Let's Encrypt adalah otoritas sertifikat yang dibuat oleh Internet Security Research Group (ISRG). Ini memberikan sertifikat SSL gratis melalui proses otomatis yang dirancang untuk menghilangkan pembuatan, validasi, pemasangan, dan pembaruan sertifikat manual.
Sertifikat yang dikeluarkan oleh Let's Encrypt berlaku selama 90 hari sejak tanggal penerbitan dan dipercaya oleh semua browser utama saat ini.
Tutorial ini menjelaskan cara menginstal sertifikat SSL Let's Encrypt gratis di Ubuntu 20.04, menjalankan Apache sebagai server web. Kami juga akan menunjukkan cara mengonfigurasi Apache untuk menggunakan sertifikat SSL dan mengaktifkan HTTP/2.
Prasyarat #
Pastikan prasyarat berikut terpenuhi sebelum Anda melanjutkan:
- Masuk sebagai root atau pengguna dengan hak istimewa sudo.
- Domain yang ingin Anda dapatkan sertifikat SSLnya harus mengarah ke IP server publik Anda. Kami akan menggunakan
example.com. - Apache terinstal.
Menginstal Certbot #
Kami akan menggunakan certbot untuk mendapatkan sertifikat. Ini adalah alat baris perintah yang mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let's Encrypt.
Paket certbot disertakan dalam repositori default Ubuntu. Perbarui daftar paket dan instal certbot menggunakan perintah berikut:
sudo apt updatesudo apt install certbot
Hasilkan Grup Dh (Diffie-Hellman) Kuat #
Pertukaran kunci Diffie–Hellman (DH) adalah metode pertukaran kunci kriptografi secara aman melalui saluran komunikasi yang tidak aman. Hasilkan satu set parameter DH 2048 bit baru untuk memperkuat keamanan:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Anda dapat mengubah ukuran hingga 4096 bit, tetapi pembuatannya mungkin memerlukan waktu lebih dari 30 menit, bergantung pada entropi sistem.
Mendapatkan sertifikat SSL Let's Encrypt #
Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.
Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .
Jalankan perintah berikut untuk membuat direktori dan membuatnya dapat ditulis untuk server Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp www-data /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode dan membuat konfigurasi lebih mudah dipelihara, buat dua cuplikan konfigurasi berikut:
/etc/Apache2/conf-available/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Header always set Strict-Transport-Security "max-age=63072000"
Cuplikan di atas menggunakan chipper yang direkomendasikan oleh Mozilla, mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan menerapkan beberapa header HTTP yang berfokus pada keamanan.
Sebelum mengaktifkan file konfigurasi, pastikan keduanya mod_ssl dan mod_headers diaktifkan dengan mengeluarkan:
sudo a2enmod sslsudo a2enmod headers
Selanjutnya, aktifkan file konfigurasi SSL dengan menjalankan perintah berikut:
sudo a2enconf letsencryptsudo a2enconf ssl-params
Aktifkan modul HTTP/2, yang akan membuat situs Anda lebih cepat dan kuat:
sudo a2enmod http2Muat ulang konfigurasi Apache agar perubahan diterapkan:
sudo systemctl reload apache2Sekarang kita dapat menjalankan alat Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL:
sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comJika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-10-06. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Sekarang setelah Anda memiliki file sertifikat, edit konfigurasi host virtual domain Anda sebagai berikut:
/etc/apache2/sites-available/example.com.conf<VirtualHost *:80>
ServerName example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog ${APACHE_LOG_DIR}/example.com-error.log
CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
Dengan konfigurasi di atas, kami memaksa HTTPSand redirect dari versi www ke non-www. Anda bebas menyesuaikan konfigurasi sesuai kebutuhan Anda.
Muat ulang layanan Apache agar perubahan diterapkan:
sudo systemctl reload apache2
Anda sekarang dapat membuka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci berwarna hijau.
Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A+, seperti yang ditunjukkan di bawah ini:
Memperbarui otomatis sertifikat SSL Let's Encrypt #
Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.
Setelah sertifikat diperbarui, kami juga harus memuat ulang layanan Apache. Tambahkan --renew-hook "systemctl reload apache2" ke /etc/cron.d/certbot file sehingga terlihat seperti berikut:
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload apache2"
Untuk menguji proses perpanjangan, Anda dapat menggunakan certbot --dry-run beralih:
sudo certbot renew --dry-runJika tidak ada error berarti proses perpanjangan berhasil.