Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.
Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.
Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.
Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.
Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”
Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.
Nội dung bài viết
1/ Cài đặt chứng chỉ Let’s Encrypt
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
3/ Cập nhật cấu hình trong Google Search Console và Analytics
4/ Tự động gia hạn Let’s Encrypt
1/ Cài đặt chứng chỉ Let’s Encrypt
1.1/ Cài đặt certbot
yum -y install certbot
1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain
Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option --standalone
# Stop Nginx service nginx stop # Issue SSL Let's Encrypt certbot certonly --standalone
Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.
Chấp nhận quy định bằng cách nhập a, rồi nhấn tiếp Enter.
Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.
Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again. - If you lose your account credentials, you can recover through e-mails sent to admin@hocvps.com. - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Lưu ý các thông tin mình bôi đỏ:
- /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
- 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)
Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website
Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:
# Stop Nginx service nginx stop # Install Let's Encrypt certbot certonly --standalone
Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.
2/ Cấu hình Nginx
Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là hocvps.com thì file cấu hình sẽ có đường dẫn là /etc/nginx/conf.d/hocvps.com.conf
Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé.
Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.
Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)
mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem
Chỉnh sửa cấu hình domain bằng Nano Editor
nano /etc/nginx/conf.d/hocvps.com.conf
Cấu hình SSL xử lý các request
Trong block server { ... } thứ 2 điều chỉnh như sau:
+ Chuyển listen 80 default_server; thành listen 443 ssl default_server;
+ Sau dòng server_name hocvps.com; thêm đoạn cấu hình SSL:
# SSL ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; # Improve HTTPS performance with session resumption ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; # DH parameters ssl_dhparam /etc/nginx/ssl/dhparam.pem; # Enable HSTS add_header Strict-Transport-Security "max-age=31536000" always;
Redirect toàn bộ www http sang https
Trong block server { ... } ở phía trên cùng:
+ Chuyển server_name www.hocvps.com; thành server_name hocvps.com www.hocvps.com;
+ Chuyển rewrite ^(.*) http://hocvps.com$1 permanent; thành rewrite ^(.*) https://hocvps.com$1 permanent;
Kết quả được như sau:
server {
listen 80;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com
Redirect toàn bộ www https sang https
Thêm mới block server { ... } ở trên cùng
server {
listen 443 ssl;
server_name www.hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com
Cấu hình SSL với port quản lý HocVPS Script Admin
Lưu ý:
- Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
- Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link
http://IP:portđể vào khu vực quản trị HocVPS Script Admin.
Ví dụ khi cài đặt mình để port mặc định 2018 thì sẽ tìm block cuối cùng server { ... } trong file cấu hình domain .conf có dòng listen 2018;
Cấu hình SSL cho port HocVPS tương tự như bên dưới:
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log off;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
...
Lúc này truy cập HocVPS Script Admin qua https://domain.com:2018
File cấu hình Nginx cuối cùng sẽ tương tự như sau:
server {
listen 443 ssl;
server_name www.hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
listen 80;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) https://hocvps.com$1 permanent;
}
server {
listen 443 ssl default_server;
# access_log off;
access_log /home/hocvps.com/logs/access.log;
# error_log off;
error_log /home/hocvps.com/logs/error.log;
root /home/hocvps.com/public_html;
index index.php index.html index.htm;
server_name hocvps.com;
# SSL
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
# Improve HTTPS performance with session resumption
ssl_session_cache shared:SSL:50m;
ssl_session_timeout 1d;
# DH parameters
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
# Enable HSTS
add_header Strict-Transport-Security "max-age=31536000" always;
location / {
try_files $uri $uri/ /index.php?$args;
}
# Custom configuration
include /home/hocvps.com/public_html/*.conf;
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_connect_timeout 1000;
fastcgi_send_timeout 1000;
fastcgi_read_timeout 1000;
fastcgi_buffer_size 256k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
}
location /nginx_status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
location /php_status {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/public_html$fastcgi_script_name;
include /etc/nginx/fastcgi_params;
allow 127.0.0.1;
deny all;
}
# Disable .htaccess and other hidden files
location ~ /\.(?!well-known).* {
deny all;
access_log off;
log_not_found off;
}
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location ~* \.(3gp|gif|jpg|jpeg|png|ico|wmv|avi|asf|asx|mpg|mpeg|mp4|pls|mp3|mid|wav|swf|flv|exe|zip|tar|rar|gz|tgz|bz2|uha|7z|doc|docx|xls|xlsx|pdf|iso|eot|svg|ttf|woff)$ {
gzip_static off;
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
expires 30d;
break;
}
location ~* \.(txt|js|css)$ {
add_header Pragma public;
add_header Cache-Control "public, must-revalidate, proxy-revalidate";
access_log off;
expires 30d;
break;
}
}
server {
listen 2018 ssl;
access_log off;
log_not_found off;
error_log /home/hocvps.com/logs/nginx_error.log;
root /home/hocvps.com/private_html;
index index.php index.html index.htm;
server_name hocvps.com;
error_page 497 https://$server_name:$server_port$request_uri;
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
location / {
autoindex on;
try_files $uri $uri/ /index.php;
}
location ~ \.php$ {
fastcgi_split_path_info ^(.+\.php)(/.+)$;
include /etc/nginx/fastcgi_params;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_connect_timeout 1000;
fastcgi_send_timeout 1000;
fastcgi_read_timeout 1000;
fastcgi_buffer_size 256k;
fastcgi_buffers 4 256k;
fastcgi_busy_buffers_size 256k;
fastcgi_temp_file_write_size 256k;
fastcgi_intercept_errors on;
fastcgi_param SCRIPT_FILENAME /home/hocvps.com/private_html$fastcgi_script_name;
}
location ~ /\. {
deny all;
}
}
_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:
- Không thiết lập HocVPS Admin Port
- Bỏ tham số
default_serverbên cạnhlisten 443
_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):
- Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
- Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng
ip:port - Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.
_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx.
_ Tham khảo thêm Tối ưu HTTPS trên Nginx.
Kiểm tra lại cấu hình Nginx
nginx -t
Phản hồi như sau là ok:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful
Khởi động lại Nginx
service nginx restart
Giờ truy cập vào domain để tận hưởng thành quả thôi.
Lưu ý:
- Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
- Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
- Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.
3/ Cập nhật cấu hình trong Google Search Console và Analytics
Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.
4/ Tự động gia hạn Let’s Encrypt
Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.
certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start"
Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.
Mở file cấu hình crontab:
# EDITOR=nano crontab -e
Copy và paste đoạn code bên dưới vào cửa sổ terminal:
30 2 * * * /usr/bin/certbot renew --pre-hook "service nginx stop" --post-hook "service nginx start" >> /var/log/le-renew.log
Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công
crontab: installing new crontab
crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.
Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.
Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 6.Một số vấn đề gặp phải
5/ Xóa chứng chỉ Let’s Encrypt
Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:
# Remove Let's Encrypt certbot delete
Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.
6/ Một số vấn đề gặp phải
Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service
Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.
# cd /opt/letsencrypt && git pull
Nếu gặp thông báo lỗi thì sử dụng lệnh này: # cd /opt/letsencrypt && git reset --hard && git pull
Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau:
Kiểm tra nội dung /var/spool/mail/root thấy:
Failed to find executable /usr/sbin/service in PATH:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin Unable to find pre-hook command /usr/sbin/service in the PATH. (PATH is /usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin)
Kiểm tra nội dung /var/log/cron thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung /var/log/le-renew.log và bên trong /var/log/letencrypt không thấy gì khả nghi.
– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.
# whereis service service: /sbin/service /usr/share/man/man8/service.8.gz
# echo $PATH /usr/bin:/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
Có thể thấy, lệnh service nằm trong /sbin/service, không thuộc biến môi trường PATH. Crontab chỉ tìm /usr/sbin/service và không thấy.
– Giải pháp::
Bạn cần sử dụng đường dẫn cụ thể để chạy lệnh service trong crontab. Vị trí sẽ tùy thuộc vào từng hệ thống, kiểm tra bằng # whereis service.
Ví dụ, khi là /sbin/service thì câu lệnh chèn vào crontab sẽ như sau:
30 2 * * * certbot renew --pre-hook "/sbin/service nginx stop" --post-hook "/sbin/service nginx start" >> /var/log/le-renew.log
– Dấu hiệu: Đến ngày hết hạn thì không thể renew, với thông báo:
Renewal configuration file /etc/letsencrypt/renewal/hocvps.com.conf produced an unexpected error: [('PEM routines', 'PEM_read_bio', 'no start line')]. Skipping.
No renewals were attempted.
Hoặc expected /etc/letsencrypt/live/hocvps.com/cert.pem to be a symlink
– Nguyên nhân: Bộ chứng chỉ bị corrupt khiến Let’s Encrypt không thể đọc và renew.
Kiểm tra nội dung cert và private key:
# openssl x509 -noout -text -in /etc/letsencrypt/live/hocvps.com/cert.pem unable to load certificate 3077703404:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: TRUSTED CERTIFICATE # openssl rsa -noout -text -in /etc/letsencrypt/live/hocvps.com/privkey.pem -check unable to load Private Key 3078170348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:703:Expecting: ANY PRIVATE KEY
Kiểm tra MD5 của cert và key (trùng nhau là ok):
# openssl x509 -noout -modulus -in fullchain.pem | openssl md5 # openssl rsa -noout -modulus -in privkey.pem | openssl md5
Kiểm tra danh sách cert trong VPS
# certbot certificates
Found the following certs:
Certificate Name: hocvps.com
Domains: hocvps.com www.hocvps.com
Expiry Date: 2018-05-27 09:15:09+00:00 (VALID: 89 days)
Certificate Path: /etc/letsencrypt/live/hocvps.com/fullchain.pem
Private Key Path: /etc/letsencrypt/live/hocvps.com/privkey.pem
-------------------------------------------------------------------------------
– Giải pháp: xóa hoàn toàn cert cũ rồi issue lại cert mới (như mục 1.)
# cd /opt/letsencrypt # ./certbot delete --cert-name hocvps.com Saving debug log to /var/log/letsencrypt/letsencrypt.log ------------------------------------------------------------------------------- Deleted all files relating to certificate hocvps.com. -------------------------------------------------------------------------------
– Nguyên nhân & Dấu hiệu:
VPS không thể kết nối ra ngoài qua giao thức HTTPS, khi đó cũng không thể issue/renew các chứng chỉ SSL. Ví dụ không thể truy cập qua HTTPS
# curl https://google.com
curl: (77) Problem with the SSL CA cert (path? access rights?)
#curl https://github.com/letsencrypt/letsencrypt
curl: (35) SSL connect error
– Giải pháp:
Đối với lỗi (77): cài đặt lại chứng chỉ trong VPS:
Bước 1: Di chuyển/Đổi tên chứng chỉ cũ
- CentOS6 chứng chỉ lưu tại
/etc/ssl/certs/ca-bundle.crt - CentOS7 chứng chỉ lưu tại
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem
Bước 2: Cài đặt lại chứng chỉ. Khi đó, bạn có thể curl HTTPS và issue/renew chứng chỉ bình thường.
# yum reinstall -y ca-certificates
– Đối với lỗi (35) – Cập nhật NSS
# yum update nss -y
Chúc bạn thành công.
Em cài Really Simple SSL thì bị lỗi đã chuyển hướng bạn quá nhiều lần. Ai đã gặp giúp em vấn đề này với ạ
check đúng cú pháp hết rồi.
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
nhưng reload nginx lại lỗi 🙁
service nginx reload
Redirecting to /bin/systemctl reload nginx.service
Job for nginx.service invalid.
Được rồi bác ạ. Chạy service nginx start mới được. service nginx reload lỗi.
Thanks bác nhiều nhé
Đó không phải là lỗi. Đó là 1 tính năng nhé 😀 Do CentOS7 dùng systemctl không phải service. Lệnh service vẫn hoạt động bằng cách dẫn đến câu lênh systemctl tương ứng. Reload nó chỉ lỗi bước stop nginx vì nginx đã stop rồi. Còn nó vẫn start nginx
OK bạn, chạy được là ok rồi.
🙂 Thanks bác. SSL hoạt động cả rồi 🙂
Mình có domain example.com đã cài Let’s encryp SSL thành công rồi. giờ mình muốn cài sll cho sub.example.com luôn. mình làm theo bài này: https://hocvps.com/cai-dat-lets-encrypt/
Mọi bước cài đặt thì ok cả nhưng đến bước chỉnh sửa config trong nginx thì cái sub.example.com SSL nó hoạt đông bình thường còn example.com báo lỗi chứng chỉ ERR_CERT_COMMON_NAME_INVALID.
Các bác nào biết giúp với ạ
Cấu hình sai cert. Có thể hiểu example.com đang không dùng cert của example.com
Bạn coi sub như 1 site độc lập. Ex và Sub có cert riêng rẽ. Cũng như file cấu hình Nginx của ex và sub khác nhau
Cấu hình sai cert là sao bác nhỉ?
Ở đây, ở cả ex và sub mình đều tạo cert khác nhau theo hướng dẫn : https://hocvps.com/cai-dat-lets-encrypt/ . Nhưng khi config nginx trong sub xong reload lại nginx thì SSL trên sub hoạt động bình thường còn ssl trên ex bị lỗi do cert trỏ về sub chứ không phải ex. Còn conf nginx trong sub về lại ban đầu (không dùng ssl cho sub) thì ex lại hoạt đông bình thường. Mình không tại sao nữa. Có cần conf chỗ nào nữa ko nhỉ?
Bạn gửi kết quả của
ls -al /etc/letencrypt/livevà nội dung 2 file cấu Nginx mình xem choDay bac: https://pastebin.com/raw/byM4k1yq
Bạn có cấu hình SSL cho
domain.comđâuPhần block ý không có quy định SSL trong khi phần block 80 và 443 của http://www.domain.com thì quy định đầy đủ SSL
listen 443 ssl http2;
root /home/domain.com/public_html;
index index.php index.html index.htm;
server_name domain.com;
Bác ơi sử được rồi nhưng giờ thành ex domain lại hoạt động bình thường còn ssl của sub lại lỗi cert (Do cert lại trỏ về ex chứ không phải của sub)
Có trỏ đâu mà nhầm nhỉ. File sub bạn dùng cert sub mà
ssl_certificate /etc/letsencrypt/live/sub.domain.com/fullchain.pem;Sub của bạn tạo độc lập như 1 website bình thường, mã nguồn riêng hay WordPress Multisite vậy
1 website độc lập, mã nguồn khác bác ạ
Bạn cho lại 2 file Nginx của 2 site
https://pastebin.com/raw/V1TJJDa1
Bạn đang không khởi động lại được Nginx mà. Site hiện load với cache cũ
server {listen 80;
server_name domain.com www.domain.com;
rewrite ^(.*) https://domain.com$1 permanent;
Thiếu dấu
}ở dòng 18 để khóa cái blocklisten 80lại rồiChào anh Việt Phương và anh Luân Trần, 2 anh vui lòng cho em hỏi về lỗi Cert lỗi không thể renew. Giải pháp hiện tại là:Giải pháp:
1. Xóa hoàn toàn cert cũ: rm -rf /etc/letsencrypt/live/hocvps.com/
2. Issue lại cert mới cho site. Chú ý cập nhật lại trong file cấu hình Nginx của domain do thư mục cert thay đổi, ví dụ /etc/letsencrypt/live/hocvps.com-0001/.
Ở bước 2 em còn chưa rõ. Có phải là mình cài đặt lại từ đầu như bài hướng dẫn này hay không? Em cảm ơn 2 anh đã trả lời
File cấu hình Nginx nhé bạn. Ban đầu bạn khai báo trong file là
ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
Thì bây giờ cert và key không còn ở vị trí ý thì bạn cập nhật lại vào file vị trí mới của cert và key
Cảm ơn anh đã trả lời câu hỏi của em. Em vẫn chưa hiểu cách “Issue lại cert mới cho site” là như thế nào. Có phải là thực hiện lại bước 1 “Cài đặt chứng chỉ Let’s Encrypt” như trong bài phải không?
Uhm, bước issue cert thôi nhé. Còn cài đặt Let’s Encrypt bạn đã làm rồi
# Stop Nginx
service nginx stop
# Install Let's Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly --standalone
# Start Nginx
service nginx start
Cảm ơn anh, em đã làm được 😀
Minh xóa luôn thư mục /etc/letsencrypt/live/cauthangkinhtanbinh.com/fullchain.pem
Redirecting to /bin/systemctl start nginx.service
Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.
[root@centos-512mb-sgp1-01 home]# systemctl status nginx.service
● nginx.service – nginx – high performance web server
Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: failed (Result: exit-code) since Wed 2017-06-21 10:39:29 +07; 8s ago
Docs: http://nginx.org/en/docs/
Process: 2386 ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf (code=exited, status=1/FAILURE)
Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: Starting nginx – high performance web server…
Jun 21 10:39:29 centos-512mb-sgp1-01 nginx[2386]: nginx: [emerg] BIO_new_file(“/etc/letsencrypt/live/cauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:0200…such file)
Jun 21 10:39:29 centos-512mb-sgp1-01 nginx[2386]: nginx: configuration file /etc/nginx/nginx.conf test failed
Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: nginx.service: control process exited, code=exited status=1
Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: Failed to start nginx – high performance web server.
Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: Unit nginx.service entered failed state.
Jun 21 10:39:29 centos-512mb-sgp1-01 systemd[1]: nginx.service failed.
Hint: Some lines were ellipsized, use -l to show in full.
mà không service nginx start được. Bạn hướng dẫn rõ thêm hay teamview giúp mình với
Minh xóa luôn thư mục /etc/letsencrypt/live/cauthangkinhtanbinh.com/fullchain.pemTrong file Nginx bạn có cấu hình nó mà giờ bạn xóa file cert đi thì Nginx sao đọc được.
Hiểu đơn giản bạn bảo Nginx là cert nằm ở
/etc/letsencrypt/live/cauthangkinhtanbinh.commà giờ vào đó không có file nào thì Nginx sao hiểuBạn back lại file cấu hình nginx về cũ nếu không muốn xài SSL hoặc issue lại cert đi
Ok rồi admin mơi, mình back lại rồi ok rồi, giờ muốn tạo lại cho nó thì làm sao bạn.
Bạn issue lại cert rồi cấu hình lại Nginx. Bạn nhớ là cert nằm ở thư mục nào thì quy định đúng như thế trong cấu hình Nginx
Job for nginx.service failed because the control process exited with error code. See “systemctl status nginx.service” and “journalctl -xe” for details.
Luận xử lý giúp cái này với
Bạn gõ như yêu cầu để biết lỗi do cái gì.
systemctl status nginx.service● nginx.service – nginx – high performance web server
Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)
Active: failed (Result: exit-code) since Tue 2017-06-20 16:16:53 +07; 17h ago
Docs: http://nginx.org/en/docs/
Process: 897 ExecStartPre=/usr/sbin/nginx -t -c /etc/nginx/nginx.conf (code=exited, status=1/FAILURE)
Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: Starting nginx – high performance web server…
Jun 20 16:16:53 centos-512mb-sgp1-01 nginx[897]: nginx: [emerg] BIO_new_file(“/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:02001002…such file)
Jun 20 16:16:53 centos-512mb-sgp1-01 nginx[897]: nginx: configuration file /etc/nginx/nginx.conf test failed
Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: nginx.service: control process exited, code=exited status=1
Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: Failed to start nginx – high performance web server.
Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: Unit nginx.service entered failed state.
Jun 20 16:16:53 centos-512mb-sgp1-01 systemd[1]: nginx.service failed.
Hint: Some lines were ellipsized, use -l to show in full.
Giờ làm sao bạn, tui đang lò mò tập tành :))
Bạn chạy lại lệnh với tham số
-lở cuối để hiển thị toàn bộ lỗi nhé.Chủ yếu là đoạn này
Jun 20 16:16:53 centos-512mb-sgp1-01 nginx[897]: nginx: [emerg] BIO_new_file(“/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:02001002…such file)Bạn kiểm tra lại chứng chỉ có đúng ở đó không. Mình nhớ là chứng chỉ trong thư mục
.../live/mànginx: [emerg] BIO_new_file(“/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem”) failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen(‘/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pem’,’r’) error:2006D080:BIO routines:BIO_new_file:no such file)
nginx: configuration file /etc/nginx/nginx.conf test failed
Giờ sửa sao bạn. Mò tối qua giờ huuuu
/etc/letsencrypt/licauthangkinhtanbinh.com/fullchain.pemKhông tồn tại file này. Bạn xem lại đi.Cert và Key của Let’s Encrypt tạo ra là nằm ở
/etc/letsencrypt/live/domain_của_bạnchứ k phải thư mục trênSao của mình nó không tự Renew nhỉ, toàn phải chạy thủ công khi truy cập mới biết là hết hạn ssl.
File le-renew.log của mình đây mong bạn xem giúp
https://pastebin.com/caccX8Fd
Cho em hỏi nếu ko muốn dùng https nữa và chuyển về http thì làm thế nào
Bạn sử dụng cấu hình Nginx cũ trước khi cài đặt SSL nhé
Nếu sử dụng cấu hình cũ như vậy thì khi người dùng bấm vào các link đã index trên google nó sẽ trả về lỗi 403, ko vào đc web 🙁
Vậy bạn khai báo lại trên Webmaster Tool. Còn cấu hình redirect từ HTTPS về HTTP
server {
listen 443 ssl http2;
server_name hocvps.com www.hocvps.com;
rewrite ^(.*) http://hocvps.com$1 permanent;
}
mình cài đặt let’s encrypt cho domain đầu tiên thì ok.
khi chạy lại lệnh
# Install Let’s Encrypt
cd /opt/letsencrypt
./letsencrypt-auto certonly –standalone
để thêm domain thứ 2 thì bị báo lỗi
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for sirix.gamevn24h.net
Cleaning up challenges
Problem binding to port 443: Could not bind to IPv4 or IPv6.
sau khi nhập xong domain
anh xem giúp em với ạ
Log lỗi:
2017-06-19 10:19:42,645:DEBUG:certbot.error_handler:Calling registered functions
2017-06-19 10:19:42,646:INFO:certbot.auth_handler:Cleaning up challenges
2017-06-19 10:19:42,646:DEBUG:certbot.log:Exiting abnormally:
Traceback (most recent call last):
File “/root/.local/share/letsencrypt/bin/letsencrypt”, line 11, in
sys.exit(main())
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py”, line 743, in main
return config.func(config, plugins)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py”, line 683, in certonly
lineage = _get_and_save_cert(le_client, config, domains, certname, lineage)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/main.py”, line 82, in _get_and_save_cert
lineage = le_client.obtain_and_enroll_certificate(domains, certname)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/client.py”, line 344, in obtain_and_enroll_certificate
certr, chain, key, _ = self.obtain_certificate(domains)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/client.py”, line 313, in obtain_certificate
self.config.allow_subset_of_names)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/auth_handler.py”, line 74, in get_authorizations
resp = self._solve_challenges()
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/auth_handler.py”, line 115, in _solve_challenges
resp = self.auth.perform(self.achalls)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 221, in perform
return [self._try_perform_single(achall) for achall in achalls]
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 228, in _try_perform_single
_handle_perform_error(error)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 226, in _try_perform_single
return self._perform_single(achall)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 234, in _perform_single
servers, response = self._perform_tls_sni_01(achall)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 251, in _perform_tls_sni_01
servers = self.servers.run(port, challenges.TLSSNI01, listenaddr=addr)
File “/root/.local/share/letsencrypt/lib/python2.7/site-packages/certbot/plugins/standalone.py”, line 67, in run
raise errors.StandaloneBindError(error, port)
StandaloneBindError: Problem binding to port 443: Could not bind to IPv4 or IPv6.
Bạn stop Nginx đi rồi chạy install cert mới nhé
Giờ mình muốn chuyển https về http mà đang dùng let’s encrypt thì sao nhỉ? vì mình thử redirect https sang http bằng conf mà không được.
Do trình duyệt đó đã lưu thông tin HSTS rồi. Bạn thử trình duyệt khác là ok. Còn cấu hình để ban đầu là được, không cần thiết cấu hình redirect https về http
Không chuyển được link từ https về http trên google. Dùng cấu hình redirect cũng không được
File Nginx conf bạn như thế nào paste ra mình xem. Paste qua https://pastebin.com/
Đây bạn
https://pastebin.com/hLaE7RYD
Cấu hình đúng rồi mà nhỉ. Link https cả www và non-www sẽ về http. Bạn thử truy cập 1 link HTTPS xem lỗi bị ở mỗi trên search hay paste link trực tiếp cũng k tự chuyển
Paste link trực tiếp cũng không tự chuyển mà truy cập cũng vậy
Bạn gửi VPS qua support@hocvps.com mình xem cho
Anh ơi, sau khi em cài SSL thì các trang Admin HocVPS Script và các trang khác đều bị lỗi 403 Forbidden.
Bên đưới đây là file cấu hình Nginx domain của em, anh kiểm tra giúp em xem có lỗi gì không ạ!
https://privnote.com/Tkn9YrjG#iVqlFAv2O
Em cám ơn!
Phần
/home/dinhduonghoc.edu.vn/private_html/dinhduonghoc/.htpasswd;đúng phải là/home/dinhduonghoc.edu.vn/private_html/hocvps/.htpasswd;nhé.Mà sau nếu bạn replace all thì thay
hocvps.combằng domain bạn là được rồi, đừng thay hocvpsỞ phần cài cho hocvps script mình quên ko đổi port chỗ ” error_page 497 https://$server_name:2313$request_uri;” giờ ko vào đc trang quản lý nữa (web thì ok đã có ổ khóa xanh rồi), có mở lại file .conf ra và sửa thành 2109 rồi restart nginx nhưng vẫn ko đc. Giờ phải làm sao ạ ? Xin cảm ơn !
Thường đổi port restart lại ok mà. Bạn có dùng CloudFlare ko nhỉ?
à nó ổn định rồi, ko hiểu sao hôm qua restart máy tính lại đc.
Mình đã chạy xong và ok hết, nhưng giờ mở trang nó chưa hiện secure và khóa màu xanh, mà có phân mở thì lại có khóa màu xanh là sao vậy, mình đã cài better search replace để chuyển hết từ http sang https rồi mà vẫn ko hết dc vậy?
trang mình đây: https://hoangvantan.com/
có trang thì lại dc ví dụ: https://hoangvantan.com/category/phong-thuy/
Cho mình hỏi, mình đã cài đặt xong lets encrypt trong server, mà web của mình thì qua cloudflarevà mình đã kích hoạt cái ssl trên đó thì có vấn đề gì không, hay phải tắt trên cloudflare, khi mình vào trang web thì nó không hiện hình khóa với chữ secure mà là dấu chấm than trong hình tròn, làm thế nào để hiện được sercure với khóa màu xanh như trang hocvps này vậy, cảm ơn bạn.
Tốt nhất không sử dụng Cloudfare. Nếu bạn vẫn muốn dùng thì làm như trong bài hướng dẫn phần cloudafare nhé
mình cài thì bị báo những lỗi đỏ như thế này: https://prnt.sc/fj8c59
mong các bác hướng dẫn chỉ cách khắc phục
thank you
Bạn chạy
./letsencrypt-auto certonly --standalonethì gặp lỗi này à? Mình chưa thấy report lỗi này bao giờBác ơi em cài xong ko vào dc domain.com:2313 nữa bác ơi . bị 403 ạ. help me !
Port Admin gốc của bạn là 2313? Bạn cho mình cấu hình Nginx Domain đó. Paste qua https://pastebin.com/ cho gọn
nginx: [warn] conflicting server name “www.banchungcuhanoi24h.com” on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name “banchungcuhanoi24h.com” on 0.0.0.0:443, ignored
nginx: [warn] conflicting server name “banchungcuhanoi24h.com” on 0.0.0.0:80, ignored
nginx: [warn] conflicting server name “www.banchungcuhanoi24h.com” on 0.0.0.0:80, ignored
Mình gặp ntn là sao admin giúp với!
Bị lặp
server_name. Trong toàn bộ thư mục/etc/nginx/conf.dcó nhiều đoạn cùng cấu hìnhbanchungcuhanoi24h.com:80banchungcuhanoi24h.com:443www.banchungcuhanoi24h.com:80www.banchungcuhanoi24h.com:443giải pháp bjo là gì bạn?
Bạn mở toàn bộ các file trong thư mục
conf.dđể kiểm tra thôi.Đơn cử có thể bạn đã tạo ra 2 file giống hệt nhau để cấu hình 1 site (1 file bạn tạo chỉ với mục đích backup nhưng không đổi đuôi/move thư mục khác)
Hoặc ngay trong 1 file cũng có đoạn lặp
Chòa bạn! Mình cần xóa những phần nào hả bạn?
Phần nào lặp thì bạn xóa đi. Ví dụ
nginx: [warn] conflicting server name “www.banchungcuhanoi24h.com” on 0.0.0.0:443, ignoredCó nhiều hơn 1 đoạn cấu hình
server_name www.banchungcuhanoi24h.commàlisten 443Mình để nguyên có sao ko admin..vì mình thấy web vẫn chạy đc bình thường !!!!!
Khó cho bạn quản lý sau này thôi còn nó vẫn nhận và giống nhau thì nó vẫn show. Dạng cảnh báo – warning
Cloning into ‘/opt/letsencrypt’…
fatal: unable to access ‘https://github.com/letsencrypt/letsencrypt/’: Failed connect to github.com:443; Connection refused
Bị như này thì làm sao vậy ạ
Bạn thử lại nhé. Thời điểm bạn truy cập thì github có vấn đề
anh coi dùm em cái auto renew chứng chỉ ssl Let’s
nó không tự động renew. Thông báo qua mail của nó đây
Your certificate (or certificates) for the names listed below will expire in
0 days (on 01 Jun 17 03:45 +0000). Please make sure to renew
your certificate before then, or visitors to your website will encounter errors.
bản script 1.8
Bạn check bên ssllabs hoặc sslshoper cho chuẩn nhé. Mail auto gửi cho các cert cũ nên nhiều khi không chuẩn.
Nếu chưa renew, bạn chạy lệnh
/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"để nó gia hạn thủ công. Rồi bạn cho mình nội dung của file/var/log/le-renew.logđể xem vì sao bạn crontab gia hạn tự động mà nó không chạy (có thể do update bản Let’s Encrypt cũ)sao e chạy lại rồi vẫn k thấy thay đổi ngày nhỉ anh?
https://scontent.fhan4-1.fna.fbcdn.net/v/t35.0-12/19451761_1341605612620966_206567_o.png?oh=543159a0f29630c0f32b4a816f7e525f&oe=59503338
Ảnh die mình không thấy gì nhé. Và site bạn là gì? Nếu là mayaptrung thì cert được renew hôm 23/06 rồi
e gia hạn thủ công cũng k thấy tăng thời gian lên nhỉ anh. giờ vẫn 16 ngày ạ
Mình có mua Lic Cpanel cho server mà khi cài cpanel lên ko có lets encrypt. Hỏi kỹ thuật nói phải mua cái này cho server share host. Cái này mua thế nào nhỉ? mình tưởng free trong cpanel chứ
Mua dạng 1 Plugin/APP để tích hợp trên Cpanel. Từ đó bạn có thể issue certs cho site hoạt động trong Cpanel. Còn cụ thể hơn thì mình không rõ rồi
Tình hình là cái crontab auto renew nó không chạy bạn ơi ???
Bạn chạy lệnh
/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"để nó gia hạn thủ công. Rồi bạn cho mình nội dung của file/var/log/le-renew.logđể xem vì sao bạn crontab gia hạn tự động mà nó không chạyMình cài hocvps và cài tiếp letsencrypt ok rồi nhưng khi vào :port/phpmyadmin và nhập admin/pass chuẩn rồi thì bị hiện
403 Forbidden
nginx
Mình ko biết nguyên nhân tại sao, mong admin giúp đỡ với
Bạn cho mình nội dung Nginx Conf của domain bạn cài. Paste qua http://pastebin.com/ cho gọn
Mình cài xong tất rồi nhưng khi login vào script admin https://domain:port thì không truy cập được. trong phần cấu hình với port quản lý của script admin mình cũng đã đặt port của mình mặc định lúc đầu khi cài đặt rồi nhưng không hiểu sao vẫn không truy cập được. Mình dùng vps amazon đã mở port
“” Không thể truy cập trang web này
XXXXX đã từ chối kết nối.
Hãy thử:
Kiểm tra kết nối
Kiểm tra proxy và tường lửa
ERR_CONNECTION_REFUSED “”
1. Bạn cho mình Nginx Conf của domain nhé, paste qua http://pastebin.com/
2. Và các port 443, port admin bạn đều đã mở thủ công? Kiểm tra port mở qua http://ping.eu/port-chk/
3. “trong phần cấu hình với port quản lý của script admin mình cũng đã đặt port của mình mặc định lúc đầu” Trong quá trình sử dụng bạn có thay đổi port Admin à?
Mình check thì port cpanel closed, mk đã mở trên security groups rồi mà.
Đây là cái nginx conf https://pastebin.com/zpuigxey
(3. “trong phần cấu hình với port quản lý của script admin mình cũng đã đặt port của mình mặc định lúc đầu” Trong quá trình sử dụng bạn có thay đổi port Admin à?)
vd trong lúc mk cài đặt cpanel hocvps thì mk có nhập port để login quản trị là 2037 rồi ở cái đoạn port quản lý của script admin trong lúc cài đặt ssl file nginx conf mình cũng đã thay đổi cái 2313 như trong hướng dẫn thành 2037 đó. Nhưng chắc cái này không liên quan, vì mình check thấy port bị closed
Uhm ok hiểu ý bạn. Cấu hình bạn thấy đúng rồi. Chỉ có port 2037 chưa mở thôi. Mình xem thì kể cả port 2222 cũng được mở rồi nên chắc do tường lửa bên ngoài(ví dụ VPS GG có firewall riêng ngoài firewall của VPS)/hệ thống chứ không hẳn do iptables của VPS
Cho chắc ăn thì bạn kiểm tra
iptables -L -nxem thấy port 2037 đc mở chưa.MÌnh hôm qua cũng có check qua iptables -L -n rồi, nó báo
f2b-NoAuthFailures tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:2037
———————
Có cách nào để xử lý nó không. Không lẽ cài lại :))
Bạn check firewall của NCC chưa? Kiểu VPS GG, Amz có firewall riêng đó. K đc nữa thì bạn gửi VPs qua support@hocvps.com mình xem cho
Mình nghĩ không phải do firewall hay vps rồi do mình chọn cổng 2037.
E có lục trên mạng thì thấy bảo “TCP port 2037 uses the Transmission Control Protocol. TCP is one of the main protocols in TCP/IP networks. TCP is a connection-oriented protocol, it requires handshaking to set up end-to-end communications. Only when a connection is set up user’s data can be sent bi-directionally over the connection.
Attention! TCP guarantees delivery of data packets on port 2037 in the same order in which they were sent. Guaranteed communication over TCP port 2037 is the main difference between TCP and UDP. UDP port 2037 would not have guaranteed communication as TCP.”
do vậy lúc m cài chọn port 2037 có lẽ bị trùng hay gì gì đó :))
Mình mới cài lại script và chọn cổng khác rồi, nhưng cũng chưa thử cài ssl, Lát nữa mình cài ssl xong nếu còn sinh ra lỗi tương tự nữa thì mk sẽ ib lại sau. Cảm ơn Việt Phương đã nhiệt tihf giúp đỡ :))
Vấn đề là nếu bạn vừa cài xong HocVPS Script mà login đc admin bthg tức cổng 2037 đã mở. Sau đó cài SSL thì bản chất cổng 2037 sẽ vẫn đang mở không ảnh hưởng ý.
OK bạn có gì feedback lại
Mình cài xong hocvps script m lại không có loign thử vào 2037 mà nhảy ra cài ssl luôn, tại vì mk nghĩ cái port đó để số gì cũng đc vì mk cũng cài vài lần cái hocvps script này rồi nên lần này sau khi cài xong mình không có login thử vào adminpanel :))
mình làm đến đoạn này thì chỉ có thông báo như vậy
không có đường dẫn file .pem
IMPORTANT NOTES:
– Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
Bạn issue cert xong hiện thông báo như vậy? Có thể do server LE thời điểm đó. Bạn kiểm tra có thư mục cert trong
/etc/letsencrypt/live/không. Không thì bạn issue lại certAdmin ơi! Mình có cài auto renewmà đến ngày hết hạn nó báo mình gia hạn, cứ nghĩ nó sẽ tự gia hạn ai dè hôm sau bị lỗi lỗi này này admin ơi upsieutoc.com/image/q4oDH8
admin cho em hỏi với ạ ?
Em cài đến đoạn ( nginx -t ) kiểm tra thì nó báo như sau : https://pastebin.com/xHQVg05G
Khắc phục như nào ạ ?
Mong admin giúp em với
Dòng 35 trong fle Nginx Conf của domain bạn điền sai thông tin về “ssl_ciphers”. Bạn xem lại hoặc gửi qua đây mình xem cho
Các bạn cho mình hỏi server Vult 512 chạy HocVPS, giờ cài thêm Lets Encrypt có nặng quá không?
Chạy được bạn nhé. RAm512 không đủ khởi tạo môi trường Python thôi nên sẽ màn hình terminal đen suốt trong quá trình cài, vẫn cài được bình thường
Tới giờ thì mình đã cài đặt được như hướng dẫn nhưng khi truy cập vào trang web trình duyệt báo về là trang này không bảo mật, không cho truy cập. Mod giúp mình nhé
Bạn cho mình nội dung file Nginx Conf Domain của bạn (paste qua http://pastebin.com/ cho gọn) và kết quả của
nginx -tCái xong rồi giờ truy cập trang:
This page isn’t working
sengame.net redirected you too many times.
Try clearing your cookies.
ERR_TOO_MANY_REDIRECTS
Mình thấy site bạn OK rồi. Lỗi bên WP hay Cloudfare à?
site minh site khác bác à. 🙂
Do mình config sai nginx nên lỗi. 🙂
Thanks bác
cho minh hoi: sau khi tạo chứng chỉ SSL xong mình restart nginx lại rồi bật màu vàng trong cloudflare. giờ truy cập web bị lội này:
Your connection is not private
Attackers might be trying to steal your information from domain.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID
có cách nào giải quyết cái lỗi này không ad?
giờ mình không thể truy cập lun cả hocvps qua http://**.**.**.**:2222/
1. Bạn sử dụng sai cert rồi. “ERR_CERT_AUTHORITY_INVALID” dạng như site A bạn dùng cert site B hoặc dùng file nào đó không phải cert của nó. Bạn post Nginx Conf của domain lên đây mình xem cho.
2. Port Admin của HocVPs không phải 2222 bạn à. 2222 là port SSH.
Mình đã cài auto renew Let’s Encrypt rồi mà hôm nay là đến ngày hết hạn nó vẫn báo renew nhỉ? Cái auto renew nó kiểm tra nếu hết hạn nó mới gia hạn phải không vậy admin?
Auto renew theo cài đặt của Let’s Encrypt. Chương trình cho phép renew khi cert còn hạn 30 ngày. Bạn check log tại
/var/log/le-renew.logsẽ thấy ngày nào được renewChỉ có log này thôi bác ơi.
Upgrading certbot-auto 0.11.1 to 0.12.0…
Replacing certbot-auto…
Creating virtual environment…
Installing Python packages…
Installation succeeded.
Upgrading certbot-auto 0.12.0 to 0.13.0…
Replacing certbot-auto…
Creating virtual environment…
Installing Python packages…
Installation succeeded.
Upgrading certbot-auto 0.13.0 to 0.14.0…
Replacing certbot-auto…
Creating virtual environment…
Installing Python packages…
Installation succeeded.
Upgrading certbot-auto 0.14.0 to 0.14.1…
Replacing certbot-auto…
Creating virtual environment…
Installing Python packages…
Installation succeeded.
Có vẻ thời điểm vừa rồi Let’ Encrypt upgrade nhiều. Bạn xem cert còn hạn không thì tạm thời renew thủ công
Mình đã renew thủ công rồi, không biết lần tới nó có tự động renew ko nữa?
lúc mình gõ https://www.domain.com thì nó lại về https://domain.com (non-www)
trong file nano /etc/nginx/conf.d/domain.com.conf
chỉnh này rewrite ^(.*) https://hocvps.com$1 permanent;
thành rewrite ^(.*) https://www.hocvps.com$1 permanent; được phải không ad?
không biết www hay non-www cái nào SEO tốt nữa?
1.
rewrite ^(.*) https://www.hocvps.com$1tức website redirect về HTTPS WWW. Bạn chỉ cần đảm bảo cấu hình chuẩn mọi mảng là ok.HTTP của www và non-www redirect về HTTPS của www. HTTPS của non-ww cũng redirect về HTTPS của www. Còn HTTPS của www thì show document_root
2. Việc lựa chọn www hay non-www cho SEO thì tùy mỗi người và cách làm của họ. Mình cũng không rõ lắm về vấn đề này
LE đang gặp vấn đề: http://letsencrypt.status.io/ check status ở đây ae ạ
Mình làm đến bước nhập email thì gặp phải lỗi này sau khi đợi một lúc:
An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host=’acme-v01.api.letsencrypt.org’, port=443): Read timed out. (read timeout=45)
Please see the logfiles in /var/log/letsencrypt for more details.
Thử làm lại lần nữa nhưng vẫn bị, có cách nào fix lỗi này không ad?
Bạn cài đúng lúc server Let’s Encrypt gặp sự cố rồi: http://letsencrypt.status.io/
Giờ thử lại đi nhé.
mình làm xong không truy cập website được nữa: bovoya.com +_+
Bạn hình như cấu hình redirect ngược? Truy cập domain lại show ip? Site bạn trên CMS nào?
đây là lỗi gì vậy bạn?
An unexpected error occurred:
ReadTimeout: HTTPSConnectionPool(host=’acme-v01.api.letsencrypt.org’, port=443): Read timed out. (read timeout=45)
Please see the logfiles in /var/log/letsencrypt for more details.
Lỗi truy cập server Let’s Encrypt để issue cert. Bạn thử lại vào lúc khác xem. Thông tin cụ thể có thêm trong
/var/log/letsencryptmình rebuild vps mấy lần để cài cái này mà chưa xong. Lần trước mình làm thì nhập email vô oke rồi, bây giờ làm lại sử dụng chính email đã làm lần trước được không hay phải dùng email khác (cùng 1 domain)
Mình thấy email không vấn đề gì cả, mình vẫn dùng 1 email cho tất cả các server. Bạn thử issue lại certs xem
Hi Luân , Nhờ luân check dormain nay cái được không https://trinamda.net.vn/ tất cả http mình da chuyển qua https và cũng đã cai simple ssl rôi .mà nó cũng chua hien hình cái ổ khóa.
Bạn F12 để check nhé. Link này chưa HTTPS. Bạn sửa lại trong theme là được
http://trinamda.net.vn/wp-content/uploads/2016/09/bachgrounbodyheader-1-1.jpg
http://trinamda.net.vn/wp-content/uploads/2016/09/bachgrounbodyfooter-1.jpg
Thank you very much
“Please enter in your domain name(s) (comma and/or space separated) (Enter ‘c’
to cancel):eurowindownriverpark.com http://www.eurowindownriverpark.com
——————————————————————————-
One or more of the entered domain names was not valid:
http://www.eurowindownriverpark.com: Non-ASCII domain names not supported. To issue
for an Internationalized Domain Name, use Punycode.
Would you like to re-enter the names?
——————————————————————————-
(Y)es/(N)o:”
Ngày hôm nay cái ssl mình bị gặp lỗi này là sao admin ơi! Bjo chỉ cần nhập tên miền non-www là đc ak ban?
Có thể thời điểm bạn nhập có Unikey nên kí hiệu gõ có kí tự đặc biệt, sau đó xóa đi sửa thì vẫn còn lưu kí tự đó
Could not bind TCP port 443 because it is already in use by another process on
this system (such as a web server). Please stop the program in question and then
try again.
Bị như này là sao v a?
Mong a trl giúp e.
Cám ơn a ạ!
Bạn stop các dịch vụ web server đang sử dụng port 443 đi, để Let’s Encrypt sử dụng port 443 cho hoạt động cấp chứng chỉ của nó.
– Stop service nginx
# service nginx stop
hoặc
# systemctl stop nginx
– Stop service apache
# service httpd stop
hoặc
# systemctl stop httpd
Rồi chạy lại Let’s Encrypt.
V còn trường hợp này là sao v anh?
Saving debug log to /var/log/letsencrypt/letsencrypt.log An unexpected error occurred: ReadTimeout: HTTPSConnectionPool(host=’acme-v01.api.letsencrypt.org’, port=443): Read timed out. (read timeout=45) Please see the logfiles in /var/log/letsencrypt for more details.
Đây là lỗi server của Let’s Encrypt, họ fix rồi, bạn thử cài lại đi nhé.
ok, m kiểm tra thời hạn ssl thì thấy gia hạn 3 tháng nữa rồi, cảm ơn ad nhiều :”)
Bạn cho mình nội dung của file
/var/log/le-renew.logđược không? Để xem vì sao bạn crontab gia hạn tự động mà nó không chạyCho m hỏi , sẽ tự động gia hạn ssl vào thời điểm nào vậy, hnay m nhận được mai của Let’s Encrypt l nội dung “Giấy chứng nhận của bạn sẽ hết hạn trong 9 ngày (vào ngày 25 tháng 5 17, 08:52 +0000). Hãy chắc chắn để làm mới giấy chứng nhận của bạn trước khi đó, hoặc khách truy cập vào trang web của bạn sẽ gặp lỗi. ”
Xin hỏi giờ m phải làm sao thấy nó bảo sẽ gặp lỗi nếu không gia hạn sớm làm m lo quá :”(
cảm ơn
Bạn đã cài tự động gia hạn trong crontab chưa? Hoặc bạn chạy lệnh
/opt/letsencrypt/letsencrypt-auto renew --pre-hook "service nginx stop" --post-hook "service nginx start"để nó gia hạn thủ công cũng đượcm chạy thử lệnh ra hạn thủ công của bạn gửi rồi thấy báo ok nhưng không thấy mail Let’s Encrypt gửi về báo thành công, không biết thế nào