Hướng dẫn cấu hình Cách cài SSL miễn phí Let’s Encrypt cho tên miền trên VPS/Server (A-Z)

Chào bạn, tôi là Kỹ sư Hệ thống của bạn. Trong môi trường Internet hiện nay, việc không có SSL (HTTPS) không chỉ ảnh hưởng đến SEO mà còn là một lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công thực hiện các cuộc tấn công Man-in-the-Middle (MITM).

Dưới đây là quy trình chuẩn hóa, an toàn và ổn định nhất để triển khai Let’s Encrypt SSL bằng công cụ Certbot.

## Yêu cầu chuẩn bị: Cấu hình VPS tối thiểu

Để đảm bảo quá trình cài đặt và gia hạn tự động diễn ra trơn tru, hệ thống của bạn cần đáp ứng:

1. Hệ điều hành: Khuyến nghị Ubuntu 20.04 LTS hoặc 22.04 LTS (Tính ổn định cao nhất). Bài hướng dẫn này sẽ tập trung vào Ubuntu/Debian.
2. Cấu hình phần cứng:
   • RAM: Tối thiểu 512MB (Khuyên dùng 1GB để chạy mượt mà các tiến trình định kỳ).
   • CPU: 1 Core.
3. Tên miền (Domain): Đã trỏ bản ghi A (và bản ghi www nếu cần) về địa chỉ IP của VPS.
   • Lưu ý: Việc trỏ DNS phải hoàn tất và đã nhận (Propagated) trước khi thực hiện, nếu không Let’s Encrypt sẽ từ chối cấp chứng chỉ.
4. Quyền hạn: Quyền root hoặc người dùng có quyền sudo.

## Cảnh báo quan trọng

1. Backup cấu hình: Trước khi can thiệp vào Web Server, hãy sao lưu thư mục cấu hình hiện tại.

   sudo cp -r /etc/nginx /etc/nginx_backup_$(date +%F)
   # Hoặc với Apache
   sudo cp -r /etc/apache2 /etc/apache2_backup_$(date +%F)

2. Giới hạn (Rate Limits): Let’s Encrypt có giới hạn số lần yêu cầu chứng chỉ (thường là 50 chứng chỉ/tên miền/tuần). Đừng thử lại quá nhiều lần nếu gặp lỗi, hãy kiểm tra log trước.
3. Mở Port: Đảm bảo Firewall (UFW, FirewallD) đã mở port 80 và 443.

## Hướng dẫn cài đặt (Từng bước)

Chúng ta sẽ sử dụng phương thức Snap để cài đặt Certbot, đây là phương thức được tổ chức EFF (đứng sau Let’s Encrypt) khuyến nghị vì tính cập nhật và ổn định.

Bước 1: Cập nhật hệ thống và cài đặt Snapd

# Cập nhật danh sách gói phần mềm
sudo apt update && sudo apt upgrade -y

# Cài đặt snapd (Nếu chưa có)
sudo apt install snapd -y

# Đảm bảo snap core đã được cập nhật bản mới nhất
sudo snap install core; sudo snap refresh core

Bước 2: Cài đặt Certbot

Gỡ bỏ các bản Certbot cũ (nếu có) để tránh xung đột phiên bản.

# Gỡ bỏ bản cài bằng apt cũ
sudo apt remove certbot -y

# Cài đặt Certbot qua Snap
sudo snap install --classic certbot

# Tạo liên kết biểu tượng để có thể gọi lệnh certbot từ bất cứ đâu
sudo ln -s /snap/bin/certbot /usr/bin/certbot

Bước 3: Cấu hình Web Server (Mẫu Nginx)

Trước khi chạy Certbot, bạn cần một file cấu hình Virtual Host cơ bản để Certbot có thể xác thực quyền sở hữu tên miền qua HTTP-01 challenge.

Tạo file: /etc/nginx/sites-available/yourdomain.com

server {
    listen 80;
    listen [::]:80;

    server_name yourdomain.com www.yourdomain.com;

    root /var/www/yourdomain.com/html;
    index index.html index.htm;

    location / {
        try_files $uri $uri/ =404;
    }
}

Giải thích:

• listen 80: Lắng nghe lưu lượng truy cập không mã hóa để Certbot xác thực.
• server_name: Khai báo đúng tên miền của bạn.

Sau đó kích hoạt cấu hình và restart Nginx:

sudo ln -s /etc/nginx/sites-available/yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginx

Bước 4: Khởi tạo chứng chỉ SSL

Lệnh này sẽ tự động thay đổi cấu hình Nginx của bạn để áp dụng SSL và thiết lập chuyển hướng từ HTTP sang HTTPS.

sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Giải thích các tham số:

• --nginx: Sử dụng plugin Nginx để tự động cấu hình.
• -d: Khai báo domain cần cấp SSL.
• Bạn sẽ được hỏi Email (để nhận thông báo hết hạn) và yêu cầu đồng ý với điều khoản sử dụng.

## Kiểm tra hoạt động (Verify)

1. Kiểm tra trạng thái chứng chỉ

sudo certbot certificates

Lệnh này sẽ hiển thị ngày hết hạn và đường dẫn lưu trữ file .pem.

2. Kiểm tra tính năng tự động gia hạn (Dry Run)

Chứng chỉ Let’s Encrypt chỉ có hiệu lực 90 ngày. Certbot đã tự động thêm một cronjob/systemd timer để gia hạn. Hãy chạy thử lệnh sau để đảm bảo việc gia hạn sẽ thành công trong tương lai:

sudo certbot renew --dry-run

Nếu kết quả trả về Congratulations, all simulated renewals succeeded, hệ thống của bạn đã an toàn.

3. Kiểm tra qua trình duyệt

Truy cập https://yourdomain.com và nhấn vào biểu tượng ổ khóa để xem chi tiết chứng chỉ.

## Xử lý sự cố thường gặp

Lỗi 1: Connection Refused / Timeout (403, 502)

• Nguyên nhân: Firewall chưa mở port 80/443 hoặc Nginx chưa chạy.
• Cách sửa:

  sudo ufw allow 'Nginx Full'
  sudo systemctl status nginx

Lỗi 2: “Incorrect validation certificate” hoặc “DNS problem”

• Nguyên nhân: Bản ghi DNS chưa trỏ về IP của server hoặc bạn đang dùng Cloudflare proxy (đám mây vàng) nhưng chưa cấu hình đúng.
• Cách sửa: Tắt Proxy Cloudflare (chuyển sang đám mây xám) tạm thời để Certbot xác thực, hoặc sử dụng DNS Challenge nếu muốn giữ Proxy.

Lỗi 3: Permission Denied (Quyền sở hữu file)

• Nguyên nhân: Nginx không có quyền đọc file chứng chỉ trong /etc/letsencrypt/live/.
• Cách sửa: Thông thường Certbot chạy dưới quyền root sẽ tự xử lý. Tuy nhiên, hãy đảm bảo thư mục web root có quyền đúng:

  sudo chown -R www-data:www-data /var/www/yourdomain.com

Lỗi 4: Quá hạn mức yêu cầu (Rate Limit)

• Nguyên nhân: Bạn cài đặt lỗi và chạy lại lệnh quá nhiều lần.
• Cách sửa: Phải chờ 1 tuần hoặc thử tạo SSL cho một subdomain mới để kiểm tra cấu hình trước khi quay lại domain chính.

Lời khuyên từ Admin: Luôn giữ cho hệ điều hành và Certbot ở phiên bản mới nhất. Đừng bao giờ can thiệp thủ công vào các file trong /etc/letsencrypt/ trừ khi bạn thực sự hiểu mình đang làm gì.

See more: Cách cài SSL miễn phí Let's Encrypt cho tên miền.

Discover: Python Trick.