Let's Encrypt adalah otoritas sertifikat gratis dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh hampir semua browser saat ini.
Dalam tutorial ini, kami akan menjelaskan cara menggunakan alat Certbot untuk mendapatkan sertifikat SSL gratis untuk Nginx di Debian 9. Kami juga akan menunjukkan cara mengonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP/2.
Prasyarat #
Pastikan prasyarat berikut terpenuhi sebelum melanjutkan tutorial ini:
- Masuk sebagai pengguna dengan hak istimewa sudo.
- Memiliki nama domain yang menunjuk ke IP server publik Anda. Kami akan menggunakan
example.com. - Sudah menginstal Nginx dengan mengikuti petunjuk berikut
- Anda memiliki blok server untuk domain Anda. Anda dapat mengikuti petunjuk ini untuk detail tentang cara membuatnya.
Instal Certbot #
Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let's Encrypt dan mengonfigurasi server web untuk menggunakan sertifikat. Paket certbot disertakan dalam repositori default Debian.
Perbarui daftar paket dan instal paket certbot:
sudo apt updatesudo apt install certbot
Hasilkan Grup Dh (Diffie-Hellman) Kuat #
Pertukaran kunci Diffie–Hellman (DH) adalah metode pertukaran kunci kriptografi secara aman melalui saluran komunikasi yang tidak aman. Kami akan membuat set parameter DH 2048 bit baru untuk memperkuat keamanan:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Mendapatkan sertifikat SSL Let's Encrypt #
Untuk mendapatkan sertifikat SSL untuk domain kita, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.
Kami akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .
Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Nginx.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode, buat dua cuplikan berikut yang akan disertakan dalam semua file blok server Nginx kami.
Buka editor teks Anda dan buat cuplikan pertama, letsencrypt.conf :
sudo nano /etc/nginx/snippets/letsencrypt.conflocation ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
Buat cuplikan kedua ssl.conf yang menyertakan chipper yang direkomendasikan oleh Mozilla, mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan menerapkan beberapa header HTTP yang berfokus pada keamanan.
sudo nano /etc/nginx/snippets/ssl.confssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Setelah selesai, buka file blok server domain dan sertakan letsencrypt.conf cuplikan seperti yang ditunjukkan di bawah ini:
sudo nano /etc/nginx/sites-available/example.com.confserver {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
Aktifkan blok server baru dengan membuat tautan simbolis ke sites-enabled direktori:
sudo ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/Mulai ulang layanan Nginx agar perubahan diterapkan:
sudo systemctl restart nginxAnda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan menerbitkan:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comJika sertifikat SSL berhasil diperoleh, pesan berikut akan dicetak pada terminal Anda:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-07-28. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Selanjutnya, edit blok server domain sebagai berikut:
sudo nano /etc/nginx/sites-available/example.com.confserver {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
Dengan konfigurasi di atas kami memaksa HTTPSand mengarahkan ulang dari versi www ke non-www.
Muat ulang layanan Nginx agar perubahan diterapkan:
sudo systemctl reload nginxMemperbarui otomatis sertifikat SSL Let's Encrypt #
Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.
Karena kami menggunakan plug-in certbot webroot setelah sertifikat diperbarui, kami juga harus memuat ulang layanan nginx. Tambahkan --renew-hook "systemctl reload nginx" ke /etc/cron.d/certbot file sehingga terlihat seperti ini:
sudo nano /etc/cron.d/certbot0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"
Uji proses perpanjangan otomatis, dengan menjalankan perintah ini:
sudo certbot renew --dry-runJika tidak ada error berarti proses perpanjangan berhasil.