Hướng dẫn cài đặt SSL cho Nginx

Cập nhật lần cuối: 03/04/2026

Hướng dẫn cài đặt SSL cho Nginx

Để cài đặt chứng thư số SSL cho nginx, bạn thực hiện như sau:

1. Giải nén file đính kèm trong email chúng tôi gửi cho ban sau khi chứng thư số được cấp, sẽ được file certificate.crt

2. Tải file này lên server, đưa vào trong thư mục /usr/local/ssl/certificate (đây là thư mục hôm trước bạn đã tạo ra để chứa CSR và private key).

3. Login vào SSH bằng tài khoản root

4. Lúc này trong thư mục /usr/local/ssl/certificate sẽ có 2 file: private.key, certificate.crt. Trong thư mục này sẽ có thêm fiile certreq.csr tuy nhiên bạn không cần dùng file này nữa.

5. Mở file cấu hình của nginx (thường là /etc/nginx/conf/default.conf hoặc /etc/nginx/conf/ssl.conf hoặc /etc/nginx/sites-enabled/domain.conf) và tìm đoạn cấu hình sau:

server {
   listen 443;
   ssl on;
   ssl_certificate /usr/local/ssl/certificate/certificate.crt;
   ssl_certificate_key /usr/local/ssl/certificate/private.key;
   server_name your.domain.com;
   access_log /var/log/nginx/nginx.vhost.access.log;
   error_log /var/log/nginx/nginx.vhost.error.log;
   location / {
      root /home/www/public_html/your.domain.com/public/;
      index index;
   }
}

6. Khởi động lại nginx

service nginx restart

7. Mở port 443 trên Firewall (Nếu bạn dùng software firewall như iptables chẳng hạn thì có thể tìm thấy file config tại: /etc/sysconfig/iptables)

Nếu bạn muốn cấu hình OCSP stapling cho nginx, bạn có thể tham khảo hướng dẫn sau đây: Hướng dẫn cấu hình OCSP stapling cho nginx

Sau khi cài đặt thành công, bạn có thể kiểm tra lại cert đã được install đúng hay chưa bằng công cụ sau: https://ssltools.digicert.com/checker/views/checkInstallation.jsp

Bạn có thể backup bộ chứng thư số SSL theo hướng dẫn sau: Hướng dẫn backup chứng thư số SSL