Mozilla nghỉ chơi với chứng chỉ SSL của Wosign/StartSSL

Wosign/StartSSL là một nhà cung cấp SSL từ Trung Quốc đã được Mozilla đưa vào tầm ngắm do một loạt những vi phạm gần đây.

firefox-certificate

StartSSL là cái tên được nhiều anh em biết đến hơn do bị Wosign mua lại hồi tháng 8 này. Mozilla quyết định loại khỏi danh sách các tổ chức phát hành chứng chỉ sau hơn một năm điều tra các hành vi kinh doanh phi đạo đức, vi phạm nghiệm trọng quy định của một Certificate Authority.

Tức là sau này tất cả các chứng chỉ đến từ 2 công ty này sẽ không được Mozilla chấp nhận nữa. Vì vậy anh em hãy nhanh chóng chuyển sang Let’s Encrypt (miễn phí) an toàn hơn.

Ngay bây giờ, bạn có thể đăng ký Let’s Encrypt của các nhà cung cấp shared hosting như StableHost, Hawk Host, LAMDESIGN SSL tích hợp sẵn trong CPanel, DirectAdmin.

Nguồn: CA:WoSign Issues

Hướng dẫn cài SSL Let’s Encrypt cho VestaCP

Let’s Encrypt dường như là cuộc cách mạng SSL cho các website nhỏ, blog,… đang dần trở nên phổ biến hơn. Anh em sử dụng VestaCP để quản lý VPS cũng nên cập nhật SSL đi nhé! Việc cập nhật cũng khá đơn giản, bạn cần chuẩn bị các đồ chơi sau:

  • Một kết nối SSH với Bitvise hoặc Putty, trên MacOS thì sử dụng luôn Terminal.
  • VPS cài sẵn VestaCP
  • Khoảng 10 phút và 1 ly cafe.

huong-dan-cai-ssl-lets-encrypt-cho-vestacp

Bước 1: Bạn đăng nhập VPS bằng Putty hoặc Terminal với quyền Root

Bước 2: Chúng ta đi đến thư mục /usr/local bằng lệnh

cd /usr/local

Bước 3: Tải Let’s Encrypt về

git clone https://github.com/letsencrypt/letsencrypt.git
git clone https://github.com/interbrite/letsencrypt-vesta.git

huong-dan-cai-ssl-lets-encrypt-cho-vestacp-1

Nếu gặp thông báo “git: command not found“ từ là bạn chưa cài Git trên Server, cài Git bằng lệnh sau:

 ## CentOS
yum install git -y
 
##Ubuntu
apt-get install git -y

Bước 4: Tiếp theo, bạn cần tạo thư mục “webroot” cho Let’s Encrypt lưu bản ghi xác thực domain

 mkdir -p /etc/letsencrypt/webroot

Bước 5: Để Apache hiểu được các bạn ghi trong thư mục webroot bạn cần điều chỉ file conf.d

 ## CentOS
ln -s /usr/local/letsencrypt-vesta/letsencrypt.conf /etc/httpd/conf.d/letsencrypt.conf
 
## Ubuntu
ln -s /usr/local/letsencrypt-vesta/letsencrypt.conf /etc/apache2/conf.d/letsencrypt.conf

Bước 6: chạy tiếp 2 lệnh sau

ln -s /usr/local/letsencrypt/letsencrypt-auto /usr/local/bin/letsencrypt-auto
ln -s /usr/local/letsencrypt-vesta/letsencrypt-vesta /usr/local/bin/letsencrypt-vesta

Bước 7: khởi động lại webserver

 ## CentOS
service httpd restart
 
## Ubuntu
service apache2 restart

Bước 8:  Xong, bây giờ bạn có thể cài đặt chứng nhận SSL Let’s Encrypt cho domain của mình rồi nhé, câu lệnh như sau:

huong-dan-cai-ssl-lets-encrypt-cho-vestacp-2

 letsencrypt-vesta username domain
 
## Example:
letsencrypt-vesta admin press89.xyz
Lưu ý: chứng nhận SSL này sẽ hết hạn sau 90 ngày. Anh em cần chạy lại lệnh trên để gia hạn nhé! Tốt nhất là sau 60 ngày.

huong-dan-cai-ssl-lets-encrypt-cho-vestacp-3

Việc cài đặt khá là dễ dàng và anh em có thể yên tâm sử dụng vì Let’s Encrypt là dự án được rất nhiều hãng lớn hỗ trợ như Akamai, Mozilla, OVH, Facebook, Automattic, Sucuri, SiteGround, KeyCDN, Vultr, Chrome,… Một số thông tin thêm cho các bạn cần tìm hiểu thêm.

https://github.com/interbrite/letsencrypt-vesta
https://letsencrypt.org/sponsors/

Cảm ơn bạn đã xem bài nhé!

Hướng dẫn cài SSL Let’s Encrypt cho EasyEngine

Cách đây không lâu StableHostHawkHost và một số đại gia đã tích hợp Let’s Encrypt cung cấp miễn phí chứng nhận SSL cho người dùng. Hôm nay, LAMNOTES sẽ hướng dẫn các bạn cài đặt Let’s Encrypt cho EasyEngine.

Lets-Encrypt-Free-SSL-Certificate

Yêu cầu chuẩn bị:

  1. Một VPS đã cài sẵn EasyEngine.
  2. Khoảng 10 phút và 1 ly cafe.

Cài đặt Let’s Encrypt cho website đang hoạt động

Thường anh em đang có VPS cài sẵn EasyEngine thì cũng đã có luôn các website hoạt động trên đó. Vậy phải làm như thế nào?

Update EasyEngine

Phiên bản mình thử nghiệm là EasyEngine v3.0.6

 ee update

Sau khi chạy lệnh này bạn có đã EasyEngine mới nhất rồi. Tiếp theo, cài bổ sung SSL cho website.

 ee site update domaincuaban.com --letsencrypt

Đoạn mã sẽ chạy như thế này

Letsencrypt is currently in beta phase.
Do you wish to enable SSl now for in?
Type "y" to continue [n]:y
Downloading LetsEncrypt          [Done]
Let's Encrypt successfully setup for your site
Your certificate and chain have been saved at /etc/letsencrypt/live/domaincuaban.com/fullchain.pem
Configuring Nginx SSL configuration
Adding /var/www/domaincuaban.com/conf/nginx/ssl.conf
Adding /etc/nginx/conf.d/force-ssl-domaincuaban.com.conf
Added HTTPS Force Redirection for Site  http://domaincuaban.com
Creating Cron Job for cert auto-renewal
Reload : nginx     [OK]
Congratulations! Successfully Configured SSl for Site  https://domaincuaban.com
Your cert will expire within 89 days.

Bạn sẽ thấy thông báo sau thì gõ y và enter nhé! Đợi 1 tý là xong

Cài mới WordPress với SSL Let’s Encrypt

 ee site create domaincuaban.com --wp --letsencrypt

Với lệnh này bạn sẽ thấy một thông báo như mình, gõ y là xong việc.

Lets-Encrypt-Free-SSL-Certificate-2

Gia hạn giấy phép Let’s Encrypt

Hiện tại giấy phép SSL của Let’s Encrypt sẽ bị thu hồi sau 90 ngày nên bạn cần phải gia hạn nó. Ác, kiểu này thì mệt lắm. Nhưng EasyEngine có một giải pháp cho bạn. Chạy ngay lệnh sau

~ # Crontab -l

gõ tiếp luôn

0 12 * * * ee site update domaincuaban.com --le=renew --min_expiry_limit 30 2> /dev/null # Renew letsencrypt SSL cert. Set by EasyEngine

Với lệnh này bạn đã gia hạn thêm giấy phép của mình 30 ngày. Hoặc một lý do nào đó bạn muốn tự gia hạn, ok vẫn được

ee site update domaincuaban.com --letsencrypt=renew

Không thích SSL nữa, giờ thì tắt nó

ee site update domaincuaban.com --letsencrypt=off

Kiểm tra thử xem SSL đã hoạt động chưa?

ee site info domaincuaban.com

Đây là kiểm tra của mình

Lets-Encrypt-Free-SSL-Certificate-3

Với các bạn đang sử dụng SSL của Cloudflare, bạn cần phải tắt nó đi để SSL của Let’s Encrypt hoạt động