Let's Encrypt adalah Certificate Authority (CA) yang gratis dan terbuka. Ini menyediakan cara sederhana untuk mendapatkan, menginstal, dan memperbarui sertifikat TLS/SSL gratis.
Di sini, di LinuxAPT, sebagai bagian dari Layanan Manajemen Server kami, kami secara teratur membantu Pelanggan kami untuk melakukan kueri Nginx terkait.
Dalam konteks ini, kita akan melihat cara mendapatkan dan menginstal sertifikat SSL Let's Encrypt gratis dan Secure Nginx di server Ubuntu 18.04.
Bagaimana Cara Menginstal Let's Encrypt di Ubuntu ?
Sebelum melakukan Prosedur Instalasi ini, pastikan persyaratan berikut terpenuhi:
- Server Ubuntu dengan pengguna non-root dengan hak istimewa sudo.
- Nginx harus diinstal dan dikonfigurasi, seperti yang ditunjukkan dalam Panduan ini.
- Memiliki blok server Nginx untuk domain Anda, seperti yang ditunjukkan dalam Panduan ini.
- Nama domain Anda harus mengarah ke alamat IP server Anda.
Sekarang, ikuti langkah-langkah menggunakan alat Certbot untuk mendapatkan sertifikat SSL gratis untuk Nginx di server Ubuntu 18.04.
1. Instal Klien Certbot
Anda dapat dengan mudah memperoleh, menginstal, dan memperbarui sertifikat SSL Let's Encrypt, menggunakan paket klien Certbot. Sangat berguna untuk mengonfigurasi server web untuk menggunakan sertifikat SSL. Paket certbot disertakan dalam repositori default Ubuntu.
Pertama-tama, kami akan memperbarui indeks daftar paket dengan mengetik:
$ sudo apt update
Sekarang instal klien Certbot dengan menjalankan perintah di bawah ini:
$ sudo apt install python-certbot-nginx
Anda juga dapat memverifikasi bahwa certbot berhasil diinstal atau tidak dengan mengetik:
$ certbot --version
2. Konfigurasi Firewall
Jika server Anda dilindungi oleh firewall UFW maka Anda perlu menyesuaikan firewall untuk mengizinkan lalu lintas HHTPS.
Untuk melihat setelan saat ini menurut jenis:
$ sudo ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx HTTP ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx HTTP (v6) ALLOW Anywhere (v6)
Untuk mendapatkan lalu lintas HTTPS, Anda harus mengizinkan profil Lengkap Nginx dan menghapus tunjangan profil HTTP Nginx yang berlebihan:
$ sudo ufw allow 'Nginx Full'
$ sudo ufw delete allow 'Nginx HTTP'
Sekarang statusnya akan terlihat seperti di bawah ini:
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
Nginx Full ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Nginx Full (v6) ALLOW Anywhere (v6)
3. Dapatkan Let's Encrypt SSL Certificate di Nginx
Anda dapat memperoleh sertifikat SSL dengan berbagai cara.
saya. Di sini, kami akan menggunakan klien certbot untuk mendapatkan sertifikat SSL:
$ sudo certbot --nginx -d example.com -d www.example.com
Di sini, kami meminta domain example.com dan www.example.com. Jika ini adalah pertama kalinya untuk menginstal maka akan meminta Anda memasukkan alamat email dan menyetujui syarat dan ketentuan. Alamat email yang dimasukkan akan digunakan untuk mengirim peringatan email terkait perpanjangan dan kedaluwarsa SSL.
Selanjutnya, Jika validasi berhasil, Anda akan diminta untuk mengonfigurasi pengaturan HTTPS:
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
ii. Pilih opsi 1 atau 2 sesuai pilihan Anda dan tekan Enter untuk melanjutkan. Blok Server Nginx akan diperbarui berdasarkan opsi yang Anda pilih dan itu akan memuat ulang Nginx untuk mengambil efek pengaturan baru.
Terakhir, domain Anda diamankan dengan sertifikat Let's Encrypt SSL. Anda dapat memverifikasi dengan mengunjungi situs Anda menggunakan protokol HTTPS.
Bagaimana cara mengatur Perpanjangan Otomatis untuk Let's Encrypt SSL certificate ?
Sertifikat SSL Let's Encrypt memiliki masa pakai pendek 90 hari sehingga Anda perlu memperbaruinya sebelum kedaluwarsa.
saya. Anda dapat memperbarui sertifikat SSL sebelum kedaluwarsa dengan mengetik:
$ sudo certbot renew
ii. Selain itu, Anda dapat mengatur proses perpanjangan otomatis untuk Let's Encrypt sertifikat SSL dengan menambahkan cronjob. Jalankan perintah di bawah ini untuk membuka crontab:
$ sudo crontab -e
aku aku aku. Selanjutnya, tambahkan baris di bawah ini di akhir file. Ini akan menjalankan perintah dua kali sehari dan memperbarui jika sertifikat akan kedaluwarsa:
0 */12 * * * root test -x /usr/bin/certbot -a ! -d /run/systemd/system && perl -e 'sleep int(rand(43200))' && certbot -q renew
iv. Simpan dan tutup file.
v. Anda juga dapat memverifikasi proses perpanjangan otomatis certbot dengan mengetik:
$ sudo certbot renew --dry-run