Let’s Encrypt adalah certificate authority terbuka dan gratis  yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let’s Encrypt dipercaya oleh hampir semua browser hari ini.

Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara mengamankan Nginx Anda dengan Let’s Encrypt menggunakan certbot tool di CentOS 8.

Kami juga akan menunjukkan cara mengkonfigurasi Nginx untuk menggunakan sertifikat SSL dan mengaktifkan HTTP/2.

Prasyarat

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan tutorial ini:

  • Memiliki nama domain yang menunjuk ke IP server publik. Dalam tutorial ini kita akan menggunakan domain example.com.
  • Masuk sebagai user biasa dengan hak akses sudo.
  • Memiliki Nginx yang terkonfigurasi dengan mengikuti instruksi ini
  • Pengaturan firewall yang mengizinkan akses ke ports 80 dan 443.

Install Certbot

Certbot adalah alat baris perintah gratis yang menyederhanakan proses untuk memperoleh dan memperbarui sertifikat SSL Let’s Encrypt dan mengaktifkan secara otomatis di server Anda.

Paket certbot tidak termasuk dalam repositori standar CentOS 8, tetapi dapat diunduh dari situs web vendor.

Jalankan perintah wget berikut sebagai user root atau sudo untuk mengunduh skrip certbot ke direktori /usr/local/bin:

sudo wget -P /usr/local/bin https://dl.eff.org/certbot-auto

Setelah unduhan selesai, buat file agar dapat dieksekusi:

sudo chmod +x /usr/local/bin/certbot-auto

Membuat Sertifikat Dh (Diffie-Hellman)

Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi yang aman di saluran komunikasi yang tidak aman. Kita akan membuat key exchange DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Anda juga dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada kemampuan pemrosesan sistem Anda.

Memperoleh sertifikat SSL Let’s Encrypt

Untuk memperoleh sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge. Server Let’s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challengeke satu direktori, /var/lib/letsencrypt.

Perintah berikut akan membuat direktori dan membuatnya writable oleh Nginx server.

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp www-data /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua snippet berikut yang akan kita sertakan dalam semua file server blok Nginx.

Buka teks editor dan buat snippet letsencrypt.conf:

sudo nano /etc/nginx/snippets/letsencrypt.conf

location ^~ /.well-known/acme-challenge/ {
  allow all;
  root /var/lib/letsencrypt/;
  default_type "text/plain";
  try_files $uri =404;
}

Buat snippet ssl.conf yang mencakup chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.

sudo nano /etc/nginx/snippets/ssl.conf
ssl_dhparam /etc/ssl/certs/dhparam.pem;

ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

ssl_stapling on;
ssl_stapling_verify on;

resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 30s;

add_header Strict-Transport-Security "max-age=63072000" always;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

Setelah snippets dibuat, buka server block domain dan sertakan snippet letsencrypt.conf seperti yang ditunjukkan di bawah ini:

sudo nano /etc/nginx/sites-available/example.com
server {
  listen 80;
  server_name example.com www.example.com;

  include snippets/letsencrypt.conf;
}

Untuk mengaktifkan file server block baru, kita perlu membuat Symlink dari file ke direktori sites-enabled, yang merupakan folder pertama yang akan dibaca oleh Nginx saat startup:

sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

Restart layanan Nginx agar perubahan diterapkan:

sudo systemctl restart nginx

Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan menerbitkan perintah berikut :

sudo certbot certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jangan lupa untuk menganti [email protected]  dan example.com dengan email dan alamat domain Anda.

Jika proses pendaftaran sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-03-22. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Sekarang Anda memiliki file sertifikat, langkah selanjutnya adalah mengedit server block untuk domain sebagai berikut

sudo nano /etc/nginx/sites-available/example.com
server {
    listen 80;
    server_name www.example.com example.com;

    include snippets/letsencrypt.conf;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name www.example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

   # Pengaturan untuk www ke no-www
    return 301 https://example.com$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
    include snippets/ssl.conf;
    include snippets/letsencrypt.conf;

    # . . .dan kode yang lain
}

Dengan konfigurasi di atas akan memaksa nginx untuk menggunakan HTTPS dan redirect dari www ke non-www.

Restart atau reload Nginx service agar perubahan diterapkan:

sudo systemctl reload nginx

Buka situs web Anda menggunakan https://, dan Anda akan melihat ikon gembok. Atau Jika menguji domain Anda menggunakan  SSL Labs Server, Anda akan mendapatkan nilai  A+, seperti yang ditunjukkan pada gambar di bawah:

CentOS https

Perpanjang Otomatis Sertifikat SSL Let’s Encrypt

Sertifikat Let’s Encrypt’s berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis akan memperbarui sertifikat apa pun dalam kurun waktu 30 hari sebelum masa berlaku sertifikat berakhir.

Karena kita menggunakan plug-in webroot certbot setelah sertifikat diperbarui, kita juga harus memuat ulang layanan nginx. Tambahkan --renew-hook "systemctl reload nginx" ke file /etc/cron.d/certbot sehingga terlihat seperti ini:

sudo nano /etc/cron.d/certbot
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx

Untuk menguji proses pembaruan sertifikat , Anda dapat menggunakan perintah berikut :

sudo certbot renew --dry-run

Jika tidak ada kesalahan, berarti proses pembaruan berhasil.

Kesimpulan

Dalam tutorial ini, kami telah menunjukkan kepada Anda cara menggunakan klien Let’s Encrypt, certbot untuk mengunduh sertifikat SSL untuk domain Anda.

Kami juga membuat snippets Nginx untuk menghindari duplikasi kode dan mengonfigurasi Nginx untuk menggunakan sertifikat. Di akhir tutorial, kami telah menyiapkan cronjob untuk perpanjangan sertifikat otomatis.

Untuk mempelajari lebih lanjut tentang Certbot, kunjungi halaman dokumentasinya.

Related Post

Cara Install Webmin Terbaru di CentOS/RHEL dan Fedora
Cara Install dan Konfigurasi FFmpeg di CentOS 7
Cara Konfigurasi dan Manajemen Firewall di CentOS 8
Cara Mudah Disable SELinux di CentOS 7
Cara Install, Konfigurasi dan Menggunakan AIDE di CentOS 8
Cara Install dan Konfigurasi Elasticsearch di CentOS 8
Cara Install dan Konfigurasi Phorum di Nginx CentOS 7
Tutorial Install dan Menggunakan Vagrant di CentOS 8
Cara Install dan Konfigurasi Memcached di CentOS 8