Cara Amankan Apache Menggunakan Let’s Encrypt di Ubuntu 18.04
- Edi Sumarsono
- Dec 28, 2019
- 4 min read
Cara Amankan Apache Menggunakan Let’s Encrypt di Ubuntu 18.04 – Let’s Encrypt adalah otoritas sertifikat SSL yang dibuat oleh Internet Security Research Group (ISRG). Ini memberikan sertifikat SSL gratis melalui proses terotomatisasi sepenuhnya yang dirancang untuk menghilangkan pembuatan sertifikat manual, validasi, instalasi, dan update.
Sertifikat SSL yang dikeluarkan oleh Let’s Encrypt dipercaya oleh semua browser terbaik dan populer hari ini. Dan sertifikat SSL Let’s Encrypt gratis ini di dukung oleh raksasa perusahaan teknologi seperti Google, Facebook, Mozilla dan lainnya.
Dalam tutorial ini, saya akan memberikan petunjuk langkah demi langkah tentang cara mengamankan web server Apache Anda menggunakan sertifikat SSL Let’s Encrypt menggunakan certbot tool di Ubuntu 18.04.
Daftar Isi
Persyaratan
Pastikan Anda telah memenuhi persyaratan berikut ini sebelum melanjutkan dengan tutorial Cara Amankan Apache menggunakan SSL Let’s Encrypt di Ubuntu 18.04 ini:
Nama domain menunjuk ke IP server publik Anda. Disini saya akan menggunakan contoh domain example.com.
Anda telah instal Apache dan mengatur Apache virtual host untuk domain Anda, Anda bisa membaca panduan disini.
Cara Instal Certbot
Certbot adalah alat berfitur lengkap dan mudah digunakan yang dapat mengotomatisasi tugas-tugas untuk memperoleh dan memperbarui sertifikat SSL Let’s Encrypt dan konfigurasi web server. Paket certbot sudah termasuk dalam repositori Ubuntu default.
Silahkan Update daftar paket dan instal paket certbot di Ubuntu Anda dengan mengetikkan perintah berikut:
$ sudo apt update$ sudo apt install certbot
Generate Strong Dh (Diffie-Hellman) Group
Pertukaran kunci Diffie – Hellman (DH) adalah metode pertukaran kunci kriptografi yang aman melalui saluran komunikasi yang tidak aman. Saya akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan web server saya:
$ sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
Jika Anda mau, Anda dapat mengubah ukurannya hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada system entropy.
Mendapatkan Sertifikat SSL Let’s Encrypt
Untuk mendapatkan sertifikat SSL Let’s Encrypt untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge. Server Let’s Encrypt akan membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.
Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke direktori tunggal, /var/lib/letsencrypt.
Perintah berikut akan membuat direktori dan membuatnya dapat ditulis untuk server Apache.
$ sudo mkdir -p /var/lib/letsencrypt/.well-known$ sudo chgrp www-data /var/lib/letsencrypt$ sudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode, buat dua snippet konfigurasi berikut:
/etc/apache2/conf-available/letsencrypt.conf
/etc/apache2/conf-available/ssl-params.conf
Snippet di atas menggunakan chipper yang direkomendasikan oleh Cipherli.st, yang memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan menegakkan beberapa header HTTP yang berfokus pada keamanan.
Sebelum mengaktifkan file konfigurasi, pastikan mod_ssl dan mod_headers diaktifkan dengan mengetikkan perintah:
$ sudo a2enmod ssl$ sudo a2enmod headers
Selanjutnya, aktifkan file konfigurasi SSL dengan menjalankan perintah berikut:
$ sudo a2enconf letsencrypt$ sudo a2enconf ssl-params
Aktifkan modul HTTP / 2, yang akan membuat situs Anda lebih cepat dan lebih kuat:
$ sudo a2enmod http2
Muat ulang konfigurasi Apache agar perubahan diterapkan:
$ sudo systemctl reload apache2
Sekarang, kita dapat menjalankan Certbot tool dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik:
Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:
Sekarang Anda sudah memiliki file sertifikat, edit konfigurasi virtual host domain Anda sebagai berikut:
/etc/apache2/sites-available/example.com.conf
Dengan konfigurasi di atas, saya memaksa HTTPS dan mengalihkan dari versi www ke versi non-www. Anda bebas untuk menyesuaikan konfigurasi sesuai dengan kebutuhan Anda.
Muat ulang layanan Apache agar perubahan diterapkan:
$ sudo systemctl reload apache2
Anda sekarang dapat membuka situs web Anda menggunakan https://, dan Anda akan melihat ikon kunci hijau pada ujung browser Anda.
Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A+, seperti yang ditunjukkan gambar di bawah ini:
Perpanjangan otomatis Sertifikat SSL Let’s Encrypt
Sertifikat Let’s Encrypt berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis memperbarui sertifikat apa pun 30 hari sebelum berakhir.
Setelah sertifikat diperbarui, saya juga harus memuat ulang layanan Apache. Tambahkan --renew-hook "systemctl reload apache2" ke file /etc/cron.d/certbot sehingga terlihat seperti berikut:
Untuk menguji proses update, Anda dapat menggunakan switch certbot --dry-run:
$ sudo certbot renew --dry-run
Jika tidak ada kesalahan, itu berarti proses update telah berhasil.
Kesimpulan
Dalam tutorial panduan ubuntu ini, Anda amankan Apache menggunakan Let’s Encrypt client certbot, untuk mengunduh sertifikat SSL untuk domain Anda. Anda juga telah membuat snippet Apache untuk menghindari duplikasi kode dan mengkonfigurasi Apache untuk menggunakan sertifikat. Di akhir tutorial, Anda juga telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.
Jika Anda ingin mempelajari lebih lanjut tentang cara menggunakan Certbot, Anda dapat mempelajarinya sendiri melalui dokumentasi resmi certbot disini.
Informasi lebih lanjut :
Comments