Let’s Encrypt dikembangkan oleh Internet Security Research Group (ISRG) yang memungkinkan semua website di internet memperoleh sertifikat SSL dengan gratis dan terpercaya.
Pembahasan dalam tutorial ini akan menunjukkan cara memproteksi Nginx server dengan Let’s Encrypt menggunakan certbot tool pada Ubuntu 18.04.
Persiapan
Pastikan beberapa hal berikut ini sudah dilakukan lebih dulu.
- Domain sudah diset mengarah ke IP server. Artikel ini akan menggunakan domain
contoh.com - Nginx sudah terpasang. Jika belum, silahkan ikuti langkahnya pada artikel berikut ini.
Article No Longer Available
Instalasi Certbot
Certbot adalah tool yang akan memudahkan dalam proses membuat, memperpanjang, dan mengatur penggunaan sertifikat SSL dari Let’s Encrypt.
Untuk mendaftarkan certbot, jalankan perintah berikut secara berurutan. Perintah pada baris terakhir akan membutuhkan waktu yang agak lama, harap sabar menunggu hingga selesai.
sudo apt install certbot sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048 Pendaftaran sertifikat SSL dari Let’s Encrypt
Jalankan perintah berikut secara berurutan.
mkdir -p /var/lib/letsencrypt/.well-known chgrp www-data /var/lib/letsencrypt chmod g+s /var/lib/letsencrypt Langkah selanjutnya adalah dengan membuat 2 (dua) buah file snippet yang dibutuhkan, yaitu file letsencrypt.conf dan ssl.conf. Untuk membuat file yang pertama, jalankan perintah ini.
vi /etc/nginx/snippets/letsencrypt.conf Pada editor teks yang terbuka, salin kode dibawah ini.
location ^~ /.well-known/acme-challenge/ { allow all; root /var/lib/letsencrypt/; default_type "text/plain"; try_files $uri =404; } Simpan perubahan, dan lanjutkan dengan menjalankan perintah berikut ini untuk membuat file yang kedua.
vi /etc/nginx/snippets/ssl.conf Pada editor teks yang terbuka, salin kode berikut.
ssl_dhparam /etc/ssl/certs/dhparam.pem; ssl_session_timeout 1d; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 30s; add_header Strict-Transport-Security "max-age=15768000; includeSubdomains; preload"; add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; Simpan perubahan, selanjutnya tambahkan file letsencrypt.conf pada server block milik domain contoh.com
sudo vi /etc/nginx/sites-available/contoh.com Tambahkan baris kode berikut ini dalam file tersebut.
include snippets/letsencrypt.conf; Konfigurasinya akan terlihat seperti ini.
server { listen 80; server_name example.com www.example.com; include snippets/letsencrypt.conf; } Simpan perubahannya, dan jalankan perintah berikut untuk mengaktifkannya.
sudo ln -s /etc/nginx/sites-available/contoh.com /etc/nginx/sites-enabled/ Jika muncul pesan “File exists” seperti dibawah ini, abaikan saja dan lanjutkan ke langkah berikut. Pesan ini berarti symbolic link untuk file ini sudah ada, dan itu bukanlah sebuah masalah.
ln: failed to create symbolic link '/etc/nginx/sites-enabled/contoh.com': File exists Langkah berikutnya, restart Nginx.
sudo systemctl restart nginx Sesudah restart, jalankan perintah berikut untuk mendaftarkan sertifikat SSL untuk server block domain yang baru dibuat diatas.
sudo certbot certonly --agree-tos --email admin@contoh.com --webroot -w /var/lib/letsencrypt/ -d contoh.com -d www.contoh.com Output yang dihasilkan apabila sertifikat SSL berhasil diperoleh, akan terlihat seperti dibawah ini.
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/contoh.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/contoh.com/privkey.pem Your cert will expire on 2019-07-28. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le Sekarang setelah sertifikat SSL sudah diperoleh, edit kembali file konfigurasi server block.
sudo vi /etc/nginx/sites-available/contoh.com Untuk editor teks yang muncul, salin dan update dengan menggunakan kode dibawah ini.
server { listen 80; server_name www.contoh.com contoh.com; root /var/www/contoh.com/public_html; index index.html; include snippets/letsencrypt.conf; access_log /var/log/nginx/contoh.com.access.log; error_log /var/log/nginx/contoh.com.error.log; location / { try_files $uri $uri/ =404; } return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.contoh.com; root /var/www/contoh.com/public_html; index index.html; ssl_certificate /etc/letsencrypt/live/contoh.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/contoh.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/contoh.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; return 301 https://contoh.com$request_uri; } server { listen 443 ssl http2; server_name contoh.com; root /var/www/contoh.com/public_html; index index.html; ssl_certificate /etc/letsencrypt/live/contoh.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/contoh.com/privkey.pem; ssl_trusted_certificate /etc/letsencrypt/live/contoh.com/chain.pem; include snippets/ssl.conf; include snippets/letsencrypt.conf; # . . . kode lainnya } Dengan kode diatas, domain contoh.com akan dipaksa menggunakan https sekaligus redirect akses menggunakan www.contoh.com ke contoh.com (non-www).
Simpan perubahannya dan reload Nginx.
sudo systemctl reload nginx Buka browser, lalu akses dengan menggunakan https://contoh.com
Perpanjang otomatis sertifikat SSL
Sertifikat SSL Let’s Encrypt berlaku selama 90 hari. Untuk membuatnya otomatis memperpanjang sertifikat yang akan habis masa berlakunya, certbot membuat sebuah cronjob yang berjalan sebanyak 2x tiap hari, dan akan langsung memperpanjang sertifikat yang akan habis masa berlaku dalam 30 hari.
Berikut ini adalah cara untuk membuat cronjob yang akan memperpanjang otomatis sertifikat SSL yang akan expired, sekaligus melakukan reload pada Nginx.
Pertama, edit cronjob milik certbot dengan perintah ini.
sudo vi /etc/cron.d/certbot Ubah baris cronjob yang sudah ada menjadi seperti dibawah ini.
0 */12 * * * root test -x /usr/bin/certbot -a \! -d /run/systemd/system && perl -e 'sleep int(rand(3600))' && certbot -q renew --renew-hook "systemctl reload nginx" Simpan perubahan diatas, selanjutnya untuk mengecek proses perpanjangan sertifikat SSL, bisa dicoba dengan perintah --dry-run berikut ini.
sudo certbot renew --dry-run Jika tidak muncul error, maka outputnya akan terlihat seperti ini.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates below have not been saved.) Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/contoh.com/fullchain.pem (success) ** DRY RUN: simulating 'certbot renew' close to cert expiry ** (The test certificates above have not been saved.) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - IMPORTANT NOTES: - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. Penutup
Sampai pada langkah ini, Let’s Encyrpt sudah terpasang dan akan secara otomatis memperpanjang sertifikat SSL sebelum masa aktif berakhir.
Untuk penjelasan detail bagaimana cara pengaturan Server Block milik Nginx, silahkan lihat artikel berikut ini.
Top comments (0)