Let’s Encrypt là 1 chứng chỉ SSL miễn phí được tài trợ bởi rất nhiều tên tuổi lớn của làng công nghê trên thế giới như Mozzila, Cisco, OVH, Chrome, Facebook … Trong những năm gần đây, việc Chrome của Google ngày càng gia tăng thị phần web browser trên thế giới cũng như Google đã xem SSL là 1 trong những tiêu chí đánh giá website đã làm cho SSL trở thành 1 trong những yếu tố quan trọng mà các webmaster muốn áp dụng nó cho website của mình.
Trong bài viết này mình sẽ hướng dẫn cách cài đặt Let’s Encrypt SSL cho Nginx trên server chạy Ubuntu 16.04
Cài đặt Let’s Encrypt
Đầu tiên bạn cần update lại Ubuntu và cài đặt Let’s Encrypt rất dễ dàng với dòng lệnh sau
1 2 | sudo apt-get update sudo apt-get install letsencrypt |
Tạo chứng chỉ Let’s Encrypt SSL
Tiến hành chỉnh sửa file cấu hình mặc định của Nginx bằng cách
1 | sudo nano /etc/nginx/sites-available/default |
Trong block “server” thêm vào block “location” với nội dung như sau
1 2 3 | location ~ /.well-known { allow all; } |
Nếu bạn muốn biết thư mục gốc (document root) của Nginx ở đâu thì có thể tham khảo giá trị root ngay trong file cấu hình. Nếu bạn chưa chỉnh sửa cấu hình ban đầu của Nginx, thì mặc định document root là /var/www/html
Lưu lại thay đổi trên file cấu hình của Nginx rồi kiểm tra xem file đó có bị lỗi cú pháp hay không bằng cách
1 | sudo nginx -t |
Nếu không có lỗi gì, thì hãy khởi động lại Nginx
1 | sudo systemctl restart nginx |
Chạy lệnh sau để tiến hành khởi tạo chứng chỉ SSL cho domain của bạn
1 | sudo letsencrypt certonly -a webroot --webroot-path=/var/www/html -d example.com -d www.example.com |
*** /var/www/html là thư mục mà bạn muốn trỏ domain tới, và example.com là domain của bạn (bạn có thể tùy chỉnh những giá trị này cho phù hợp với thực tế)
Một màn hình hiện ra yêu cầu bạn nhập email của bạn
Tiếp đến bạn hãy đồng ý với điều khoản của Let’s Encrypt bằng cách chọn Agree
Nếu mọi thứ ok không có gì trục trặc thì sẽ trả về kết quả như sau
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | IMPORTANT NOTES: - If you lose your account credentials, you can recover through e-mails sent to sammy@digitalocean.com - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-03-15. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - Your account credentials have been saved in your Let's Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let's Encrypt so making regular backups of this folder is ideal. - If like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le |
(còn tiếp … :D)