Let's Encrypt adalah otoritas sertifikat gratis, otomatis, dan terbuka yang dikembangkan oleh Internet Security Research Group (ISRG) yang menyediakan sertifikat SSL gratis.
Sertifikat yang dikeluarkan oleh Let's Encrypt dipercaya oleh semua browser utama dan berlaku selama 90 hari sejak tanggal penerbitan.
Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara menginstal sertifikat SSL Let's Encrypt gratis di CentOS 8 yang menjalankan Nginx sebagai server web. Kami juga akan menunjukkan cara mengonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP/2.
Prasyarat #
Sebelum melanjutkan, pastikan Anda telah memenuhi prasyarat berikut:
- Anda memiliki nama domain yang menunjuk ke IP publik Anda. Kami akan menggunakan
example.com. - Anda telah menginstal Nginx di server CentOS Anda.
- Firewall Anda dikonfigurasi untuk menerima koneksi pada port 80 dan 443.
Menginstal Certbot #
Certbot adalah alat baris perintah gratis yang menyederhanakan proses untuk memperoleh dan memperbarui sertifikat Let's Encrypt SSL dari dan mengaktifkan HTTPS secara otomatis di server Anda.
Paket certbot tidak termasuk dalam repositori standar CentOS 8, tetapi dapat diunduh dari situs web vendor.
Jalankan wget berikut ini perintah sebagai pengguna root atau sudountuk mengunduh skrip certbot ke /usr/local/bin direktori:
sudo wget -P /usr/local/bin https://dl.eff.org/certbot-autoSetelah unduhan selesai, buat file tersebut dapat dieksekusi:
sudo chmod +x /usr/local/bin/certbot-autoMembuat Grup Dh (Diffie-Hellman) Kuat #
Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi dengan aman melalui saluran komunikasi yang tidak aman.
Hasilkan satu set parameter DH 2048 bit baru dengan mengetikkan perintah berikut:
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048Jika mau, Anda dapat mengubah panjang kunci hingga 4096 bit, tetapi pembuatannya mungkin memerlukan waktu lebih dari 30 menit, tergantung pada entropi sistem.
Mendapatkan sertifikat SSL Let's Encrypt #
Untuk mendapatkan sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang bekerja dengan membuat file sementara untuk memvalidasi domain yang diminta di ${webroot-path}/.well-known/acme-challenge direktori. Server Let's Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta diselesaikan ke server tempat certbot berjalan.
Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt .
Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Nginx.
sudo mkdir -p /var/lib/letsencrypt/.well-knownsudo chgrp nginx /var/lib/letsencryptsudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode, buat dua cuplikan berikut yang akan disertakan di semua file blok server Nginx:
sudo mkdir /etc/nginx/snippetslocation ^~ /.well-known/acme-challenge/ {
allow all;
root /var/lib/letsencrypt/;
default_type "text/plain";
try_files $uri =404;
}
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Cuplikan di atas menyertakan chipper yang direkomendasikan oleh Mozilla, mengaktifkan OCSP Stapling, HTTP Strict Transport Security (HSTS), dan menerapkan beberapa header HTTP yang berfokus pada keamanan.
Setelah cuplikan dibuat, buka blok server domain dan sertakan letsencrypt.conf cuplikan, seperti yang ditunjukkan di bawah ini:
server {
listen 80;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}Muat ulang konfigurasi Nginx agar perubahan diterapkan:
sudo systemctl reload nginxJalankan alat certbot dengan plugin webroot untuk mendapatkan file sertifikat SSL untuk domain Anda:
sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com
Jika ini pertama kalinya Anda memanggil certbot , alat ini akan menginstal dependensi yang hilang.
Setelah sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2020-03-12. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Sekarang setelah Anda memiliki file sertifikat, Anda dapat mengedit blok server domain Anda sebagai berikut:
/etc/nginx/conf.d/example.com.confserver {
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
Dengan konfigurasi di atas kami memaksa HTTPSand mengarahkan ulang versi www ke non www.
Terakhir, muat ulang layanan Nginx agar perubahan diterapkan:
sudo systemctl reload nginx
Sekarang, buka situs web Anda menggunakan https:// , dan Anda akan melihat ikon kunci berwarna hijau.
Jika Anda menguji domain menggunakan Uji Server SSL Labs, Anda akan mendapatkan A+ nilai, seperti yang ditunjukkan pada gambar di bawah ini:
Memperbarui otomatis sertifikat SSL Let's Encrypt #
Sertifikat Let's Encrypt berlaku selama 90 hari. Untuk memperbarui sertifikat secara otomatis sebelum kedaluwarsa, buat cronjob yang akan berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum kedaluwarsa.
Gunakan crontab perintah untuk membuat cronjob baru:
sudo crontab -eRekatkan baris berikut:
0 */12 * * * root test -x /usr/local/bin/certbot-auto -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && /usr/local/bin/certbot-auto -q renew --renew-hook "systemctl reload nginx"
Simpan dan tutup file.
Untuk menguji proses perpanjangan, Anda dapat menggunakan perintah certbot diikuti dengan --dry-run beralih:
sudo ./certbot-auto renew --dry-runJika tidak ada error, berarti proses perpanjangan tes berhasil.