấu hình lại file nginx cho domain mới như với domain cũ ạ!
Thanks Bác Luân ạ
Bạn nhập lại cả 2 domain nha. Cấu hình tiếp cho domain mới, thêm cái nào thì setup cái đó.
Ok Thanks bác Luân.
Tiện e hỏi luôn, làm sao để tạo được tài khoản ftp, em thấy trong giao diện quản lý của hocvps không có phần tạo tài khoản fpt ạ.
Bạn dùng sFTP ấy, muốn dùng FTP phải cài FTP Server vào, tốn thêm tài nguyên.
Luân cho mình hỏi muốn kích hoạt http2 thì mình sửa lại code cho nghix như thế nào nhỉ ? Mình cài SSL rồi mà check thấy http2 chưa hoạt động được.
Mình lại chưa có thời gian thử dùng http2 được
Mà luân cho mình hỏi nữa là cái đoạn cấu hình SSL mình phải chèn vào 2 cặp server { ..} cơ à. Mình thấy chỉ cần chèn 1 lần vào server { } thứ 2 là được mà nhỉ.
Đúng rồi 2 cặp nhé. Cái trên là để redirect link dạng này:
https://www.domain.com về https://domain.com
file conf của domain chính VPS thôi mà, các file conf tiếp theo nó tự sinh chuẩn luôn
Luân ơi hnay mình move VPS, domain mình chép file .conf qua vps mới nhưng k hiểu sao giờ web chạy song song http và https
K hiểu do redirect chỗ nào sai k
p/s: các bạn ở trên k vào đc port phpmyadmin có thể do lúc làm cuối cùng chép file cấu hình của Luân đưa ra giống mình, port lúc cài khác với port trong bài viết là 2313 hehe
Vậy bạn kiểm tra mấy file .conf rồi
Bác Luân ơi xem giúp mình file .conf này với, ko biết sai gì mà ko vào ip:port/phpmyadmin đc
Bạn gửi file qua mail admin@hocvps nhé
cài 1 domain ko sao, chạy thêm domain nữa khi restart nginx thì nó báo lỗi và toàn bộ website cũng ko chạy, nếu xóa cài đặt trong domain.conf thì chạy lại bình thường.Đã add đầy đủ domain khi cài đặt
dòng thông báo lỗi :
Redirecting to /bin/systemctl restart nginx.service
Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.
Bạn xem output lệnh này là gì: systemctl status nginx.service
Chạy được hết rồi Luân, nhưng ko truy cập được web phpmyadmin-hocvps.
Check mail giùm mình nhé
Ok nhé.
Thành công không 1 lỗi lầm gì :D, thanks Luân nhiều. Cái này free trọn đời luôn ko Luân ?
Free trọn đời nha.
mình gia hạn thì bị lỗi này, cso ai biết cách khắc phục không nhỉ
Port 80 is already in use by another process. This will prevent us from binding
to that port. Please stop the process that is populating the port in question
and try again. For automated renewal, you may want to use a script that stops
and starts your webserver. You can find an example at
https://certbot.eff.org/docs/using.html#renewal . Alternatively you can use the
webroot plugin to renew without needing to stop and start your webserver.
——————————————————————————-
Cleaning up challenges
Attempting to renew cert from /etc/letsencrypt/renewal/lazarashop.com.conf produced an unexpected error: At least one of the (possibly) required ports is already taken.. Skipping.
Bạn chưa stop Nginx rồi
Em dùng code tự động renew mỗi tuần của anh nhưng nó không hoạt động(sau 3 tháng thì https chết).
Em tắt nginx thì renew được nhưng trong code tự động renew thì không thấy lệnh tắt nginx nên em nghĩ code tự động renew không hoạt động
“Port 443 is already in use by another process”.
Uh để mình check lại, có vẻ code đó có vấn đề thật
Hiện tại mình đã update crontab gia hạn tự động. Bạn áp dụng có gì feedback lại nhé. Cám ơn 🙂
Anh Luân cho em hỏi xíu,e đã cài ssl thành công rồi nhưng cài cho domain chính lúc cài cùng hocvps scrips thì truy cập maindomain:port hay ip:port đều không được , cả http hay https đều không được , k biết có cách nào khắc phục không
E đã vào file
etc/nginx/conf.d/domain.com.vn.conf
sửa nhưng k biết sửa gì
Chắc bạn điều chỉnh lỗi đoạn nào rồi, gửi file .conf vào mail mình check coi nhé.
Cho mình hỏi là nếu mình muốn tắt hoặc remove letsencrypt ra khỏi 1 domain thì làm thế nào nhỉ?
Bạn cứ giữ nguyên cấu hình như vậy, rồi redirect toàn bộ request https sang http
Chào Luân !
Hiện tại mình có cài Let’s Encrypt lên Directadmin nhưng khi cài xong, tạo chứng chỉ cho site ok hết, đẫ redirect sang https luôn. Nhưng khi truy cập vào website thì báo lỗi chứng chỉ, và mình view cái chứng chỉ đó thì thấy nó để là (localhost), thời gian cũng sai. Đây là website datrangtritinphat . com
Bạn check giúp mình.
Với lại: bạn có thể hướng remove Let’s Encrypt ra khỏi VPS khi sử dụng hocvps hoặc directadmin, cpanel …
Thanks
Trên Direct Admin thì mình không biết rồi
Mình sử dụng https ok rồi nhưng vẫn đề dùng câu lệnh gia hạn nó báo skipped hết. Vậy là sao Luân?
No renewals were attempted.
Có output cụ thể hơn không bạn?
Cảm ơn Luân, mình chạy lại để lấy log thì lại đc. ko hiểu nữa 😀
Hôm qua vào đọc site của nó nói nó đổi command gì đó. Cảm ơn Luân hỗ trợ.
Bác Luân tư vấn giúp, mình chưa hiểu từ đoạn gia hạn này
Mở file cấu hình crontab:
EDITOR=nano crontab -e
Không hiểu đây là lệnh hay tìm file trong thư mục, mình chạy lệnh ko thấy gì.
Bạn chụp ảnh mô tả mình coi sao nhé.
Khi mình chạy lệnh EDITOR=nano crontab -e, xuất hiện cửa sổ như này [IMG]http://i.imgur.com/3wz5B8H.jpg[/IMG]. Paste và ko đơ ko lưu đc bác ạ
Khi mình chạy lệnh EDITOR=nano crontab -e, xuất hiện cửa sổ như này http://i.imgur.com/3wz5B8H.jpg. Paste và ko đơ ko lưu đc bác ạ
Kiểm tra crontab bằng lệnh crontab -l thì kết quả trả về thế này http://imgur.com/a/5CtBn.
Nghĩa là vps chưa có crontab phải ko bác, chạy lệnh cài đặt cũng ko đc nữa.
Như vậy là chưa có crontab rồi. Bạn xem bài này để biết cách sử dụng nano: https://hocvps.com/cach-su-dung-nano-editor/
Khi chạy lệnh yum install cronie để cài đặt crontab thì như thế này bác ạ
http://imgur.com/a/je3k4. Không biết phải cài sao, nhờ bác giúp xem thiếu chỗ nào
Ý mình nói là chưa tạo crontab thành công, chứ VPS của bạn cài crontab rồi.
Giờ phải làm thế nào hả bác. Mình đọc trang https://hocvps.com/cach-su-dung-nano-editor/ bác đưa mà ko hiểu làm cách nào. Bác thông cảm nếu mình hỏi nhiều, mình ko biết chút gì về vps chỉ nhờ học theo hướng dẫn của bác để cài đặt.
Đã thử ip:port cũng ko đc Luân ơi.
Hồi trước MainSite.com và Mainsite.com:2345 thì vào đc.
Bây giờ sau khi cấu hình ssl: https://mainsite.com vào đc, nhưng https hay http://mainsite.com:2345 ko vào đc.
hiện tại sử dụng hocvps của Luân.
Luân ơi sau khi cài đặt đã có https nhưng có vấn đề là ko sử dụng đc hocvps script để xem tài nguyên hay phpmyadmin.
Ví dụ hồi xưa mình cấu hình abc.com là domain chính thì cổng quản trị abc.com:9999 để xem opcache, phpmyadmin, hay file manager… mà giờ ko vào đc.
Cái này cấu hình sao đây Luân hỗ trợ mình với.
Bạn điều chỉnh lại trong mấy file cấu hình conf ấy.
File nào Luân ơi, có thể chỉ mình file nào và cấu hình thế nào đc ko?
Thư mục
/etc/nginx/conf.d/nhéThư mục này ko có file config của site qtri đó Luân ơi, chỉ có các web mình cấu hình thôi.
Help me please.
À, bạn dùng IP:port thử coi được không?
Một vps mình có 5 web sites. Mình đã làm cho cả 5, vậy gia hạn mình chỉ cần chạy 1 dòng lệnh renew đó thôi thì cả 5 sites đều đc gia hạn phải ko Luân?
Đúng thế nhé.
Mình gặp vấn đề này, khách hàng họ hỏi. Cái chứng chỉ này redirect từ www sang non-www thì ok, nhưng mà giả dụ như giờ khách gõ thế này : https://www.examples.com thì nó sẽ ra trang thông báo không an toàn. Có cách nào giải quyết triệt để không? Mình đang xài hocvps nhé.
Bạn add thêm domain http://www.examples.com vào để cái này cũng có SSL, sau đó redirect về non-www nhé.
Luân có thể hướng dẫn kỹ hơn được không? Ví dụ như trên hocvps thì mình phải thêm 1 website http://www.examples.com, sau đó chạy chứng chỉ SSL cho website đó, rồi vào config như thế nào?
Ví dụ như ảnh này bạn thêm cả 2 phiên bản là
hocvps.comvàwww.hocvps.com: https://hocvps.com/wp-content/uploads/2016/05/Dien-ten-mien.pngTrong đoạn cấu hình Nginx bên dưới mình có đoạn tự động redirect https://www.hocvps.com về https://hocvps.com, chính là đoạn này:
server { listen 443 ssl; server_name www.hocvps.com; # SSL ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL; rewrite ^(.*) https://hocvps.com$1 permanent; }Anh Luân cho em hỏi, khi nào thì dùng HTTPS cho WordPress, khi nào thì dùng HTTP ?
Em tra google thì chỉ nói chung chung, em muốn hiểu trường hợp nào thì dùng ?
Và có những ưu/nhược điểm nào khi dùng HTTPS ?
Em thấy hocvps và canhme đều không dùng HTTPS vậy anh ? Em chưa hiểu rõ lắm chổ SSL này :3
Khi nào site của bạn liên quan đến eCommerce, giao dịch trực tuyến thì hãy dùng HTTPS, không thì HTTP cho nó nhẹ nhàng, đơn giản.
Luân bổ sung đoạn này nhé. Mình nghĩ nhiều bạn thiếu cái này.
Chuyên non www có ssl sang www ssl cần thêm 1 đoạn:
Ví dụ website mình có dùng domain non www ssl.
server {
listen 443 ssl;
server_name http://www.myit.info;
rewrite ^(.*) https://myit.info$1 permanent;
# SSL
ssl_certificate /etc/letsencrypt/live/myit.info/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/myit.info/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;
}
Chuẩn rồi bạn, tuy nhiên đây là yêu cầu riêng từng người mà cần add hay không thôi.
Mình thấy cần đó bạn. Mình dùng https non www mà lúc gõ https www không ra cũng gây khó chịu cho khách truy cập =>mất khách 🙂
Khi reboot lại VPS thì tự động gia hạn có hoạt động ko luân?
Reboot không ảnh hưởng gì đến cấu hình crontab -> gia hạn bình thường
Luân ơi, giờ mình không muốn nó tự redirect sang https nữa. để mặc định chạy cả 2 thì làm tn?
Chạy 1 trong 2 thôi chứ, dùng song song Google nó đánh tụt rank đó bạn.
Nó báo như thế này nè Luân:
– The following errors were reported by the server:
Domain: mail.xxxxxxxxxxxxxxxxxxx.com
Type: unauthorized
Detail: Incorrect validation certificate for TLS-SNI-01 challenge.
Requested
c0b74c42879fde0a8b8d3be9f8659679.c1b9437290a8ae9b25ba9e241322a033.acme.invalid
from 93.158.134.25:443. Received certificate containing
‘mail.yandex.az, mail.yandex.by, mail.yandex.com.tr,
mail.yandex.com.ua, xn--80a1acny.xn--d1acpjx3f.xn--p1ai,
mail.yandex.kz, mail.yandex, mail.yandex.ua, mail.ya.ru,
posta.yandex.com.tr, mail.yandex.com, mail.yandex.ru’
To fix these errors, please make sure that your domain name was
entered correctly and the DNS A record(s) for that domain
contain(s) the right IP address.
Subdomain đang trỏ về Yandex à bạn, phải trỏ về IP server chứ?
Còn vấn đề muốn sử dụng SSL cho sub-domain dạng trên mong Luân giúp đỡ
Subdomain bạn cũng nhập như domain trong quá trình cài đặt Let’s Encrypt đó
Mình đã cài đặt domain chính rồi. Sub domain mình chạy lại lệnh cài đặt nhưng không được. Hiện tại còn cách nào không Luân?
Nó báo lỗi sao bạn nhỉ?
Luân ơi cho mình hỏi. Mình đã cài đặt thành công và test chuyển hướng 301 đều thành công. Không hiểu sao mình bấm vào các sub domain lại chuyển qua https.
VD: Mình sử dụng subdomain cho các dịch vụ email và cdn.
DNS Sub domain Cname “mail” value xxx.com
Vậy xin hỏi nếu sub domain trên mình có cài được ssl này không Luân? Vì mình đã thử theo cách:
cd /opt/letsencrypt
./letsencrypt-auto certonly –standalone
Mà nó không được vì thấy cái ip khác. Xin Luân hướng dẫn giúp trường hợp trên.
*** Note: Mình muốn sử dụng ssl cho cả subdomain.
À mình đã tìm ra nguyên nhân
Nhân đây mình cũng hướng dẫn lại cho các bạn nào gặp trường hợp giống mình nhé!
Vào Cloudflare -> Crypto -> HTTP Strict Transport Security (HSTS) -> Tắt mục Apply HSTS policy to subdomains (includeSubDomains)
Và bạn nào đã tạo Certificates SSL Free của Cloudflare nhớ bỏ chọn cái *.domain.com
Thanks Luân vì bài viết hữu ích nhé!
T cài và chạy ok rồi, giờ tớ muốn gỡ lets encrypt thì làm thế nào ( t đang dùng hocvps)
Bạn bỏ đoạn cấu hình https của file cấu hình nginx domain đi là ok.
Chắc do cache rồi :(._sr bạn
Okie 😀
Luân ơi. Đăng ký cho domain non-www nhưng www thì không đăng ký. Vậy để chuyển https://www về https://non-www thì sao bạn.
Bởi vì https:/www bị lỗi
Bạn cài lại Let’s Encrypt được ko. Chạy có 1 dòng lệnh thôi.
Cai lai sao bạn. Phát sinh thêm lỗi này nữa.
File config domain này của mình. Thế nhưng vào http://www.vietinvestment.vn thì nó chuyển sang 1 website khác trên server. 🙁
Bình thường mà bạn
Mình cài sao nó vẫn báo lỗi chứng chỉ Luân ơi
Lỗi như thế nào bạn nhỉ?
Hướng dẫn dễ hiểu, từng đọc mấy chỗ mà ko làm được. Thanh Ad
Không hiểu sao mình cài lại bị thế này nhỉ. Đã check lại nameserver mà vẫn không được
http://prntscr.com/c5q06i
help please
Bạn tắt cloudflare đi nha.
Thanks luân so much!
You’re the best
He he, không có gì 😀
Bạn cho mình hỏi tắt cloudflare luôn hả bạn hay sau khi cài đặt xong hết rồi có thể bật lại? Cảm ơn bạn
Click đám mây vàng chuyển thành xám, xong rồi lại click chuyển lại thành vàng nếu muốn nhé.
Em cài xong rồi, đã được rồi nhưng nếu dùng Cloudflare là lỗi chuyển hướng liên tục, không dùng được.