Beranda CentOS Cara Konfigurasi Apache dengan Let’s Encrypt di CentOS 7

CentOS

Cara Konfigurasi Apache dengan Let’s Encrypt di CentOS 7

Let’s Encrypt adalah Certificate Authority (CA) yang menyediakan cara mudah untuk mendapatkan dan menginstal sertifikat TLS/SSL dengan gratis, sehingga memungkinkan HTTPS terenkripsi pada server web.

Let’s Encrypt menyederhanakan proses dengan menyediakan klien perangkat lunak, Certbot, yang mencoba mengotomatisasi sebagian besar langkah-langkah yang diperlukan. Saat ini, seluruh proses mulai dari memperoleh dan menginstal sertifikat sepenuhnya otomatis di Apache dan Nginx.

Kami sarankan Anda untuk menguji setiap tutorial atau panduan yang ada di Internet di virtual machine (vmware atau virtualbox) sebelum menerapkan ke server produksi, agar tidak mengacaukan sistem yang berjalan ketika ada kesalahan.

Prasyarat

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan tutorial ini:

Anda memiliki nama domain yang menunjuk ke IP server publik Anda. Dalam tutorial ini kita akan menggunakan domain example.com.
Apache sudah diinstal dan berjalan di server Anda.
Memiliki Apache virtual host untuk domain Anda.
Pengaturan Firewall dengan Port 80 dan 443 terbuka.

Instal paket-paket berikut yang diperlukan untuk server web terenkripsi SSL:

yum install mod_ssl openssl

Install Certbot

Certbot adalah tools berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let’s Encrypt. Certbot juga akan mengatur segala konfigurasi web server agar langsung dapat menggunakan sertifikat.

Jika di sistem Anda belum terinstal repositori EPEL, jalankan perintah berikut :

sudo yum install epel-release

Setelah repositori EPEL diaktifkan, instal paket certbot dengan mengetik:

sudo yum install certbot

Membuat Sertifikat Dh (Diffie-Hellman) Key Exchange

Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi yang aman di saluran komunikasi yang tidak aman. Kita akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Jika masih paranoid, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada kemampuan pemrosesan sistem Anda.

Memperoleh sertifikat SSL Let’s Encrypt

Untuk memperoleh sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge.

Server Let’s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan permintaan data ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challengeke satu direktori, /var/lib/letsencrypt.

Perintah berikut akan membuat direktori dan membuatnya writable oleh Apache server.

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp apache /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua snippet berikut

sudo nano /etc/httpd/conf.d/letsencrypt.conf

Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

Simpan dan tutup snippet di atas, dan kemudian buat lagi snippet berikut :

sudo nano /etc/httpd/conf.d/ssl-params.conf

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

Snippet di atas menggunakan chipper yang direkomendasikan oleh Cipherli.st, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan menerapkan beberapa HTTP header yang berfokus pada keamanan.

Reload konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload httpd

Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik perintah :

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-12-07. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Versi default Apache di CentOS 7 adalah versi 2.4.6 yang tidak ada terdapat directive SSLOpenSSLConfCmd. directive ini hanya tersedia di Apache 2.4.8 dan digunakan untuk konfigurasi parameter OpenSSL seperti Diffie-Hellman key exchange (DH).

Kami akan membuat file gabungan baru menggunakan sertifikat SSL Let’s Encrypt dan file DH yang telah kita buat tadi. Untuk melakukan ini, ketik:

cat /etc/letsencrypt/live/example.com/cert.pem /etc/ssl/certs/dhparam.pem >/etc/letsencrypt/live/example.com/cert.dh.pem

Sekarang semuanya sudah diatur, edit konfigurasi virtual host domain Anda sebagai berikut:

sudo nano /etc/httpd/conf.d/example.com.conf

<VirtualHost *:80>
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog /var/log/httpd/example.com-error.log
  CustomLog /var/log/httpd/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/cert.dh.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
  SSLCertificateChainFile /etc/letsencrypt/live/example.com/chain.pem

  # Other Apache Configuration

</VirtualHost>

Dengan konfigurasi di atas kita memaksa untuk selalu menggunakan koneksi HTTPS dan redirect dari versi www ke versi non www. Silahkan untuk menyesuaikan konfigurasi di atas sesuai dengan kebutuhan Anda.

Restart Apache service setelah selesai mengatur virtual host di atas:

sudo systemctl restart httpd

Anda sekarang dapat membuka situs web Anda menggunakan https:// dan Anda akan melihat ikon hijau.

Jika Anda menguji domain Anda menggunakan SSL Labs Server Test, Anda akan mendapatkan nilai A + seperti yang ditunjukkan di bawah ini:

Cara Perpanjang Otomatis Sertifikat SSL Let’s Encrypt

Sertifikat Let’s Encrypt’s berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis akan memperbarui sertifikat apa pun dalam kurun waktu 30 hari sebelum masa berlaku sertifikat berakhir.

Jalankan perintah crontab untuk membuat cronjob baru:

sudo crontab -e

Copy dan paste baris berikut:

0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx"

Simpan dan tutup file.

Untuk menguji proses pembaruan, Anda dapat menggunakan perintah certbot diikuti oleh pernyataan --dry-run :