Bài viết sau đây, chúng tôi sẽ hướng dẫn các bạn cài đặt SSL Let’s Encrypt cho website khi sử dụng Webserver IIS.

I. Tải file cài SSL Let’s Encrypt :

Các bạn truy cập vào trang: https://github.com/win-acme/win-acme/releases/latest để tải ACME mới nhất.

Sau đó tìm đến file win-acme.***.trimmed.zip .Đây sẽ là phầm mềm để cài đặt SSL Let’ Encrypt :

II. Cài đặt phần mềm SSL Let’s Encrypt :

Sau khi đã tải xong, các bạn giải nén file vửa tải được. Các bạn chọn chuột phải vào phần mềm wacs.exe, chọn Run as Administrator để khởi động ACME Simple wizard.

III. Sinh SSL Let’s Encrypt cho domain :

Sau khi đã khởi chạy ACME sẽ xuất hiện cửa sổ để nhập thông tin :

Chọn N để tạo tạo mới certificate và chọn domain cần cài đặt SSL :

Cuối cùng, các bạn đồng ý với các điều khoản dịch vụ và nhập thông tin email. Sau đó các bạn chờ chút để phần mềm cài đặt SSL :

Sau khi cài đặt xong, ACME sẽ tự động cấu hình SSL mà bạn vừa khởi tạo :

IV: Tổng kết :

Thực hiện các bước như hướng dẫn trên thì các bạn đã cài đặt thành công SSL Let’s Encrypt với IIS.

Trong quá trình cài đặt phalcon nếu có vấn đề lỗi phát sinh, vui lòng gửi yêu cầu về [email protected] để được hỗ trợ kiểm tra và xử lý.

Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn.

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel.

Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng.

Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo”

Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS.

1/ Cài đặt chứng chỉ Let’s Encrypt

1.1/ Cài đặt certbot

yum -y install certbot

1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domain

Để phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

3

Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám thì mới cài đặt được Let’s Encrypt.

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter.

Chấp nhận quy định bằng cách nhập

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

4, rồi nhấn tiếp Enter.

Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới.

Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới:

IMPORTANT NOTES:

• Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again.
• If you lose your account credentials, you can recover through e-mails sent to [email protected].
• Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
• If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Lưu ý các thông tin mình bôi đỏ:

1. /etc/letsencrypt/live/hocvps.com/: thư mục chứa các file chứng chỉ
2. 2016-08-23: ngày hết hạn của chứng chỉ (90 ngày từ ngày cài)

Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website

Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào:

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết.

2/ Cấu hình Nginx

Sau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

5 thì file cấu hình sẽ có đường dẫn là

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

6

Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé. Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL.

Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS)

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

Chỉnh sửa cấu hình domain bằng Nano Editor

nano /etc/nginx/conf.d/hocvps.com.conf

Cấu hình SSL xử lý các request

Trong block

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

7 thứ 2 điều chỉnh như sau:

+ Chuyển

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

8 thành

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

9

+ Sau dòng

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

0 thêm đoạn cấu hình SSL:

SSL

ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    # Improve HTTPS performance with session resumption  
    ssl_session_cache shared:SSL:50m;  
    ssl_session_timeout 1d;
    # DH parameters  
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;  
    # Enable HSTS  
    add_header Strict-Transport-Security "max-age=31536000" always;  

Trong block

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

7 ở phía trên cùng:

+ Chuyển

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

2 thành

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

3

+ Chuyển

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

4 thành

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

5

Kết quả được như sau:

server { listen 80; server_name hocvps.com www.hocvps.com; rewrite ^(.*) https://hocvps.com$1 permanent; }

Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Redirect toàn bộ www https sang https

Thêm mới block

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

7 ở trên cùng

server { listen 443 ssl; server_name www.hocvps.com;

SSL

ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; rewrite ^(.*) https://hocvps.com$1 permanent; }

Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com

Cấu hình SSL với port quản lý HocVPS Script Admin

Lưu ý:

• Chỉ thiết lập đối với domain chính cài HocVPS – Domain phụ KHÔNG thiết lập.
• Đây chỉ là bước tùy chọn, nếu bạn sử dụng Cloudflare và kích hoạt đám mây màu vàng ẩn IP thì không làm bước này mà sử dụng link mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 7 để vào khu vực quản trị HocVPS Script Admin.

Ví dụ khi cài đặt mình để port mặc định

mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem

8 thì sẽ tìm block cuối cùng

Stop Nginx

service nginx stop

Install Let's Encrypt

certbot certonly --standalone

7 trong file cấu hình domain .conf có dòng

nano /etc/nginx/conf.d/hocvps.com.conf

0

Cấu hình SSL cho port HocVPS tương tự như bên dưới:

server { listen 2018 ssl; access_log off; log_not_found off; error_log off;

  root /home/hocvps.com/private_html;  

  server_name hocvps.com;  
 
    error_page  497 https://$server_name:$server_port$request_uri;

Lúc này truy cập HocVPS Script Admin qua

nano /etc/nginx/conf.d/hocvps.com.conf

1

File cấu hình Nginx cuối cùng sẽ tương tự như sau:

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

0

_ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:

• Không thiết lập HocVPS Admin Port
• Bỏ tham số nano /etc/nginx/conf.d/hocvps.com.conf 2 bên cạnh nano /etc/nginx/conf.d/hocvps.com.conf 3

_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):

• Thiết lập Full (strict) trong menu Crypto SSL tại trang quản lý Cloudflare.
• Không cấu hình SSL phần Admin HocVPS. Khi đó, truy cập HocVPS Admin bằng nano /etc/nginx/conf.d/hocvps.com.conf 4
• Không thể gia hạn tự động SSL Let’s Encrypt. Gia hạn thủ công 3 tháng 1 lần.

_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx. _ Tham khảo thêm Tối ưu HTTPS trên Nginx.

Kiểm tra lại cấu hình Nginx

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

1

Phản hồi như sau là ok:

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

2

Khởi động lại Nginx

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

3

Giờ truy cập vào domain để tận hưởng thành quả thôi.

Lưu ý:

• Bạn phải chuyển toàn bộ link image, js, css từ http:// sang https:// thì mới có biểu tượng màu xanh như demo. Xem thêm hướng dẫn.
• Nếu bạn dùng WordPress, hãy cài đặt plugin Really Simple SSL để tự động redirect http sang https và chuyển toàn bộ link .css, .js sang https. Thanh địa chỉ lúc này sẽ có màu xanh.
• Nếu không muốn dùng plugin tự động Really Simple SSL, bạn hãy tham khảo thêm Hướng dẫn cài đặt Let’s Encrypt trong cPanel để biết cách thao tác thủ công.

3/ Cập nhật cấu hình trong Google Search Console và Analytics

Phần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này.

4/ Tự động gia hạn Let’s Encrypt

Chứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn.

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

4

Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa.

Mở file cấu hình crontab:

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

5

Copy và paste đoạn code bên dưới vào cửa sổ terminal:

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

6

Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

7

crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website.

Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy.

Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục

5/ Xóa chứng chỉ Let’s Encrypt

Khi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới:

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

8

Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ.

6/ Một số vấn đề gặp phải

Đến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service

Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề.

Stop Nginx

service nginx stop

Issue SSL Let's Encrypt

certbot certonly --standalone

9

Nếu gặp thông báo lỗi thì sử dụng lệnh này:

nano /etc/nginx/conf.d/hocvps.com.conf

5

Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau: Kiểm tra nội dung

nano /etc/nginx/conf.d/hocvps.com.conf

6 thấy:

IMPORTANT NOTES:

• Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again.
• If you lose your account credentials, you can recover through e-mails sent to [email protected].
• Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
• If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

0

Kiểm tra nội dung

nano /etc/nginx/conf.d/hocvps.com.conf

7 thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung

nano /etc/nginx/conf.d/hocvps.com.conf

8 và bên trong

nano /etc/nginx/conf.d/hocvps.com.conf

9 không thấy gì khả nghi.

– Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS.

IMPORTANT NOTES:

• Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again.
• If you lose your account credentials, you can recover through e-mails sent to [email protected].
• Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
• If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

1

IMPORTANT NOTES:

• Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/hocvps.com/fullchain.pem. Your cert will expire on 2016-08-23. To obtain a new version of the certificate in the future, simply run Certbot again.
• If you lose your account credentials, you can recover through e-mails sent to [email protected].
• Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
• If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

2

Có thể thấy, lệnh service nằm trong

SSL

ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    # Improve HTTPS performance with session resumption  
    ssl_session_cache shared:SSL:50m;  
    ssl_session_timeout 1d;
    # DH parameters  
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;  
    # Enable HSTS  
    add_header Strict-Transport-Security "max-age=31536000" always;  

SSL

ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

    # Improve HTTPS performance with session resumption  
    ssl_session_cache shared:SSL:50m;  
    ssl_session_timeout 1d;
    # DH parameters  
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;  
    # Enable HSTS  
    add_header Strict-Transport-Security "max-age=31536000" always;