Amankan Apache dengan Lets Encrypt di Debian 9

Let's Encrypt adalah otoritas sertifikat yang dibuat oleh Internet Security Research Group (ISRG). Ini memberikan sertifikat SSL gratis melalui proses otomatis yang dirancang untuk menghilangkan pembuatan, validasi, pemasangan, dan pembaruan sertifikat secara manual.

Sertifikat yang dikeluarkan oleh Let's Encrypt berlaku selama 90 hari sejak tanggal penerbitan dan dipercaya oleh semua browser utama saat ini.

Tutorial ini akan memandu Anda melalui proses mendapatkan Let's Encrypt gratis menggunakan alat certbot di Debian 9. Kami juga akan menunjukkan cara mengonfigurasi Apache untuk menggunakan sertifikat SSL baru dan mengaktifkan HTTP/2.

Prasyarat #

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan tutorial ini:

• Masuk sebagai pengguna dengan hak istimewa sudo.
• Memiliki nama domain yang menunjuk ke IP server publik server Anda. Kami akan menggunakan example.com .
• Apache terinstal. Host virtual apache untuk domain Anda. Anda dapat mengikuti petunjuk ini untuk detail tentang cara membuatnya.

Instal Certbot #

Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let's Encrypt. Paket certbot disertakan dalam repositori default Debian.

Perbarui daftar paket dan instal paket certbot menggunakan perintah berikut:

sudo apt updatesudo apt install certbot

Hasilkan Grup Dh (Diffie-Hellman) Kuat #

Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi dengan aman melalui saluran komunikasi yang tidak aman.

Untuk menghasilkan set parameter DH 2048 bit baru, jalankan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Jika Anda suka, Anda dapat mengubah ukurannya hingga 4096 bit, tetapi dalam hal ini, pembuatannya mungkin memakan waktu lebih dari 30 menit tergantung pada entropi sistem.

Mendapatkan sertifikat SSL Let's Encrypt #

Untuk mendapatkan sertifikat SSL untuk domain kita, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .

Perintah berikut membuat direktori dan membuatnya dapat ditulis untuk server Apache.

sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua cuplikan konfigurasi berikut:

/etc/apache2/conf-available/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

/etc/Apache2/conf-available/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem" 

Cuplikan di atas menyertakan chipper yang direkomendasikan, mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan menerapkan beberapa header HTTP yang berfokus pada keamanan.

Sebelum mengaktifkan file konfigurasi, pastikan keduanya mod_ssl dan mod_headers diaktifkan dengan mengeluarkan:

sudo a2enmod sslsudo a2enmod headers

Aktifkan modul HTTP/2, yang akan membuat situs Anda lebih cepat dan kuat:

sudo a2enmod http2

Aktifkan file konfigurasi SSL dengan menjalankan perintah berikut:

sudo a2enconf letsencryptsudo a2enconf ssl-params

Muat ulang konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload apache2

Gunakan alat Certbot dengan plugin webroot untuk mendapatkan file sertifikat SSL :

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2019-01-17. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again. To
   non-interactively renew *all* of your certificates, run "certbot
   renew"
 - If you lose your account credentials, you can recover through
   e-mails sent to [email protected].
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Sekarang setelah Anda memiliki file sertifikat, edit konfigurasi host virtual domain Anda sebagai berikut:

/etc/apache2/sites-available/example.com.conf

<VirtualHost *:80> 
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
  CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

Dengan konfigurasi di atas, kami memaksa HTTPSand redirect dari versi www ke non-www. Anda bebas menyesuaikan konfigurasi sesuai kebutuhan Anda.

Muat ulang layanan Apache agar perubahan diterapkan:

sudo systemctl reload apache2

Buka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci berwarna hijau.

Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A+, seperti yang ditunjukkan di bawah ini:

Memperbarui otomatis sertifikat SSL Let's Encrypt #

Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, paket certbot membuat cronjob yang berjalan dua kali sehari dan akan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.

Setelah sertifikat diperbarui, kami juga harus memuat ulang layanan Apache. Tambahkan --renew-hook "systemctl reload apache2" ke /etc/cron.d/certbot file sehingga terlihat seperti berikut:

/etc/cron.d/certbot

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"

Untuk menguji proses pembaruan, gunakan certbot --dry-run beralih:

sudo certbot renew --dry-run

Jika tidak ada error berarti proses perpanjangan berhasil.