Cara Konfigurasi Apache dengan Let]s Encrypt di CentOS 7

Let’s Encrypt adalah Certificate Authority (CA) yang menyediakan cara mudah untuk mendapatkan dan menginstal sertifikat TLS/SSL dengan gratis, sehingga memungkinkan HTTPS terenkripsi pada server web.

Let’s Encrypt menyederhanakan proses dengan menyediakan klien perangkat lunak, Certbot, yang mencoba mengotomatisasi sebagian besar langkah-langkah yang diperlukan. Saat ini, seluruh proses mulai dari memperoleh dan menginstal sertifikat sepenuhnya otomatis di Apache dan Nginx.

Kami sarankan Anda untuk menguji setiap tutorial atau panduan yang ada di Internet di virtual machine (vmware atau virtualbox) sebelum menerapkan ke server produksi, agar tidak mengacaukan sistem yang berjalan ketika ada kesalahan.

*Prasyarat*

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan tutorial ini:

· Anda memiliki nama domain yang menunjuk ke IP server publik Anda. Dalam tutorial ini kita akan menggunakan domain” example.com. · Apache sudah diinstal dan berjalan di server Anda. · Memiliki Apache virtual host untuk domain Anda. · Pengaturan Firewall dengan Port 80 dan 443 terbuka.

Instal paket-paket berikut yang diperlukan untuk server web terenkripsi SSL:

yum install mod_ssl openssl

*Install Certbot*

Certbot adalah tools berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let”€™s Encrypt. Certbot juga akan mengatur segala konfigurasi web server agar langsung dapat menggunakan sertifikat.

Jika di sistem Anda belum terinstal” repositori EPEL, jalankan perintah berikut :

sudo yum install epel-release

Setelah repositori EPEL diaktifkan, instal paket certbot dengan mengetik:

sudo yum install certbot

*Membuat Sertifikat Dh (Diffie-Hellman) Key Exchange*

Diffie”€“Hellman key exchange (DH)” adalah metode pertukaran kunci kriptografi yang aman di saluran komunikasi yang tidak aman. Kita akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Jika masih paranoid, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada kemampuan pemrosesan sistem Anda.

*Memperoleh sertifikat SSL” Let”€™s Encrypt*

Untuk memperoleh sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori” ${webroot-path}/.well-known/acme-challenge.

Server Let”€™s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan permintaan data ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk” .well-known/acme-challengeke satu direktori,” /var/lib/letsencrypt.

Perintah berikut akan” membuat direktori” dan membuatnya writable oleh”  Apache server.

sudo mkdir -p /var/lib/letsencrypt/.well-known sudo chgrp apache /var/lib/letsencrypt sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua snippet berikut

sudo nano /etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ “/var/lib/letsencrypt/.well-known/acme-challenge/” AllowOverride None Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec Require method GET POST OPTIONS

Simpan dan tutup snippet di atas, dan kemudian buat lagi snippet berikut :

sudo nano /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1 SSLHonorCipherOrder On Header always set Strict-Transport-Security “max-age=63072000; includeSubDomains; preload” Header always set X-Frame-Options DENY Header always set X-Content-Type-Options nosniff # Requires Apache >= 2.4 SSLCompression off SSLUseStapling on SSLStaplingCache “shmcb:logs/stapling-cache(150000)” # Requires Apache >= 2.4.11 SSLSessionTickets Off

Snippet di atas menggunakan chipper yang direkomendasikan oleh Cipherli.st, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan menerapkan beberapa HTTP header yang berfokus pada keamanan.

Reload konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload httpd

Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik perintah :

sudo certbot certonly –agree-tos –email admin@example.com –webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES: – Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.com/privkey.pem Your cert will expire on 2018-12-07. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run “certbot renew” – If you like Certbot, please consider supporting our work by:

Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Versi default Apache di CentOS 7 adalah”  versi 2.4.6 yang tidak ada terdapat directive SSLOpenSSLConfCmd. directive ini hanya tersedia di Apache 2.4.8 dan digunakan untuk konfigurasi parameter OpenSSL seperti Diffie-Hellman key exchange (DH).

Kami akan membuat file gabungan baru menggunakan sertifikat SSL Let”€™s Encrypt dan file DH yang telah kita buat tadi. Untuk melakukan ini, ketik:

cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem

Sekarang semuanya sudah diatur, edit konfigurasi virtual host domain Anda sebagai berikut:

sudo nano /etc/httpd/conf.d/example.com.conf

ServerName example.com ServerAlias www.example.com

Redirect permanent / https://example.com/

ServerName example.com ServerAlias www.example.com

Redirect permanent / https://example.com/

DocumentRoot /var/www/example.com/public_html ErrorLog /var/log/httpd/example.com-error.log CustomLog /var/log/httpd/example.com-access.log combined

SSLEngine On SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

# Other Apache Configuration

Dengan konfigurasi di atas kita memaksa untuk selalu menggunakan koneksi” *HTTPS* dan redirect dari versi *www* ke versi *non www*. Silahkan untuk menyesuaikan konfigurasi di atas sesuai dengan kebutuhan Anda.

Restart Apache service setelah selesai mengatur virtual host di atas:

sudo systemctl restart httpd

Anda sekarang dapat membuka situs web Anda menggunakan https:// dan Anda akan melihat ikon hijau.

Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A + seperti yang ditunjukkan di bawah ini:

*Cara Perpanjang Otomatis Sertifikat SSL Let”€™s Encrypt*

Sertifikat Let”€™s Encrypt”€™s berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat” cronjob” yang berjalan dua kali sehari dan secara otomatis akan memperbarui sertifikat apa pun dalam kurun waktu 30 hari sebelum masa berlaku sertifikat berakhir.

Jalankan perintah” crontab” untuk membuat cronjob baru:

sudo crontab -e

Copy dan paste” baris berikut:

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e ‘sleep int(rand(3600))’ && certbot -q renew –renew-hook “systemctl reload nginx”

Simpan dan tutup file.

Untuk menguji proses pembaruan, Anda dapat menggunakan perintah certbot diikuti oleh pernyataan” –dry-run” :

sudo certbot renew –dry-run

Jika tidak ada kesalahan, itu berarti bahwa proses pembaruan tes berhasil.

*Kesimpulan*

Dalam tutorial ini, Anda menggunakan klien Let”€™s Encrypt, certbot untuk mengunduh sertifikat SSL untuk domain Anda.

Anda juga telah membuat snippets Apache untuk menghindari duplikasi kode dan mengonfigurasi Apache webserver untuk menggunakan sertifikat.

Di akhir tutorial Anda telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.

Leave a Reply

Your email address will not be published.