Let's Encrypt adalah otoritas sertifikat gratis, otomatis, dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG) yang menyediakan sertifikat SSL gratis.
Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh semua browser utama dan berlaku selama 90 hari sejak tanggal penerbitan.
Tutorial ini menjelaskan cara menginstal sertifikat SSL Let's Encrypt gratis di CentOS 8 yang menjalankan Apache sebagai server web. Kami akan menggunakan alat certbot untuk mendapatkan dan memperbarui sertifikat.
Prasyarat #
Pastikan prasyarat berikut terpenuhi sebelum melanjutkan:
- Memiliki nama domain yang menunjuk ke IP server publik Anda. Kami akan menggunakan
example.com. - Apache diinstal dan dijalankan di server Anda dengan host virtual yang dikonfigurasi untuk domain Anda.
- Port 80 dan 443 terbuka di firewall Anda.
Instal paket berikut yang diperlukan untuk server web terenkripsi SSL:
sudo dnf install mod_ssl openssl
Ketika paket mod_ssl diinstal, itu harus membuat file self-signedkey dan sertifikat untuk localhost. Jika file tidak dibuat secara otomatis, Anda dapat membuatnya menggunakan openssl perintah:
sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \-out /etc/pki/tls/certs/localhost.crt \-keyout /etc/pki/tls/private/localhost.key
Instal Certbot #
Certbot adalah alat baris perintah gratis yang menyederhanakan proses untuk mendapatkan dan memperbarui sertifikat SSL Let's Encrypt dari dan mengaktifkan HTTPS secara otomatis di server Anda.
Paket certbot tidak termasuk dalam repositori standar CentOS 8, tetapi dapat diunduh dari situs web vendor.
Jalankan wget berikut ini perintah sebagai pengguna root atau sudountuk mengunduh skrip certbot ke /usr/local/bin direktori:
sudo wget -P /usr/local/bin https://dl.eff.org/certbot-autoSetelah unduhan selesai, buat file tersebut dapat dieksekusi:
sudo chmod +x /usr/local/bin/certbot-autoHasilkan Grup Dh (Diffie-Hellman) Kuat #
Pertukaran kunci Diffie–Hellman (DH) adalah metode pertukaran kunci kriptografi secara aman melalui saluran komunikasi yang tidak aman. Hasilkan satu set parameter DH 2048 bit baru untuk memperkuat keamanan:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Anda dapat mengubah ukuran hingga 4096 bit, tetapi pembuatannya mungkin memerlukan waktu lebih dari 30 menit, bergantung pada entropi sistem.
Mendapatkan sertifikat SSL Let's Encrypt #
Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.
Untuk membuat penyiapan lebih sederhana, kami akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .
Jalankan perintah berikut untuk membuat direktori dan membuatnya dapat ditulis untuk server Apache.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp apache /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode dan membuat konfigurasi lebih mudah dipelihara, buat dua cuplikan konfigurasi berikut:
/etc/httpd/conf.d/letsencrypt.confAlias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
AllowOverride None
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
Require method GET POST OPTIONS
</Directory>
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
SSLSessionTickets off
SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options SAMEORIGIN
Header always set X-Content-Type-Options nosniff
SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"
Cuplikan di atas menggunakan chipper yang direkomendasikan oleh Mozilla. Ini mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS), kunci Dh, dan menerapkan beberapa header HTTP yang berfokus pada keamanan.
Muat ulang konfigurasi Apache agar perubahan diterapkan:
sudo systemctl reload httpdSekarang, Anda dapat menjalankan skrip certbot dengan plugin webroot dan mengambil file sertifikat SSL:
sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.comJika berhasil, certbot akan mencetak pesan berikut:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-01-26. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Sekarang semuanya sudah diatur, edit konfigurasi host virtual domain Anda sebagai berikut:
/etc/httpd/conf.d/example.com.conf<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com
Redirect permanent / https://example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com
Protocols h2 http/1.1
<If "%{HTTP_HOST} == 'www.example.com'">
Redirect permanent / https://example.com/
</If>
DocumentRoot /var/www/example.com/public_html
ErrorLog /var/log/httpd/example.com-error.log
CustomLog /var/log/httpd/example.com-access.log combined
SSLEngine On
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
# Other Apache Configuration
</VirtualHost>
Konfigurasi di atas memaksa HTTPSand mengarahkan ulang dari versi www ke non-www. Ini juga mengaktifkan HTTP/2, yang akan membuat situs Anda lebih cepat dan lebih kuat. Anda bebas menyesuaikan konfigurasi sesuai kebutuhan Anda.
Mulai ulang layanan Apache:
sudo systemctl restart httpd
Anda sekarang dapat membuka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci berwarna hijau.
Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A+, seperti yang ditunjukkan di bawah ini:
Memperbarui otomatis sertifikat SSL Let's Encrypt #
Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, kami akan membuat cronjob yang akan berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.
Jalankan perintah berikut untuk membuat cronjob baru yang akan memperbarui sertifikat dan memulai ulang Apache:
echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null
Untuk menguji proses pembaruan, gunakan perintah certbot diikuti dengan --dry-run beralih:
sudo /usr/local/bin/certbot-auto renew --dry-runJika tidak ada error berarti proses perpanjangan berhasil.