Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Lets Encrypt

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo cũng được rất nhiều người sử dụng.

Surf safely

1/ Cài đặt chứng chỉ Let’s Encrypt

Chúng ta sẽ clone mã nguồn của Let’s Encrypt về thư mục /opt/letsencrypt. Bước này thực hiện giống nhau trên CentOS 6 và 7.

# Install Git
yum -y install git

# Clone Let's Encrypt repository
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt

Để cài đặt Let’s Encrypt có rất nhiều cách, mình sẽ sử dụng option --standalone

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám nhé.
# Stop Nginx
service nginx stop

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn chỉ cần chạy lại câu lệnh là xong, hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
 /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will
 expire on 2016-08-23. To obtain a new version of the certificate in
 the future, simply run Certbot again.
 - If you lose your account credentials, you can recover through
 e-mails sent to admin@hocvps.com.
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

  1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
  2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

1.1/ Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.

Tạo file DH parameters 2048 bit

mkdir /etc/nginx/ssl/
openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Mở file cấu hình lên với nano

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block server { ... } thứ 2 điều chỉnh như sau:

+ Chuyển listen 80 default_server; thành listen 443 ssl http2;

+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;
        # OCSP Stapling
        resolver 127.0.0.1;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;

        # Enable HSTS (https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security)
        add_header Strict-Transport-Security "max-age=31536000" always;

Redirect toàn bộ link www http sang https

Trong block server { ... } ở phía trên cùng:

+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;

+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;

Kết quả được như sau:

server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ link www https sang https

Thêm mới block server { ... } ở trên cùng

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Nếu bạn cài đặt SSL cho tên miền chính sử dụng HocVPS Script, cần thêm cấu hình SSL khi sử dụng port. Ví dụ khi cài đặt mình để port mặc định 2313.

Tìm block server { ... } có dòng listen 2313;

Thêm chữ ssl và đoạn cấu hình SSL tương tự như bên dưới:

server {
	listen   2313 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
 	
        error_page  497 https://$host:2313$request_uri;
        # SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	...

Lúc này link login HocVPS Script Admin sẽ là https://hocvps.com:2313

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

server {
	listen   443 ssl http2;
	server_name www.hocvps.com;

	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   80;
	server_name hocvps.com www.hocvps.com;
	rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
	listen   443 ssl http2;
		
	access_log off;
	# access_log /home/hocvps.com/logs/access.log;
	error_log off;
    	# error_log /home/hocvps.com/logs/error.log;
	
    	root /home/hocvps.com/public_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
	
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

        # Improve HTTPS performance with session resumption
        ssl_session_cache shared:SSL:50m;
        ssl_session_timeout 1d;
        # OCSP Stapling
        resolver 127.0.0.1;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;

        # DH parameters
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;

        # Enable HSTS (https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security)
        add_header Strict-Transport-Security "max-age=31536000" always;
 
    	location / {
		try_files $uri $uri/ /index.php?$args;
	}
	
	# Custom configuration
	include /home/hocvps.com/public_html/*.conf;
 
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
    	}
	location /nginx_status {
  		stub_status on;
  		access_log   off;
                allow 127.0.0.1;
                deny all;
	}
	location /php_status {
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_index index.php;
		fastcgi_param SCRIPT_FILENAME  /home/hocvps.com/public_html$fastcgi_script_name;
		include /etc/nginx/fastcgi_params;
                allow 127.0.0.1;
                deny all;
    	}
	location ~ /\. {
		deny all;
	}
        location = /favicon.ico {
                log_not_found off;
                access_log off;
        }
       location = /robots.txt {
              allow all;
              log_not_found off;
              access_log off;
       }
	location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
	        gzip_static off;
		add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }

        location ~* \.(txt|js|css)$ {
	        add_header Pragma public;
		add_header Cache-Control "public, must-revalidate, proxy-revalidate";
		access_log off;
		expires 30d;
		break;
        }
}

server {
	listen   2313 ssl http2;
 	access_log        off;
	log_not_found     off;
 	error_log         off;
    	root /home/hocvps.com/private_html;
	index index.php index.html index.htm;
    	server_name hocvps.com;
        error_page 497 https://$host:2313$request_uri;
	# SSL
	ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
	ssl_prefer_server_ciphers on; 
	ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
 
	auth_basic "Restricted";
	auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
	
	location / {
		try_files $uri $uri/ /index.php;
	}
	
    	location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
        	include /etc/nginx/fastcgi_params;
        	fastcgi_pass 127.0.0.1:9000;
        	fastcgi_index index.php;
		fastcgi_connect_timeout 1000;
		fastcgi_send_timeout 1000;
		fastcgi_read_timeout 1000;
		fastcgi_buffer_size 256k;
		fastcgi_buffers 4 256k;
		fastcgi_busy_buffers_size 256k;
		fastcgi_temp_file_write_size 256k;
		fastcgi_intercept_errors on;
        	fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
    	}
	
	location ~ /\. {
		deny all;
	}
}

Kiểm tra lại cấu hình Nginx

nginx -t

Phản hồi như sau là ok:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Khởi động lại Nginx

service nginx restart

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Cai dat chung chi Let's Encrypt thanh cong

Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

service nginx stop
/opt/letsencrypt/letsencrypt-auto renew
service nginx start

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

EDITOR=nano crontab -e

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

30 2 * * 1 /opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

crontab: installing new crontab

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 sáng thứ 2 mỗi tuần. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, mức ảnh hưởng sẽ được hạn chế tối đa.

Nếu chứng chỉ hết hạn trong vòng 30 ngày sẽ tự động được gia hạn.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.

Chúc bạn thành công.

Lưu ý:

  • Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. View-source để xem.

534 Comments

    1. Luân Trần Admin

      Do trong lệnh có đường dẫn tuyệt đối rồi nên bạn chạy lệnh đó ở đâu cũng được.

  1. 28 comment

    Luân ơi, Luân viết bài hướng dẫn cài đặt SSL mua từ namecheap đi, mình mua từ đợt black Friday mà vẫn chưa biết cách cài lên VPS, trước có cài SSL của Let’s Encrypt rồi, giờ có cần xóa đi hay như nào không, hướng dẫn mình với

      1. 28 comment

        Help gấp, chứng chỉ SSL của mình mua ở namecheap phải dùng ngay, không sẽ bị thu hồi. mình có vài câu hỏi cần giải đáp:
        1. Mình đã cài SSL Let’s Encrypt rồi, giờ có cần xóa đi hay như nào không, xóa đi thì xóa như nào? (không thấy ai hướng dẫn xóa)
        2. Hiện mình đang làm theo hướng dẫn cài SSL Namecheap của bác Thạch phạm, thấy có đoạn sửa code của Luân là:
        server {
        listen 80;
        server_name hocvps.com http://www.hocvps.com;
        rewrite ^(.*) https://hocvps.com$1 permanent;
        }
        còn của Bác Thạnh phạm là :

        server {
        listen 80;
        server_name thachpham.com;
        return 301 https://thachpham.com$request_uri;
        }

        hơi khác nhau 1 tý, không biết có thay đổi gì không, hiện mình tham khảo theo bác Thạch phạm, nhưng vẫn để theo của Luân

        1. Luân Trần Admin

          1. Mấy dòng này chính là dùng cho Let’s Encrypt đó bạn, xóa thì bỏ đi là ok

          # SSL
          ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
          ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
          ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 
          ssl_prefer_server_ciphers on; 
          ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

          2. Sau khi xóa, bạn thay bằng đoạn cấu hình của Namecheap vào là được. Ví dụ với bài của Thạch Phạm nó là đoạn này:

          # SSL
          ssl on;
          ssl_certificate /etc/ssl/thachpham-bundle.crt;
          ssl_certificate_key /etc/ssl/private/sv.thachpham.com.key;
          ssl_session_timeout 5m;
          ssl_session_cache  shared:SSL:10m;
          ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
          ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
          ssl_prefer_server_ciphers on;
          add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
          ssl_stapling on;

          Những đoạn cấu hình khác giữ nguyên nha.

          1. 28 comment

            Ok đc rồi,làm,làm cũng ko quá khó,theo đúng các bước của bác thạch mà chiến thôi,mỗi cái cấu hình cho nginx thì theo của Luân,chỉ thay đoạn #ssl của Encrypt bằng #ssl như bác thạch hướng dẫn thôi 🙂

          2. 28 comment

            Hôm trước cài xong thấy vào rất chi là ok, bẵng đi mấy hôm, hnay vào check thì lại không vào được web nữa, chắc mấy hôm trước bị lưu cacher nên vào bình thường, chán thế mấy hôm bị mà không biết,hnay không vào được nữa 🙁 file mình sửa vẫn đúng theo hướng dẫn

            server {
            listen 80;
            server_name giasondulux.com http://www.giasondulux.com;
            rewrite ^(.*) https://giasondulux.com$1 permanent;
            }
            server {
            listen 443 ssl;
            server_name http://www.giasondulux.com;

            # SSL
            ssl on;
            ssl_certificate /etc/ssl/giasondulux-bundle.crt;
            ssl_certificate_key /etc/ssl/private/giasondulux.com.key;
            ssl_session_timeout 5m;
            ssl_session_cache shared:SSL:10m;
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            ssl_ciphers “ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;
            ssl_prefer_server_ciphers on;
            add_header Strict-Transport-Security “max-age=31536000; includeSubdomains;”;
            ssl_stapling on;

            rewrite ^(.*) https://giasondulux.com$1 permanent;
            }
            server {
            listen 443 ssl;

            access_log off;
            # access_log /home/giasondulux.com/logs/access.log;
            error_log off;
            # error_log /home/giasondulux.com/logs/error.log;

            root /home/giasondulux.com/public_html;
            index index.php index.html index.htm;
            server_name giasondulux.com;

            # SSL
            ssl on;
            ssl_certificate /etc/ssl/giasondulux-bundle.crt;
            ssl_certificate_key /etc/ssl/private/giasondulux.com.key;
            ssl_session_timeout 5m;
            ssl_session_cache shared:SSL:10m;
            ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
            ssl_ciphers “ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”;
            ssl_prefer_server_ciphers on;
            add_header Strict-Transport-Security “max-age=31536000; includeSubdomains;”;
            ssl_stapling on;

            location / {
            try_files $uri $uri/ /index.php?$args;
            }

            # Custom configuration
            include /home/giasondulux.com/public_html/*.conf;

            location ~ \.php$ {
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            include /etc/nginx/fastcgi_params;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_connect_timeout 1000;
            fastcgi_send_timeout 1000;
            fastcgi_read_timeout 1000;
            fastcgi_buffer_size 256k;
            fastcgi_buffers 4 256k;
            fastcgi_busy_buffers_size 256k;
            fastcgi_temp_file_write_size 256k;
            fastcgi_intercept_errors on;
            fastcgi_param SCRIPT_FILENAME /home/giasondulux.com/public_html$fastcgi_script_name;
            }
            location /nginx_status {
            stub_status on;
            access_log off;
            }
            location /php_status {
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param SCRIPT_FILENAME /home/giasondulux.com/public_html$fastcgi_script_name;
            include /etc/nginx/fastcgi_params;
            }
            location ~ /\. {
            deny all;
            }
            location = /favicon.ico {
            log_not_found off;
            access_log off;
            }
            location = /robots.txt {
            allow all;
            log_not_found off;
            access_log off;
            }
            location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
            gzip_static off;
            add_header Pragma public;
            add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
            access_log off;
            expires 30d;
            break;
            }

            location ~* \.(txt|js|css)$ {
            add_header Pragma public;
            add_header Cache-Control “public, must-revalidate, proxy-revalidate”;
            access_log off;
            expires 30d;
            break;
            }
            }

            server {
            listen 2313;
            access_log off;
            log_not_found off;
            error_log off;
            root /home/giasondulux.com/private_html;
            index index.php index.html index.htm;
            server_name giasondulux.com;

            auth_basic “Restricted”;
            auth_basic_user_file /home/giasondulux.com/private_html/giasondulux/.htpasswd;

            location / {
            try_files $uri $uri/ /index.php;
            }
            location ~ \.php$ {
            fastcgi_split_path_info ^(.+\.php)(/.+)$;
            include /etc/nginx/fastcgi_params;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_connect_timeout 1000;
            fastcgi_send_timeout 1000;
            fastcgi_read_timeout 1000;
            fastcgi_buffer_size 256k;
            fastcgi_buffers 4 256k;
            fastcgi_busy_buffers_size 256k;
            fastcgi_temp_file_write_size 256k;
            fastcgi_intercept_errors on;
            fastcgi_param SCRIPT_FILENAME /home/giasondulux.com/private_html$fastcgi_script_name;
            }
            location ~* \.(bak|back|bk)$ {
            deny all;
            }
            }

          3. Việt Phương Moderator

            Hình như bạn copy đoạn cấu hình ở bài viết về chỉnh sửa đúng ko? Bạn tự edit ở file cấu hình gốc nhé
            Ví dụ đúng thì phải là: auth_basic_user_file /home/giasondulux.com/private_html/hocvps/.htpasswd;
            Bạn có thể check thư mục private_html

  2. Hồ Chí Thành 5 comment

    Hình như command renew k còn tác dụng nữa.
    Mình thử chạy nhưng nó báo :
    Cert not yet due for renewal

    The following certs are not due for renewal yet:
    /etc/letsencrypt/live/domain/fullchain.pem (skipped)
    No renewals were attempted.
    Đã stop nginx trước khi chạy rồi.
    Bây giờ làm thế nào để renew cert này đây vì còn có vài ngày là hết hạn mất rồi.

      1. Hồ Chí Thành 5 comment

        Cái này là chạy lệnh thủ công đấy.Do cái crontab set y như bạn hướng dẫn nhưng nó gởi mail báo sắp hết hạn mãi nên nghĩ command đó k có tác dụng.

        1. Luân Trần Admin

          Vậy quá trình bạn chạy lệnh để tiến hành gia hạn, có vấn đề gì rồi. Check lại cẩn thận xem sao nhé.

          1. Hồ Chí Thành 5 comment

            Hì,renew thì chỉ gõ command đó thôi chứ mấy.Còn output thì nó show y như mình post ở trên.
            Đọc comment ở mấy trang trước có người cũng bị giống mình.
            Chắc hàng free nên lâu lâu cũng ngáo ngáo. :))

  3. Đặng Hoàng Hữu 7 comment

    Anh Luân cho em hỏi về cái này tý
    Sau khi em cài đặt Let’s Encrypt và cấu hình như hướng dẫn thì em không thể vào phần quản trị trên web được nữa. Nó bị gì vậy anh?
    Ví dụ cụ thể là em không thể truy cập vào bằng http://abcd.net:vxyz/ hoặc https://abcd.net:vxyz

    Xin được hướng dẫn!

    1. Việt Phương Moderator

      Bạn vẫn connect được VPS qua SSH chứ. Kiểm tra xem bạn có thiết lập thêm tường lửa gì hay block port vxyz không. Chụp mình màn hình lỗi với

  4. Đặng Hoàng Hữu 7 comment

    Đã khắc phục được lỗi mà không phải do mình tự khắc phục mà nhờ anh Việt Phương.
    Cảm ơn HOCVPS nhiều nhiều!

    1. Việt Phương Moderator

      Các bạn chú ý sửa file cấu hình /etc/nginx/conf.d/hocvps.com.conf theo hướng dẫn chứ không copy y nguyên trên bài hướng dẫn nhé vì nó thay đổi theo từng server cài đặt

      1. Nguyen Tien 12 comment

        vậy đúng rồi. mình cũng bị y nguyên. Bác Luân note và bôi đậm cái này lại cho AE chú ý nhé!

  5. Dương 4 comment

    nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/www.sieutech.com/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/live/www.sieutech.com/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
    nginx: configuration file /etc/nginx/nginx.conf test failed

    Cho em hỏi khi restart lại Nginx thì bị như thế này? Không restart được ạ 🙁

    1. Việt Phương Moderator

      Bạn kiểm tra file /etc/letsencrypt/live/www.sieutech.com/fullchain.pem thuộc quyền sở hữu user nào: root:root hay nginx:nginx

  6. Giang 11 comment

    Mình đã xác thực cho website của mình là acaramia.com rồi. Mình cũng có chạy subdomain là thuvien.acaramia.com nhưng bây giờ mình không thể nào vào được domain con nữa là nó tự nhảy về domain chính thôi.
    Làm sao để khắc phục ạ?

      1. Giang 11 comment

        À mình vào ko đc nên mình xoá tất cả folder liên quan đến ssl và chỉnh lại file .conf nên bây giờ vao được bth rồi (cũng chỉnh nóng máu mới đc).
        Thuvien.aca là sub domain nên hình như ko hỗ trợ ssl mình cấu hình xong file .conf cho site chính xong rồi qua subdomain cấu hình. Cấu hình xong thì mình ko reset đc nginx nên mình xoá file .conf của thuvien. Xong rồi vào domain thuvien.acaramia nó tự nhảy về trang chính là acaramia thôi. Giờ mình xoá hết rồi ko biết có sao ko nữa

  7. Z Mụp Nguyễn 36 comment

    Hi ad,

    Khi mình chạy lệnh renew nó báo như thế này:

    Port 443 is already in use by another process. This will prevent us from binding
    to that port. Please stop the process that is populating the port in question
    and try again. For automated renewal, you may want to use a script that stops
    and starts your webserver.

    Cái này là lỗi j thế ad ?

    Cảm ơn ad

        1. Việt Phương Moderator

          Bạn stop nginx xong chạy /opt/letsencrypt/letsencrypt-auto renew thì báo lỗi gì?

  8. LiveForever 1 comment

    Cái lệnh service nginx reload có làm nginx khởi động lại không bạn, vì visit site mình chủ yếu ở nước ngoài, 2h sáng chúng nó vô đông lắm, không rõ có ảnh hưởng ko?

  9. Ngọc nhân 4 comment

    Sao không làm luôn Apache cho đầy đủ. Mình đang xài Apache. Bạn có thể hướng dẫn ?

    1. Việt Phương Moderator

      Hiện tại chưa. Bạn cần trên hệ thống Ubuntu hay Centos cài LAMP?

  10. Bạc Đỏ 33 comment

    Chrome cứ báo unsafe đỏ lòm ghê chết đi được. Có cách nào chỉnh không admin nhỉ

        1. Việt Phương Moderator

          Noted cho mọi người. Ở CentOS7 thì nginx được start/stop bằng lệnh #systemctl start nginx.service (khác với CentOS6)
          Trường hợp bạn này là chưa stop đc nginx nên không cài được Let’s Encrypt

    1. Việt Phương Moderator

      Ví dụ nhé : rewrite ^(.*) https://www.hocvps.com$1 permanent;
      Hoặc return 301 https://www.hocvps.con$request_uri;

        1. NGUYEN THAI HIEN 6 comment

          Với lại nếu thành công thì mình có cần cấu hình file nano /etc/nginx/conf.d/tênmiềnmới.conf không? Nếu cấu hình thì cấu hình ra sao? Cảm ơn ạ

          1. Việt Phương Moderator

            Có bạn nhé. Trong bài viết có ghi đầy đủ đó. Phần 2.Cấu hình Nginx

        2. Việt Phương Moderator

          Oh sorry bạn. Mình nhớ nhầm. Stop webserver ngay từ đầu nhé. Trong bài viết cũng có ghi ngay trên phần cài đặt: # service nginx stop

          1. NGUYEN THAI HIEN 6 comment

            Mình cài ssl lúc điền tên miền là tingame.mobi http://www.tingame.mobi chuyenlacothat.org http://www.chuyenlacothat.org

            1. Chổ ssl_certificate và ssl_certificate_key thì để cấu hình gốc à (tức tingame.mobi)? Chứ không phải đổi theo tên miền muốn hả (mình điền thử khác thì không khởi động được vps)?

            2. Mình kiểm tra ssl chuyenlacothat.org trên trình duyệt thì nó báo Issued to: tingame.mobi chứ không phải chuyenlacothat.org à? Cảm ơn

          2. Việt Phương Moderator

            Mình vừa sửa lại bài viết nhé. Crt phải issue riêng cho từng domain nhé. Cụ thể, bạn chạy # ./letsencrypt-auto certonly --standalone
            _Lần 1: Điền domain1 www.domain1 để issue crt cho domain 1, thư mục tại /etc/letsencrypt/live/domain1/
            _Lần 2: Điền domain2 www.domain2 để issue crt cho domain 2, thư mục tại /etc/letsencrypt/live/domain2/
            Khi đó, cấu hình Nginx Conf của từng domain bạn chỉnh cho đúng thư mục cert là được

  11. Hai Nam 1 comment

    Luân ơi cho mình cách gở toàn bộ ra cái. Mình cài thành công nhưng không biết sao nhiều lúc cứ k vào được website. Rebot lại VPS luôn vẫn không được. Thank

    1. Việt Phương Moderator

      Bạn lưu file cấu hình Nginx của domain trước không. Dùng lại file ý là được.
      Hoặc bạn remove mấy dòng SSL trong file là ok
      # SSL
      ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
      ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
      ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
      ssl_prefer_server_ciphers on;
      ssl_ciphers AES256+EECDH:AES256+EDH:!aNULL;

Comment của bạn

Your email address will not be published. Required fields are marked *