Thật ra mình cũng thấy có nhiều guide trên mạng hướng dẫn config ssl rồi ý. Mình chỉ note lại những lỗi mình từng gặp phải khi config thôi (vì mỗi năm phải config lại 1 lần nên gặp lỗi thì vào đây xem luôn đỡ phải search lại).

Trời đụ ở trên mấy cái guide hay có hướng dẫn dùng câu lệnh 

cat xyz_xyz_cert.pem xyz_xyz_Chain_RootCA_Bundle.crt > xyz.support.crt 

Nhưng mà lúc ra thành quả thì nó sẽ bị 1 dòng (kết thúc file pem và bắt đầu file rootca) dư này

đó thành ra là lúc nó đếm nó thấy ơ cái end cert của t phải có đúng 5 cái '-' đầu và 5 cái '-' cuối cơ. Thế là nó báo lỗi format không đúng. 

Lỗi này có thể có 2 trường hợp xảy ra 
TH1: file xyz.support.crt tạo ở bước trên bị sai thường thấy nhất là đảo lộn giữa 2 cái file pem vs rootca

cat xyz_xyz_Chain_RootCA_Bundle.crt xyz_xyz_cert.pem > xyz.support.crt

TH2: file private key bị saiiiiii (mà trước đó nó có thể đúng). 
Lỗi này thì mấy bạn tự thao tác để lấy cert sẽ không bị (do private key là các bạn gen ra rồi gửi lên cho bên cung cấp). Còn những ai nhờ bên cung cấp làm hộ như mình có thể bị. 
Mỗi năm khi gia hạn cert thì sẽ dùng một cái private key mới (cho nó bảo mật, ai hứng thú có thể tìm hiểu thêm, tùy từng loại ssl sẽ có thời gian khác nhau ít nhất là 6 tháng nhiều thì 1 năm). 
Vì thế khi thay cert mới thì nhớ xin luôn private key để thay vào cho nó match.