Let’s Encrypt adalah certificate authority terbuka dan gratis yang dikembangkan oleh Internet Security Research Group(ISRG). Sertifikat yang dikeluarkan oleh Let’s Encrypt dipercaya oleh hampir semua browser hari ini.
Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara mengamankan Nginx Anda dengan Let’s Encrypt menggunakan certbot tool di CentOS 7.
Persyaratannya adalah :Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan tutorial ini:
- Anda memiliki nama domain yang menunjuk ke IP server publik Anda. Dalam tutorial ini kita akan menggunakan domain example.com.
- Telah mengaktifkan EPEL repository dan Nginx yang telah terinstal dengan mengikuti tutorial Cara Install Nginx di CentOS 7.
Install Certbot Certbot adalah tools berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let’s Encrypt. Certbot juga akan mengatur segala konfigurasi web server agar langsung dapat menggunakan sertifikat. Untuk menginstal paket certbot dari repositori EPEL jalankan perintah berikut :
Membuat Sertifikat Dh (Diffie-Hellman) Key Exchange Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi yang aman di saluran komunikasi yang tidak aman. Kita akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:
Jika masih paranoid, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada kemampuan pemrosesan sistem Anda. Memperoleh sertifikat SSL Let’s Encrypt Untuk memperoleh sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori
Server Let’s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan permintaan data ke server tempat certbot berjalan. Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challenge ke satu direktori, /var/lib/letsencrypt Perintah berikut akan membuat direktori dan membuatnya writable oleh Nginx server.
sudo chgrp nginx /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt
Untuk menghindari duplikasi kode, buat dua snippet berikut yang akan kita sertakan dalam semua file server blok Nginx. Buka editor teks Anda dan buat snippet letsencrypt.conf:
location ^~ /.well-known/acme-challenge/ {
allow all;
allow all;
root /var/lib/letsencrypt/;
default_type “text/plain”;
try_files $url=404;
}
Buat snippet ssl.conf yang mencakup chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.
ssl_dhparam /etc/ssl/certs/dhparam.pem;
sudo chmod g+s /var/lib/letsencrypt
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
ssl_ciphers ‘ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS’; ssl_prefer_server_ciphers on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
Setelah snippets dibuat, buka server block domain dan sertakan snippet letsencrypt.conf seperti yang ditunjukkan di bawah ini:
server {
listen 80;
server_name example.com www.example.com;
server_name example.com www.example.com;
include snippets/letsencrypt.conf;
}
Restart layanan Nginx agar perubahan diterapkan:
Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik perintah :
Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:
– Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/example.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/example.com/privkey.pem
Your cert will expire on 2018-06-11. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
“certbot renew”
– If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Sekarang Anda memiliki file sertifikat, Anda dapat mengedit server block domain Anda sebagai berikut:
listen 80;
server_name www.example.com example.com;
include snippets/letsencrypt.conf;
return 301 https://$host$request_uri;
}
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_url;
}
listen 443 ssl http2;
server_name www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
include snippets/letsencrypt.conf;
# . . . other code
}
Dengan konfigurasi di atas kita memaksa menggunakan HTTPS dan mengalihkan dari versi www ke versi non www. Restart layanan Nginx agar perubahan diterapkan:
Cara Perpanjang Otomatis Sertifikat SSL Let’s Encrypt Sertifikat Let’s Encrypt’s berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis akan memperbarui sertifikat apa pun dalam kurun waktu 30 hari sebelum masa berlaku sertifikat berakhir. Jalankan perintah crontab untuk membuat cronjob baru:
Copy dan paste baris berikut:
Simpan dan tutup file. Dengan cara
1. ESC nanti akan muncul tanda : dibawah kiri layar
2. lalu ketikkan wq
3. tekan Enter pada keyboard Untuk menguji proses pembaruan, Anda dapat menggunakan perintah certbot diikuti oleh pernyataan --dry-run
:
Jika tidak ada kesalahan, itu berarti bahwa proses pembaruan tes berhasil. Semoga tutorial kali ini bisa membantu kawan-kawan sekalian. Terimakasih