Dalam tutorial ini, Anda akan mempelajari prosedur TLS/SSL pemasangan sertifikat di Apache server web. Setelah Anda selesai, semua lalu lintas antara server dan klien akan dienkripsi. Ini adalah praktik standar untuk mengamankan situs web e-niaga dan layanan keuangan lainnya secara online. Ayo Enkripsi adalah pelopor dalam implementasi SSL gratis dan dalam hal ini akan digunakan sebagai penyedia sertifikat.
Penting! CentOS Linux 8 telah mencapai End of Lifetime (EOL) pada 2021-12-31. Sementara CentOS Linux 7 masih didukung, itu akan mencapai EOL pada 2024-06-30. Kami menyarankan untuk mengingatnya saat memilih OS ini. Anda dapat membaca lebih lanjut tentang itu di situs web resmi mereka.
Yang Anda perlukan
Sebelum memulai panduan ini, Anda memerlukan hal berikut:
- Akses root SSH ke CentOS 7 VPS
- Server web Apache dengan domain dan vhost yang dikonfigurasi dengan benar
Langkah 1 — Memasang modul dependen
Untuk memasang certbot Anda harus menginstal EPEL repositori karena tidak tersedia secara default, mod_ssl juga diperlukan agar enkripsi dapat dikenali oleh Apache.
Untuk menginstal kedua dependensi ini, jalankan perintah ini:
yum install epel-release mod_ssl
Sekarang Anda harus siap untuk melangkah lebih jauh dan menginstal certbot itu sendiri.
Langkah 2 — Mengunduh klien Let's Encrypt
Selanjutnya, Anda akan menginstal klien certbot dari repositori EPEL:
yum install python-certbot-apache
Certbot sekarang harus diinstal dan tersedia untuk penggunaan sebenarnya.
Langkah 3 — Menyiapkan sertifikat SSL
Certbot akan menangani manajemen sertifikat SSL dengan cukup mudah, ini akan menghasilkan sertifikat baru untuk domain yang disediakan sebagai parameter.
Dalam hal ini, example.com akan digunakan sebagai domain yang sertifikatnya akan diterbitkan:
certbot --apache -d example.com
Jika Anda ingin membuat SSL untuk beberapa domain atau subdomain, jalankan perintah ini:
certbot --apache -d example.com -d www.example.com
Penting! Domain pertama harus menjadi domain dasar Anda, dalam contoh ini adalah example.com
Saat menginstal sertifikat, Anda akan disajikan dengan panduan langkah demi langkah yang memungkinkan Anda menyesuaikan detail sertifikat. Anda akan dapat memilih antara memaksakan HTTPS atau meninggalkan HTTP sebagai protokol default, memberikan alamat email juga diperlukan untuk tujuan keamanan.
Setelah penginstalan selesai, Anda akan melihat pesan serupa:
IMPORTANT NOTES: - If you lose your account credentials, you can recover through e-mails sent to [email protected]. - Congratulations! Your certificate and chain have been saved at /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire on 2016-04-21. To obtain a new version of the certificate in the future, simply run Let's Encrypt again. - Your account credentials have been saved in your Let's Encrypt configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Let's Encrypt so making regular backups of this folder is ideal. - If you like Let's Encrypt, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Langkah 4 — Menyiapkan perpanjangan otomatis sertifikat
Sertifikat Let's Encrypt berlaku selama 90 hari, tetapi setiap profesional web akan merekomendasikan Anda untuk memperbaruinya dalam waktu 60 hari untuk menghindari masalah apa pun. Untuk mencapai ini, certbot akan membantu kami dengan renew memerintah. Ini akan memeriksa apakah sertifikat kurang dari 30 hari dari kedaluwarsa.
Silakan jalankan perintah ini untuk melanjutkan:
certbot renew
Jika sertifikat yang diinstal masih baru, certbot hanya akan memeriksa tanggal kedaluwarsanya:
Processing /etc/letsencrypt/renewal/example.com.conf The following certs are not due for renewal yet: /etc/letsencrypt/live/example.com/fullchain.pem (skipped) No renewals were attempted.
Untuk mengotomatiskan proses pembaruan ini, Anda dapat mengatur tugas cron. Pertama, buka crontab:
crontab -e
Pekerjaan ini dapat dijadwalkan dengan aman untuk dijalankan setiap Senin tengah malam:
0 0 * * 1 /usr/bin/certbot renew >> /var/log/sslrenew.log
Output skrip akan disalurkan ke /var/log/sslrenew.log berkas.
Kesimpulan
Anda baru saja mengamankan server web Apache Anda dengan menerapkan fitur keamanan yang paling dinanti – sertifikat SSL gratis! Mulai sekarang semua lalu lintas antara server dan klien dienkripsi, Anda dapat yakin bahwa tidak ada yang dapat mencegat komunikasi dan mengubah atau mencuri informasi penting.