Let's Encrypt adalah otoritas sertifikat yang dibuat oleh Internet Security Research Group (ISRG). Ini memberikan sertifikat SSL gratis melalui proses otomatis yang dirancang untuk menghilangkan pembuatan, validasi, pemasangan, dan pembaruan sertifikat secara manual.
Sertifikat yang dikeluarkan oleh Let's Encrypt berlaku selama 90 hari sejak tanggal penerbitan dan dipercaya oleh semua browser utama saat ini.
Tutorial ini menunjukkan cara menginstal sertifikat SSL Let's Encrypt gratis di Debian 10, Buster yang menjalankan Apache sebagai server web. Kami juga akan menunjukkan cara mengonfigurasi Apache untuk menggunakan sertifikat SSL dan mengaktifkan HTTP/2.
Prasyarat #
Pastikan prasyarat berikut terpenuhi sebelum melanjutkan dengan panduan:
- Masuk sebagai root atau pengguna dengan hak istimewa sudo.
- Domain yang ingin Anda dapatkan sertifikat SSLnya harus mengarah ke IP server publik Anda. Kami akan menggunakan
example.com. - Apache terinstal.
Menginstal Certbot #
Kami akan menggunakan alat certbot untuk mendapatkan dan memperbarui sertifikat.
Certbot adalah alat berfitur lengkap dan mudah digunakan yang mengotomatiskan tugas untuk memperoleh dan memperbarui sertifikat SSL Let's Encrypt dan mengonfigurasi server web untuk menggunakan sertifikat.
Paket certbot disertakan dalam repositori default Debian. Jalankan perintah berikut untuk menginstal certbot:
sudo apt updatesudo apt install certbot
Membuat Grup Dh (Diffie-Hellman) Kuat #
Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi dengan aman melalui saluran komunikasi yang tidak aman.
Jalankan perintah berikut untuk menghasilkan kunci DH 2048 bit baru:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Jika mau, Anda dapat mengubah ukuran hingga 4096 bit, tetapi pembuatannya mungkin memerlukan waktu lebih dari 30 menit, bergantung pada entropi sistem.
Mendapatkan sertifikat SSL Let's Encrypt #
Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.
Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .
Jalankan perintah berikut untuk membuat direktori dan membuatnya dapat ditulis untuk server Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode, buat dua cuplikan konfigurasi berikut:
/etc/apache2/conf-available/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Kode dalam cuplikan di atas menggunakan chipper yang direkomendasikan oleh Mozilla, mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan menerapkan beberapa header HTTP yang berfokus pada keamanan.
Pastikan keduanya mod_ssl dan mod_headers dimuat:
sudo a2enmod sslsudo a2enmod headers
Aktifkan modul HTTP/2, yang akan membuat situs Anda lebih cepat dan kuat:
sudo a2enmod http2Aktifkan file konfigurasi SSL:
sudo a2enconf letsencryptsudo a2enconf ssl-params
Muat ulang konfigurasi Apache agar perubahan diterapkan:
sudo systemctl reload apache2Gunakan alat Certbot dengan plugin webroot untuk mendapatkan file sertifikat SSL :
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comJika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-04-02. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Sekarang setelah Anda memiliki file sertifikat, edit konfigurasi host virtual domain Anda sebagai berikut:
/etc/apache2/sites-available/example.com.conf<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
Dengan konfigurasi di atas, kami memaksa HTTPSand redirect dari versi www ke non-www. Anda bebas menyesuaikan konfigurasi sesuai kebutuhan Anda.
Muat ulang layanan Apache agar perubahan diterapkan:
sudo systemctl reload apache2
Buka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci berwarna hijau.
Jika Anda menguji domain menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A+, seperti yang ditunjukkan di bawah ini:
Memperbarui otomatis sertifikat SSL Let's Encrypt #
Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, paket certbot membuat cronjob yang berjalan dua kali sehari dan akan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.
Setelah sertifikat diperbarui, kami juga harus memuat ulang layanan Apache. Tambahkan --renew-hook "systemctl reload apache2" ke /etc/cron.d/certbot file sehingga terlihat seperti berikut:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew --renew-hook "systemctl reload apache2"
Untuk menguji proses pembaruan, gunakan certbot --dry-run beralih:
sudo certbot renew --dry-runJika tidak ada error berarti proses perpanjangan berhasil.