Hướng dẫn cài SSL Let’s Encrypt trên Nginx với CentOS 7

Chứng chỉ SSL hiện nay được sử dụng quá phổ biến hầu hết những website mới hay server mới đều lựa chọn kích hoạt SSL ngay từ ban đầu.

SSL là gì? SSL là viết tắt của từ Secure Sockets Layer. SSL là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máy chủ Web server và trình duyệt.

Let’s Encrypt là một nhà cung cấp chứng chỉ số SSL (Certificate Authority) hoàn toàn miễn phí, được nhiều cá nhân và tổ chức tin dùng và đặc biệt không giới hạn.

Trong bài mình sẽ cài đặt SSL trên máy chủ Nginx cài đặt, với các server LEMP khác thao tác cũng tương tự.

Bước 1: Tạo file Virtual Hosts

Các bạn tạo file config ở thư mục sau ở đây mình tạo file virtual host với tên miền là demohotrovps.tk

vim /etc/nginx/conf.d/demohotrovps.tk.conf

Tiếp đến các bạn điền nội dung vào file đó như sau và lưu lại:

server {
listen  80;
server_name khoiviet.tk;

index index.php index.html index.htm;
root /var/www/html;


location / {
try_files $uri $uri/ /index.php?$args;

}

error_page 404 /404.html;

error_page 500 502 503 504 /50x.html;


location ~ \.php$ {
try_files $uri =404;
fastcgi_split_path_info ^(.+\.php)(/.+)$;
fastcgi_pass 127.0.0.1:9000;
#neu muon dùng socket unit unix:/var/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}

Bây giờ chúng ta chạy thử file virtual hosts và được kết quả như sau:

Hình ảnh này chưa có thuộc tính alt; tên tệp của nó là photo_2021-07-03_11-23-27.jpg

Bước 2 Cài đặt SSL Let’s Encrypt

1) Đầu tiên các bạn cần đặt SSL bằng lệnh sau:

yum install epel-release mod_ssl

2) Tiếp theo các bạn cài module hỗ trợ SSL cho Nginx

yum install python-certbot-nginx
3) Cuối cùng các bạn cài cert cho domain
certbot --nginx -d demohotrovps.tk
certbot --nginx -d demohotrovps.tk
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Enter email address (used for urgent renewal and security notices)
 (Enter 'c' to cancel): demohotrovps@gmail.com
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y
Account registered.
Requesting a certificate for demohotrovps.tk
Performing the following challenges:
http-01 challenge for demohotrovps.tk
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/nginx/conf.d/demohotrovps.tk-le-ssl.conf
Deploying Certificate to VirtualHost /etc/nginx/conf.d/demohotrovps.tk-le-ssl.conf
Redirecting vhost in /etc/nginx/conf.d/demohotrovps.tk.conf to ssl vhost in /etc/nginx/conf.d/demohotrovps.tk-le-ssl.conf

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://demohotrovps.tk
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Subscribe to the EFF mailing list (email: demohotrovps@gmail.com).
Starting new HTTPS connection (1): supporters.eff.org

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
  /etc/letsencrypt/live/demohotrovps.tk/fullchain.pem
  Your key file has been saved at:
  /etc/letsencrypt/live/demohotrovps.tk/privkey.pem
  Your certificate will expire on 2021-11-28. To obtain a new or
  tweaked version of this certificate in the future, simply run
  certbot again with the "certonly" option. To non-interactively
  renew *all* of your certificates, run "certbot renew"
 - If you like Certbot, please consider supporting our work by:

  Donating to ISRG / Let's Encrypt:  https://letsencrypt.org/donate
  Donating to EFF:          https://eff.org/donate-le

Bây giờ chúng ta tiến sẽ reload lại webiste và nhận kết quả nhé.

Các bạn lưu ý khi cài SSL này chỉ có thời hạn 90 ngày dùng nếu hết hạn các bạn có thể tự động gia hạn.

Nhập dòng này và lưu crontab:

00 6 * * * /usr/bin/certbot renew --quiet

Như vậy mình đã hướng dẫn các bạn cài đặt xong SSL Let’s Encrypt. Chúc các bạn thành công!

Related posts

Leave a Comment