a2hosting

Fix lỗi SSL không tự động renew trong Cpanel

Lỗi SSL không tự động renew trong Cpanel

Gần đây người dùng sử dụng hosting cpanel không nhận được thông báo lỗi SSL không thể tự động renew. Cpanel cho phép chúng ta sử dụng SSL miễn phí của Les’t encrypt, tuy nhiên chứng chỉ này chỉ có thời hạn sử dụng là 3 tháng, sau đó chúng ta cần gia hạn lại để tiếp tục sử dụng. Và việc gia hạn là được tự động thực hiện thông qua cpanel

Tuy nhiên nếu người dùng sử dụng Cloudflare để làm DNS trung gian và sử dụng tính năng PROXY thì gặp lỗi SSL không thể tự động gia hạn.

Thông tin lỗi thể hiện như sau

Tại sao Lỗi này xảy ra?

Phương pháp chính để xác thực DNS sử dụng HTTP. Tuy nhiên, cPanel thực hiện thêm bước và sử dụng thêm quy trình Xác thực kiểm soát miền DNS cục bộ (hoặc DCV) để xác minh và chứng minh miền là hợp lệ với cơ quan cấp chứng chỉ.

Là một phần của quy trình DCV, bản ghi DNS sẽ tự động được thêm vào tệp vùng của miền trên máy chủ cPanel. Bản ghi này được cPanel tự động thêm / xóa / sửa đổi khi cần. Sự cố này phát sinh khi cPanel không thể truy xuất xác thực cần thiết do máy chủ tên miền đang được sử dụng tại Cloudflare, điều này ngăn quá trình xác thực trong quá trình gia hạn “AutoSSL” .

Nếu bạn đã cố gắng gia hạn SSL trong miền của mình và nhận thấy lỗi như sau:

12:44:11 PM ERROR Local DNS DCV error (example.com): The DNS query to “_cpanel-dcv-test-record.example.com” for the DCV challenge returned no “TXT” record that matches the value “_cpanel-dcv-test-record=g5EgawFWDq0V8PTUN5gspeRpOP_ckd2vcyofocOtXIRr9WcAiqj5qQfWYvaBE8fo”. ERROR Local DNS DCV error (www.example.com): The DNS query to “_cpanel-dcv-test-record.example.com” for the DCV challenge returned no “TXT” record that matches the value “_cpanel-dcv-test-record=g5EgawFWDq0V8PTUN5gspeRpOP_ckd2vcyofocOtXIRr9WcAiqj5qQfWYvaBE8fo”.
 Local DNS DCV OK: *.example.com (via example.com)
 Analyzing “example.com”’s DCV results …
 12:44:11 PM ERROR Impediment: NO_UNSECURED_DOMAIN_PASSED_DCV: Every unsecured domain failed DCV.

Điều đó có nghĩa là AutoSSL đã cố gắng gia hạn nó, nhưng vì CloudFlare proxy (ẩn), kết nối giữa máy chủ và bất kỳ yêu cầu nào đang được thực hiện. AutoSSL không thể lấy một số tệp văn bản mà nó tạm thời đặt trên máy chủ để kiểm tra xem nó có thực sự được lưu trữ trên máy chủ hay không.

Fix lỗi SSL không tự động renew trong Cpanel

Chúng ta sẽ nói rõ hơn quá trình kết nối từ trình duyệt người dùng tới website có sử dụng cloudflare

Từ trình duyệt tới hosting của chúng ta sẽ có 2 kết nối, và 2 kết nối này có thể mã hóa 1 phần hoặc toàn bộ, Nếu muốn FULL mã hóa chúng ta cần phải sử dụng SSL giữa các kết nối từ trình duyệt tới cloudflare và từ cloudflare tới hosting.

Để khắc phục chúng ta sử dụng các giải pháp sau

  • Mua 1 SSL của nhà cung cấp để sử dụng
  • Cpanel sử dụng SSL do cloudflare tạo
  • Chỉ sử dụng SSL của Cloudflare
  • Tạm dừng Proxy của Cloudflare và sau đó cập nhật chứng chỉ AutoSSL

Cách 1 mình sẽ bỏ qua, các bạn tự mua 1 chứng chỉ SSL với để sử dụng

Cách 2: chúng ta sẽ không sử dụng SSL của cpanel, mà sử dụng Cloudflare để tạo một chứng chỉ SSL và sử dụng SSL này cho kết nối từ Cloudflare tới hosting( cách này thường sử dụng khi hosting không hỗ trợ SSL miễn phí, và chứng chỉ này không được chứng thực công cộng)

Cách 3: Chỉ sử dụng SSL của Cloudflare ( nghĩa là kết nối từ cloudflare tới hosting sẽ không mã hóa – không khuyến nghị )

Cách 4: Tạm dừng Proxy

Đầu tiên, chúng ta đăng nhập vào Cloudflare, mục cấu hình DNS

Tắt tính năng Proxy (bao gồm bản ghi www… – Nếu sử dụng )

Vào Cpanel, Mục SSL/TLS Status

Tiến hành renew lại SSL cho các bản ghi cần thiết, sau khi renew xong, các bạn quay lại cloudflare bật lại tính năng Proxy

Với cách này các bạn cần thực hiện lại sau 3 tháng.