Cài đặt chứng chỉ ssl miễn phí. Hiện nay hầu hết các trang web đều đã hỗ trợ SSL (Secure Socket Layer). Nó mã hóa dữ liệu truyền đi giữa máy chủ web và trình duyệt và làm tăng tính bảo mật cho website.
Ngoài ra, việc sử dụng SSL certificate (chứng chỉ SSL) là cần thiết bởi hiện tại Google đã ưu tiên xếp hạng website dựa theo giao thức https (HTTP + SSL), những website mà chỉ sử dụng giao thức http sẽ bị coi là “unsafe” (không an toàn).Để cài đặt chứng chỉ ssl miễn phí cho site trên VPS/Server ta có 2 cách:
- Sử dụng chứng chỉ của Let’s Encrypt
- Sử dụng chứng chỉ của CloudFlare
Cài đặt chứng chỉ ssl miễn phí Let’s Encrypt
Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí nhằm cung cấp chứng nhận SSL cho cộng đồng nói chung. Let’s Encrypt được tài trợ bởi nhiều công ty bao gồm Google, Facebook, Sucuri, Mozilla, Cisco, v.v… chúng ta sẽ sử dụng Certbot auto.Cài đặt SSL miễn phí với Certbot auto

1 | https://certbot.eff.org/instructions |

1 2 | yum -y install yum-utils yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional |
1 | yum install certbot -y |
1 | certbot certonly --webroot |
1 2 3 4 5 6 7 8 9 10 | IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/domain-cua-ban.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/domain-cua-ban.com/privkey.pem Your cert will expire on 2020-03-03. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" ... |

1 2 3 4 5 6 | # www to non-www RewriteCond %{HTTP_HOST} !^domain-cua-ban\.com$ RewriteRule (.*)$ https://domain-cua-ban.com/$1 [R=301,L] # http to HTTPS RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://domain-cua-ban.com/$1 [R,L] |
1 2 3 4 5 | crontab -e bấm phím i (insert) 0 0,12 * * * root python -c 'import random; import time; time.sleep(random.random() * 3600)' && certbot renew > /dev/null Esc :wq |
0 9 * * * certbot renew --post-hook "/usr/local/lsws/bin/lswsctrl restart" >> /var/log/lich-su-gia-han-certbot.log
Trong đó:0 9 * * *
là để chạy lệnh gia hạn vào 9h sáng hàng ngày, đổi lại nếu bạn thích. Lưu ý đổi múi giờ hệ thống của máy chủ"/usr/local/lsws/bin/lswsctrl restart"
là để khởi động lại web server của bạn, ở đây là OpenLiteSpeed, nếu bạn chạy nginx hay apache… thì hãy thay thế cho phù hợp.>> /var/log/lich-su-gia-han-certbot.log
để tạo file log ghi lại lịch sử gia hạn ssl, bạn có thể bỏ qua đoạn này.Cài đặt ssl và khắc phục vấn đề downtime khi chuyển website sử dụng SSL Let’s Encrypt
Nhận chứng chỉ Let’s Encrypt không cần trỏ tên miềnThay vì cài đặt theo tab Default, hãy chuyển sang tab Wildcard để xác thực tên miền bằng DNS Challenge (sử dụng Cloudflare, không sử dụng ip nên không sợ downtime khi trỏ domain sang ip mới, không sợ bị khoá HSTS)Thực hiện từ bước 1 đến bước 6 như hướng dẫn của certbot.Tạo file cấu hình *.ini của Cloudflare như sau:1 2 3 4 | dns_cloudflare_email = email@gmail.com ; Với email@gmail.com là tài khoản Cloudflare của bạn dns_cloudflare_api_key = d86d7d1f423f6c137abcxyz123 ; d86d7d1f423f6c137abcxyz123 là Cloudflare API key lấy tại đây: https://dash.cloudflare.com/profile/api-tokens |
/root/.cloudflare/tenemail.ini
Chmod thư mục ẩn này về 400 để đảm bảo an toàn:chmod 400 -R /root/.cloudflare/
Câu lệnh cài đặt chứng chỉ ssl miễn phí và xác thực chứng chỉ SSL tự động:1 | certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.cloudflare/tenemail.ini -d domain.com -d www.domain.com |
Lựa chọn thứ 2, sử dụng chứng chỉ của CloudFlare
Để sử dụng chứng chỉ ssl miễn phí của CloudFlare, bạn bắt buộc phải bật đám mây vàng, proxy cho domain trên CloudFlare. Sau đó tạo chứng chỉ trong phần SSL/TSL như hình dưới:
- Certificate.key
- Private_key.pem
Nguồn: UpForShare.com tổng hợp và biên soạn.
Gần như tất cả site của mình hiện nay đề sử dụng SSL Let’s encrypt và Cloudflare rất nhanh và tiện
Đúng rồi bạn, nếu hay phải di chuyển server thì cứ SSL Cloudflare mà chiến, không phải lo gia hạn