Karena otoritas sertifikat dapat menerbitkan beberapa sertifikat dalam bentuk struktur pohon, terkadang sertifikat CA perantara yang dikeluarkan oleh otoritas sertifikasi bawahan sangat penting untuk menjaga “rantai kepercayaan”. Ini memastikan bahwa verifikasi identitas melalui sertifikat kunci publik dapat dilakukan dan dipercaya dengan baik, terutama ketika membangun koneksi aman melalui Transport Layer Security (TLS) dan/atau Secure Sockets Layer (SSL). Jika tidak, Anda mungkin menerima peringatan bahwa sertifikat ditandatangani oleh “otoritas yang tidak dipercaya”.
Pada dasarnya, sertifikat CA root digunakan untuk menandatangani dan menerbitkan sertifikat yang pada gilirannya digunakan untuk menandatangani dan menerbitkan sertifikat digital entitas akhir atau domain untuk individu dan perusahaan. Setiap sertifikat digital dapat memiliki nol atau lebih rantai sertifikat CA yang diperpanjang hingga sertifikat CA root.
Jadi, Anda perlu menginstal sertifikat CA perantara agar browser memercayai sertifikat Anda, jika otoritas penandatanganan sertifikat Anda menyertakan sertifikat atau bundel CA perantara (rantai kepercayaan). Faktanya, CA paling populer menggunakan sertifikat CA perantara.
Cara Mendapatkan Sertifikat CA Menengah
Bergantung pada Otoritas Sertifikat, beberapa CA mungkin mengirimkan email berisi file bundel sertifikat yang berisi sertifikat CA perantara, atau Anda dapat mengunduh Sertifikat CA Menengah yang diperlukan dari repositori CA. Beberapa repositori unduhan CA yang umum adalah:
Comodo:https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/1/which-is-root-which-is-intermediate
GlobalSign:https://support.globalsign.com/customer/portal/topics/538410-root-certificates/articles
Symantec Verisign:https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR657
GoDaddy:https://certs.godaddy.com/repository
DigiCert:https://www.digicert.com/digicert-root-certificates.htm
StartCom StartSSL:https://www.startssl.com/certs/
TrustWave:https://ssl.trustwave.com/support/support-root-download.php
Cara Memasang Sertifikat CA Menengah (Sertifikat Rantai)
- Salin Sertifikat CA Menengah dalam format PEM (sertifikat DER yang disandikan base64 yang dapat diidentifikasi dengan teks tidak bermakna yang diapit di antara “—–BEGIN CERTIFICATE—–” dan “—–END CERTIFICATE—–“) ke server, dan letakkan di direktori yang sama dengan sertifikat SSL dan file kunci pribadi. Misalnya, direktori /home/techjourney/ssl/cert.
- Temukan arahan SSL berikut di httpd.conf atau ssl.conf atau file konfigurasi Apache yang menyatakan pengaturan SSL. Perhatikan bahwa jika Anda menggunakan Host Virtual berbasis nama melalui direktif NameVirtualHost, Anda harus menemukan segmen <:VirtualHost> yang sesuai yang mendefinisikan situs domain Anda, dan memodifikasi arahan SSL di sana (terima kasih atas Indikasi Nama Server (SNI), sekarang Anda dapat menghosting beberapa situs web aman SSL pada satu alamat IP, karena SNI memungkinkan klien untuk menunjukkan nama host mana yang coba disambungkan pada awal proses handshaking).
Bergantung pada versi Apache Anda, tetapkan nilai arahan SSL ini ke jalur absolut dan nama file dari berbagai sertifikat SSL. Jika Anda sudah mengonfigurasi SSL, Anda hanya perlu memperhatikan SSLCertificateChainFile atau SSLCACertificatePath untuk menginstal sertifikat CA perantara.
Di Apache versi 2.4.7 atau lebih lama (<=2.4.7):
SSLCertificateFile Jalur ke sertifikat SSL, mis. /home/techjourney/ssl.cert SSLCertificateKeyFile Jalur ke file kunci pribadi, mis. /home/techjourney/ssl.key SSLCertificateChainFile Jalur ke sertifikat atau bundel CA perantara, mis. /home/techjourney/ca.bundle.pem Di Apache versi 2.4.8 atau yang lebih baru (>=2.4.8):
NoteSSLCertificateChainFile tidak digunakan lagi sejak Apache 2.4.8. Di Apache 2.4.8, SSLCertificateFile diperluas untuk juga memuat sertifikat CA perantara dari file sertifikat server. Artinya, jika Otoritas Sertifikat penandatanganan memberi Anda entitas akhir atau sertifikat domain yang juga menyertakan sertifikat CA perantara, Anda dapat menghilangkan SSLCACertificatePath.SSLCertificateFile Jalur ke sertifikat SSL, mis. /home/techjourney/ssl.cert SSLCertificateKeyFile Jalur ke file kunci pribadi, mis. /home/techjourney/ssl.key SSLCACertificatePath Jalur ke sertifikat atau bundel CA perantara, mis. /home/techjourney/ca.bundle.pem - Simpan file konfigurasi Apache.
- Mulai ulang Apache:
service httpd restart
Atau,
service apache2 restart
Atau,
systemctl httpd restart
Atau,
systemctl apache2 restart
- Virtualmin:Pilih server virtual (situs web atau domain) jika Anda harus menginstal sertifikat CA perantara. Lalu, buka Konfigurasi Server -> Kelola Sertifikat SSL -> Sertifikat CA . Pilih salah satu cara untuk memberikan sertifikat CA, yaitu dalam file di server jika Anda sudah mengunggah sertifikat CA ke host, mengunggah file atau teks sertifikat yang ditempel . Klik Simpan Sertifikat setelah selesai, dan sertifikat CA akan dimuat melalui arahan SSLCACertificatePath.
Anda juga dapat mengedit arahan server virtual secara manual dengan membuka Layanan -> Konfigurasikan Situs Web untuk SSL -> Edit Arahan , berguna jika Anda lebih suka arahan SSLCertificateChainFile untuk memberikan sertifikat CA perantara.
- cPanel WHM:Buka Daftar Akun pada menu sebelah kiri, dan klik simbol cPanel di sebelah host yang ingin Anda instal sertifikat CA perantara.
Di cPanel, pilih Pengelola SSL/TLS di bawah "Keamanan". Kemudian, klik Kelola situs SSL di bawah “Aktifkan SSL di Situs Web Anda (HTTPS) “. Pilih nama domain yang sesuai dari kotak drop-down. Kemudian, rekatkan sertifikat ke Sertifikat:(CRT) kotak teks, tempel kunci pribadi yang didekripsi ke Kunci:(KEY) kotak teks dan tempel konten sertifikat CA ke dalam Certificate Authority Bundle:(CABUNDLE) kolom tulisan. Tekan Pasang Sertifikat setelah selesai.