Let’s Encrypt adalah Otoritas Sertifikat (CA) yang menyediakan cara mudah untuk mendapatkan dan memasang sertifikat TLS / SSL gratis, sehingga memungkinkan HTTPS terenkripsi di server web. Ini menyederhanakan proses dengan menyediakan klien perangkat lunak, Certbot, yang mencoba mengotomatiskan sebagian besar (jika tidak semua) langkah yang diperlukan. Saat ini, seluruh proses untuk mendapatkan dan menginstal sertifikat sepenuhnya otomatis di Apache dan Nginx.
Dalam tutorial ini, Anda akan menggunakan Certbot untuk mendapatkan sertifikat SSL gratis untuk Nginx di Ubuntu 16.04 dan mengatur sertifikat Anda untuk memperbarui secara otomatis.
Tutorial ini menggunakan file konfigurasi Nginx default, bukan file blok server terpisah. Kami merekomendasikan membuat file blok server Nginx baru untuk setiap domain karena membantu menghindari beberapa kesalahan umum dan mempertahankan file default sebagai konfigurasi fallback seperti yang dimaksudkan. Jika Anda ingin menyiapkan SSL menggunakan blok server, Anda dapat mengikuti blok server Nginx ini dengan tutorial Let’s Encrypt.
Prasyarat
Untuk mengikuti tutorial ini, Anda membutuhkan:
Satu server Ubuntu 16.04 disiapkan dengan mengikuti pengaturan server awal untuk tutorial Ubuntu 16.04 ini, termasuk pengguna sudo non-root dan firewall.
Nama domain yang terdaftar sepenuhnya. Tutorial ini akan menggunakan example.com. Anda dapat membeli nama domain di Namecheap, mendapatkannya secara gratis di Freenom, atau menggunakan registrar domain pilihan Anda.
Kedua data DNS berikut disiapkan untuk server Anda. Anda dapat mengikuti tutorial nama host ini untuk detail tentang cara menambahkannya.
Rekam A dengan example.com mengarah ke alamat IP publik server Anda.
Rekam A dengan www.example.com mengarah ke alamat IP publik server Anda.
Nginx diinstal dengan mengikuti Cara Menginstal Nginx di Ubuntu 16.04.
Langkah 1 – Menginstal Certbot
Langkah pertama dalam menggunakan Let’s Encrypt untuk mendapatkan sertifikat SSL adalah memasang perangkat lunak Certbot di server Anda.
Certbot sedang dalam pengembangan yang sangat aktif, sehingga paket Certbot yang disediakan oleh Ubuntu cenderung sudah ketinggalan zaman. Namun, pengembang Certbot mempertahankan repositori perangkat lunak Ubuntu dengan versi terbaru, jadi kami akan menggunakan repositori itu.
Pertama, tambahkan repositori.
sudo add-apt-repository ppa: certbot / certbot
Anda perlu menekan ENTER untuk menerima. Kemudian, perbarui daftar paket untuk mengambil informasi paket repositori baru.
sudo apt-get update
Dan terakhir, instal paket Nginx Certbot dengan apt-get.
sudo apt-get install python-certbot-nginx
Certbot sekarang siap digunakan, tetapi agar dapat mengkonfigurasi SSL untuk Nginx, kita perlu memverifikasi beberapa konfigurasi Nginx.
Langkah 2 – Menyiapkan Nginx
Certbot dapat secara otomatis mengkonfigurasi SSL untuk Nginx, tetapi ia harus dapat menemukan blok server yang benar di konfigurasi Anda. Ini dilakukan dengan mencari perintah nama_server yang cocok dengan domain yang Anda minta sertifikatnya.
Jika Anda memulai dengan pemasangan Nginx baru, Anda dapat memperbarui file konfigurasi default. Buka dengan nano atau editor teks favorit Anda.
sudo nano / etc / nginx / sites-available / default
Temukan baris server_name yang ada dan ganti garis bawah, _, dengan nama domain Anda:
/ etc / nginx / sites-available / default
. . .
server_name example.com www.example.com;
. . .
Simpan file dan keluar dari editor Anda.
Kemudian, verifikasi sintaks pengeditan konfigurasi Anda.
sudo nginx -t
Jika Anda mendapatkan kesalahan apa pun, buka kembali file dan periksa kesalahan ketik, lalu uji lagi.
Setelah sintaks konfigurasi Anda benar, muat ulang Nginx untuk memuat konfigurasi baru.
sudo systemctl memuat ulang nginx
Certbot sekarang dapat menemukan blok server yang benar dan memperbaruinya. Selanjutnya, kami akan memperbarui firewall kami untuk mengizinkan lalu lintas HTTPS.
Langkah 3 – Mengizinkan HTTPS Melalui Firewall
Jika Anda telah mengaktifkan firewall ufw, seperti yang direkomendasikan oleh panduan prasyarat, Anda perlu menyesuaikan setelan untuk mengizinkan lalu lintas HTTPS. Untungnya, Nginx mendaftarkan beberapa profil dengan ufw setelah instalasi.
Anda dapat melihat pengaturan saat ini dengan mengetik:
sudo ufw status
Ini mungkin akan terlihat seperti ini, artinya hanya lalu lintas HTTP yang diizinkan ke server web:
Keluaran
Status: aktif
Untuk Bertindak Dari
– —— —-
OpenSSH IZINKAN Di Mana Saja
Nginx HTTP IZINKAN Di Mana Saja
OpenSSH (v6) IZINKAN Di Mana Saja (v6)
Nginx HTTP (v6) IZINKAN Di Mana Saja (v6)
Untuk tambahan membiarkan lalu lintas HTTPS, kita dapat mengizinkan profil Nginx Penuh dan kemudian menghapus tunjangan profil HTTP Nginx yang berlebihan:
sudo ufw memungkinkan ‘Nginx Full’
sudo ufw delete izinkan ‘Nginx HTTP’
Status Anda akan terlihat seperti ini sekarang:
sudo ufw status
Keluaran
Status: aktif
Untuk Bertindak Dari
– —— —-
OpenSSH IZINKAN Di Mana Saja
Nginx Full IZINKAN Di Mana Saja
OpenSSH (v6) IZINKAN Di Mana Saja (v6)
Nginx Penuh (v6) IZINKAN Di Mana Saja (v6)
Kami sekarang siap menjalankan Certbot dan mengambil sertifikat kami.
Langkah 4 – Mendapatkan Sertifikat SSL
Certbot menyediakan berbagai cara untuk mendapatkan sertifikat SSL, melalui berbagai plugin. Plugin Nginx akan menangani konfigurasi ulang Nginx dan memuat ulang konfigurasi kapan pun diperlukan:
sudo certbot –nginx -d example.com -d www.example.com
Ini menjalankan certbot dengan –nginx plugin, menggunakan -d untuk menentukan nama yang kami ingin sertifikat tersebut divalidasi.
Jika ini adalah pertama kalinya Anda menjalankan certbot, Anda akan diminta untuk memasukkan alamat email dan menyetujui persyaratan layanan. Setelah melakukannya, certbot akan berkomunikasi dengan server Let’s Encrypt, kemudian menjalankan tantangan untuk memverifikasi bahwa Anda mengontrol domain yang Anda minta sertifikatnya.
Jika berhasil, certbot akan bertanya bagaimana Anda ingin mengonfigurasi setelan HTTPS Anda.
Output
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):Pilih pilihan Anda lalu tekan ENTER. Konfigurasi akan diperbarui, dan Nginx akan memuat ulang untuk mengambil pengaturan baru. certbot akan diakhiri dengan pesan yang memberi tahu Anda bahwa proses tersebut berhasil dan di mana sertifikat Anda disimpan:
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
expire on 2017-10-23. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again with the
"certonly" option. To non-interactively renew *all* of your
certificates, run "certbot renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-leSertifikat Anda diunduh, diinstal, dan dimuat. Coba muat ulang situs web Anda menggunakan https: // dan perhatikan indikator keamanan browser Anda. Ini harus menunjukkan bahwa situs tersebut diamankan dengan baik, biasanya dengan ikon gembok hijau. Jika Anda menguji server Anda menggunakan Tes Server Lab SSL, itu akan mendapatkan nilai A.
Mari selesaikan dengan menguji proses pembaruan.
Langkah 5 – Memverifikasi Perpanjangan Otomatis Certbot
Sertifikat Let’s Encrypt hanya berlaku selama sembilan puluh hari. Ini untuk mendorong pengguna mengotomatiskan proses perpanjangan sertifikat mereka. Paket certbot yang kami pasang menangani ini untuk kami dengan menjalankan ‘certbot renew’ dua kali sehari melalui timer systemd. Pada distribusi non-systemd, fungsionalitas ini disediakan oleh skrip yang ditempatkan di /etc/cron.d. Tugas ini berjalan dua kali sehari dan akan memperbarui sertifikat apa pun yang dalam waktu tiga puluh hari kedaluwarsa.
Untuk menguji proses pembaruan, Anda dapat melakukan uji coba dengan certbot:
sudo certbot renew –dry-run
Jika Anda tidak melihat kesalahan, Anda sudah siap. Jika perlu, Certbot akan memperbarui sertifikat Anda dan memuat ulang Nginx untuk mengambil perubahan. Jika proses perpanjangan otomatis pernah gagal, Let’s Encrypt akan mengirimkan pesan ke email yang Anda tentukan, memperingatkan Anda ketika sertifikat Anda akan segera kedaluwarsa.
Kesimpulan
Dalam tutorial ini, Anda memasang Let’s Encrypt client certbot, mengunduh sertifikat SSL untuk domain Anda, mengkonfigurasi Nginx untuk menggunakan sertifikat ini, dan menyiapkan perpanjangan sertifikat otomatis. Jika Anda memiliki pertanyaan lebih lanjut tentang penggunaan Certbot, dokumentasi mereka adalah tempat yang baik untuk memulai.
