Bài viết sau đây, chúng tôi sẽ hướng dẫn các bạn cài đặt SSL Let’s Encrypt cho website khi sử dụng Webserver IIS. Show
I. Tải file cài SSL Let’s Encrypt :Các bạn truy cập vào trang: https://github.com/win-acme/win-acme/releases/latest để tải ACME mới nhất. Sau đó tìm đến file win-acme.***.trimmed.zip .Đây sẽ là phầm mềm để cài đặt SSL Let’ Encrypt : II. Cài đặt phần mềm SSL Let’s Encrypt :Sau khi đã tải xong, các bạn giải nén file vửa tải được. Các bạn chọn chuột phải vào phần mềm wacs.exe, chọn Run as Administrator để khởi động ACME Simple wizard. III. Sinh SSL Let’s Encrypt cho domain :Sau khi đã khởi chạy ACME sẽ xuất hiện cửa sổ để nhập thông tin : Chọn N để tạo tạo mới certificate và chọn domain cần cài đặt SSL : Cuối cùng, các bạn đồng ý với các điều khoản dịch vụ và nhập thông tin email. Sau đó các bạn chờ chút để phần mềm cài đặt SSL : Sau khi cài đặt xong, ACME sẽ tự động cấu hình SSL mà bạn vừa khởi tạo : IV: Tổng kết :Thực hiện các bước như hướng dẫn trên thì các bạn đã cài đặt thành công SSL Let’s Encrypt với IIS. Trong quá trình cài đặt phalcon nếu có vấn đề lỗi phát sinh, vui lòng gửi yêu cầu về [email protected] để được hỗ trợ kiểm tra và xử lý. Nếu server của bạn đang dùng HocVPS Script, hãy làm theo từng bước hướng dẫn này để cài đặt chứng chỉ SSL Let’s Encrypt miễn phí và được tự động gia hạn. Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn. Trong bài viết này, mình sẽ hướng dẫn các bạn từng bước cài đặt chứng chỉ Let’s Encrypt trên server cài HocVPS Script (LEMP Server, CentOS 6 và 7). Nếu dùng shared hosting như Hawk Host hoặc StableHost, DreamHost, SiteGround thì mọi chuyện còn đơn giản hơn nhiều vì Let’s Encrypt đã được tích hợp sẵn trong cPanel, chỉ cần vài click là cài đặt thành công. Mời bạn tham khảo hướng dẫn cài đặt Let’s Encrypt trong cPanel. Let’s Encrypt là chứng chỉ SSL loại Domain Validation tức là sau khi cài bạn sẽ có thanh ổ khoá màu xanh trên trình duyệt. Ngoài Let’s Encrypt còn có PositiveSSL của Comodo và Standard SSL DV của GoDaddy. cũng được rất nhiều người sử dụng. Nếu cài xong mà thanh địa chỉ chưa hiện HTTPS màu xanh, hãy tham khảo bài Hướng dẫn cài đặt SSL “xanh hoàn hảo” Nếu không nắm vững kiến thức kỹ thuật, hãy liên hệ sử dụng Dịch vụ Cài đặt SSL từ Học VPS. 1/ Cài đặt chứng chỉ Let’s Encrypt1.1/ Cài đặt certbotyum -y install certbot 1.2/ Phát hành chứng chỉ SSL Let’s Encrypt cho domainĐể phát hành chứng chỉ SSL Let’s Encrypt cho domain có rất nhiều cách, mình sẽ sử dụng option Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 3 Nếu đang dùng CloudFlare, bạn hãy tắt chức năng ẩn IP đi bằng cách click chuyển đám mây từ Vàng sang Xám thì mới cài đặt được Let’s Encrypt. Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone Chờ một lúc để Let’s Encrypt cài đặt những công cụ cần thiết. Sau đó bạn hãy nhập địa chỉ email, rồi nhấn phím Enter. Chấp nhận quy định bằng cách nhập Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 4, rồi nhấn tiếp Enter. Tiếp theo bạn nhập tên miền sẽ sử dụng chứng chỉ SSL, rồi nhấn Enter. Bước này bạn chỉ nhập phiên bản non-www và www của 1 domain hoặc subdomain. Khi muốn thêm tên miền/subdomain khác bạn hãy xem hướng dẫn bên dưới. Nếu không gặp vấn đề gì bạn sẽ gặp thông báo như bên dưới: IMPORTANT NOTES:
Lưu ý các thông tin mình bôi đỏ:
Cài đặt chứng chỉ SSL Let’s Encrypt cho nhiều website Nếu cần bổ sung thêm domain/subdomain muốn cài đặt Let’s Encrypt, bạn chỉ cần chạy lại lệnh bên dưới rồi nhập domain vào: Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone Lúc này domain mới sẽ có thêm một thư mục riêng chứa file chứng chỉ cần thiết. 2/ Cấu hình NginxSau khi có các file chứng chỉ, chúng ta sẽ chỉnh lại file cấu hình Nginx. Ví dụ tên miền của mình là Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 5 thì file cấu hình sẽ có đường dẫn là Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 6 Khi làm bạn nhớ thay tương ứng hocvps.com bằng domain của bạn nhé. Lưu ý: Chỉ cấu hình Nginx khi bạn đã phát hành thành công chứng chỉ SSL. Tạo file DH parameters 2048 bit (tạo một lần duy nhất trên VPS) mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem Chỉnh sửa cấu hình domain bằng Nano Editor nano /etc/nginx/conf.d/hocvps.com.conf Cấu hình SSL xử lý các request Trong block Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 7 thứ 2 điều chỉnh như sau: + Chuyển Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 8 thành Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 9 + Sau dòng mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 0 thêm đoạn cấu hình SSL: SSLssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; Redirect toàn bộ www http sang httpsTrong block Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 7 ở phía trên cùng: + Chuyển mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 2 thành mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 3 + Chuyển mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 4 thành mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 5 Kết quả được như sau: server { listen 80; server_name hocvps.com www.hocvps.com; rewrite ^(.*) https://hocvps.com$1 permanent; } Lúc này khi truy cập https://hocvps.com và http://www.hocvps.com sẽ tự động redirect sang https://hocvps.com Redirect toàn bộ www https sang https Thêm mới block Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 7 ở trên cùng server { listen 443 ssl; server_name www.hocvps.com; SSLssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; rewrite ^(.*) https://hocvps.com$1 permanent; } Lúc này khi truy cập https://www.hocvps.com sẽ tự động redirect sang https://hocvps.com Cấu hình SSL với port quản lý HocVPS Script Admin Lưu ý:
Ví dụ khi cài đặt mình để port mặc định mkdir /etc/nginx/ssl/ openssl dhparam 2048 -out /etc/nginx/ssl/dhparam.pem 8 thì sẽ tìm block cuối cùng Stop Nginxservice nginx stop Install Let's Encryptcertbot certonly --standalone 7 trong file cấu hình domain .conf có dòng nano /etc/nginx/conf.d/hocvps.com.conf 0 Cấu hình SSL cho port HocVPS tương tự như bên dưới: server { listen 2018 ssl; access_log off; log_not_found off; error_log off; index index.php index.html index.htm; ssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
auth_basic "Restricted";
auth_basic_user_file /home/hocvps.com/private_html/hocvps/.htpasswd;
...Lúc này truy cập HocVPS Script Admin qua nano /etc/nginx/conf.d/hocvps.com.conf 1 File cấu hình Nginx cuối cùng sẽ tương tự như sau: Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 0 _ Cấu hình SSL cho domain không phải domain chính trong HocVPS Script:
_ Để kết hợp sử dụng CDN Cloudflare (biểu tượng đám mây vàng):
_ Cấu hình HTTP/2 tham khảo Kích hoạt HTTP/2 với Nginx. _ Tham khảo thêm Tối ưu HTTPS trên Nginx. Kiểm tra lại cấu hình Nginx Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 1 Phản hồi như sau là ok: Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 2 Khởi động lại Nginx Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 3 Giờ truy cập vào domain để tận hưởng thành quả thôi. Lưu ý:
3/ Cập nhật cấu hình trong Google Search Console và AnalyticsPhần này bắt buộc phải làm để không làm ảnh hưởng đến thứ hạng từ khóa trên Google của website, mình đã có hướng dẫn chi tiết từng bước trên Canh Me, mời bạn tham khảo tại link này. 4/ Tự động gia hạn Let’s EncryptChứng chỉ Let’s Encrypt chỉ sử dụng được trong vòng 90 ngày và bạn cần phải chạy lại dòng lệnh bên dưới để gia hạn. Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 4 Tuy nhiên, mình sẽ hướng dẫn các bạn cấu hình để tự động gia hạn chứng chỉ này với crontab, như vậy chúng ta sẽ sử dụng SSL miễn phí trọn đời mà không cần phải lo về việc gia hạn nữa. Mở file cấu hình crontab: Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 5 Copy và paste đoạn code bên dưới vào cửa sổ terminal: Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 6 Nhấn Ctrl+O, Enter để lưu và Ctrl+X để thoát. Bạn nhận được thông báo sau là thành công Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 7 crontab trên sẽ tự động chạy lệnh gia hạn Let’s Encrypt vào lúc 2h30 hàng ngày và kiểm tra xem đã hết hạn chưa và tiến hành gia hạn. Trước khi gia hạn sẽ stop Nginx, sau đó sẽ start lại ngay lập tức. Như vậy, gần như không ảnh hưởng gì cả đến website. Vậy là xong, bạn có thể yên tâm sử dụng Let’s Encrypt rồi đấy. Lưu ý: Nếu chứng chỉ không tự động gia hạn, kiểm tra theo mục 5/ Xóa chứng chỉ Let’s EncryptKhi bạn không sử dụng Let’s Encrypt nữa, chuyển qua sử dụng của nhà cung cấp khác và muốn xóa chứng chỉ Let’s Encrypt đã cài, hãy sử dụng lệnh bên dưới: Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 8 Tiếp theo nhập số thứ tự chứng chỉ tương ứng với tên miền bạn muốn xóa, nhấn Enter là mọi thứ sẽ được dọn dẹp sạch sẽ. 6/ Một số vấn đề gặp phảiĐến ngày hết hạn mà chứng chỉ Let’s Encrypt không tự động gia hạn, mặc dù crontab vẫn chạy, kiểm tra log không thấy thông tin gì đặc biệt? Chạy lệnh gia hạn thủ công thì lại được. Theo kinh nghiệm của mình thì vấn đề ở mã nguồn Let’s Encrypt hoặc PATH service Đối với vấn đề mã nguồn, chỉ cần clone lại bộ code của Let’s Encrypt là sẽ giải quyết được vấn đề. Stop Nginxservice nginx stop Issue SSL Let's Encryptcertbot certonly --standalone 9 Nếu gặp thông báo lỗi thì sử dụng lệnh này: nano /etc/nginx/conf.d/hocvps.com.conf 5 Đối với vấn đề PATH service, các bạn chú ý những dấu hiệu sau: Kiểm tra nội dung nano /etc/nginx/conf.d/hocvps.com.conf 6 thấy: IMPORTANT NOTES:
0 Kiểm tra nội dung nano /etc/nginx/conf.d/hocvps.com.conf 7 thấy cronjob vẫn chạy hàng ngày. Kiểm tra nội dung nano /etc/nginx/conf.d/hocvps.com.conf 8 và bên trong nano /etc/nginx/conf.d/hocvps.com.conf 9 không thấy gì khả nghi. – Nguyên nhân: service không nằm trong PATH, vấn đề này gặp ở 1 số VPS. IMPORTANT NOTES:
1 IMPORTANT NOTES:
2 Có thể thấy, lệnh service nằm trong SSLssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; 0, không thuộc biến môi trường PATH. Crontab chỉ tìm SSLssl_certificate /etc/letsencrypt/live/hocvps.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/hocvps.com/privkey.pem; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; 1 và không thấy. |