Knowledgebase:
[Lets Encrypt SSL trong EasyEngine] Mọi vấn đề về SSL
Posted by Lại Tuấn Cường (Jason) (Repu), Last modified by Lại Tuấn Cường (Jason) (Repu) on 05 July 2018 01:39 AM

Tạo 1 Wordpress mới

ee site create domain --hhvm --w3tc --letsencrypt

Thiết lập SSL cho 1 Website đã có

ee site update domain --letsencrypt
  1. Update URL của website trong Settings => General
  2. Update nội dung trong CSDL từ http sang https: dùng plugin Better Search Replace
Thiết lập để không mất thứ hạng SEO sau khi chuyển http => https

Lưu ý 1: Lỗi chưa ánh xạ domain thật

Thường gặp lỗi này khi mới thiết lập trỏ domain về IP thử nghiệm trên file host của máy tính local, chưa thực sự trỏ domain về IP chính thức
2017-05-24 20:10:17,051 (ERROR) ee : Unable to setup, Let's Encrypt
2017-05-24 20:10:17,052 (ERROR) ee : Please make sure that your site is pointed to
same server on which you are running Let's Encrypt Client
 to allow it to verify the site automatically.
=> do domain chưa ánh xạ đúng tới IP server
update 6/3/2018: cần phải ánh xạ cả www.domain.com lẫn domain.com tới IP của máy chủ, nếu không, vẫn bị lỗi này

Lưu ý 2: thiết lập Letsencrypt cho Subdomain

=> cần thêm 1 bản ghi cname để trỏ www.sub.domain.com về sub.domain.com

Lưu ý 3: lỗi ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

khi thiết lập Letsencrypt mà bị lỗi không truy cập được vì Chrome báo "On Chrome, "This site can't be reached" and "ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY""
=> cần sửa file config của nginx (/etc/nginx/nginx.conf), xem ở dòng ssl_cipher, replcae thành nội dung
"ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-"
sau đó, restart nginx theo câu lệnh "nginx -t &&  ee stack restart --nginx"
Lưu ý 4: khi có lỗi từ ee, dùng câu lệnh sau để check lỗi và biết ee đã làm gì???

GIA HẠN LẠI LETS ENCRYPT

Renew cho 1 site

ee site update domain --letsencrypt=renew

Lưu ý 1: Không gian hạn được mặc dù đã hết hạn

Hiện tượng:
Trong 1 số trường hợp, khi renew, máy chủ thông báo site này không renew được vì thời gian expire còn hơn 30 ngày nhưng trong thực tế, khi kiểm tra (vào https://www.sslshopper.com/ssl-checker.html) thì đã hết hạn từ lâu



Giải pháp:
Cách khắc phục để gia hạn là off letsenrept trên site đó rồi bật lại
VD:
ee site update domain --letsencrypt=off
ee site update domain --letsencrypt=on

Kiểm tra lại cho chính xác trên trang https://www.sslshopper.com/ssl-checker.html

Renew cho tất cả các site trên máy chủ

ee site update --le=renew --all 2> /dev/null
(0 vote(s))
Helpful
Not helpful

Comments (0)
Post a new comment
 
 
Full Name:
Email:
Comments:
Powered by Repu Digital