Let’s Encrypt adalah certificate authority terbuka dan gratis  yang dikembangkan oleh Internet Security Research Group (ISRG). Sertifikat yang dikeluarkan oleh Let’s Encrypt dipercaya oleh hampir semua browser hari ini.

Dalam tutorial ini, kami akan memberikan petunjuk langkah demi langkah tentang cara mengamankan Apache dengan Let’s Encrypt menggunakan certbot tool di CentOS 8.

Kami juga akan menunjukkan cara mengkonfigurasi Apache untuk menggunakan sertifikat SSL dan mengaktifkan HTTP/2.

Prasyarat

Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan tutorial ini:

  • Memiliki nama domain yang menunjuk ke IP server publik. Dalam tutorial ini kita akan menggunakan domain example.com.
  • Apache terinstall dan berjalan di server dengan pengaturan virtual host untuk domain.
  • Pengaturan firewall yang mengizinkan akses ke ports 80 dan 443.

Instal paket-paket berikut yang diperlukan untuk web server  agar terenkripsi SSL:

sudo dnf install mod_ssl openssl

Ketika paket mod_ssl diinstal, itu akan membuat self-signed key dan file sertifikat untuk localhost. Jika file tidak dibuat secara otomatis, Anda dapat membuatnya menggunakan perintah openssl:

sudo openssl req -newkey rsa:4096 -x509 -sha256 -days 3650 -nodes \
-out /etc/pki/tls/certs/localhost.crt \
-keyout /etc/pki/tls/private/localhost.key

Install Certbot

Certbot adalah alat baris perintah gratis yang menyederhanakan proses untuk memperoleh dan memperbarui sertifikat SSL Let’s Encrypt dan mengaktifkan secara otomatis di server Anda.

Paket certbot tidak termasuk dalam repositori standar CentOS 8, tetapi dapat diunduh dari situs web vendor.

Jalankan perintah wget berikut sebagai user root atau sudo untuk mengunduh skrip certbot ke direktori /usr/local/bin:

sudo wget -P /usr/local/bin https://dl.eff.org/certbot-auto

Setelah unduhan selesai, buat file agar dapat dieksekusi:

sudo chmod +x /usr/local/bin/certbot-auto

Membuat Sertifikat Dh (Diffie-Hellman)

Diffie–Hellman key exchange (DH) adalah metode pertukaran kunci kriptografi yang aman di saluran komunikasi yang tidak aman. Kita akan membuat key exchange DH 2048 bit baru untuk memperkuat keamanan:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Anda juga dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada kemampuan pemrosesan sistem Anda.

Memperoleh sertifikat SSL Let’s Encrypt

Untuk memperoleh sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori ${webroot-path}/.well-known/acme-challenge. Server Let’s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan ke server tempat certbot berjalan.

Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk .well-known/acme-challengeke satu direktori, /var/lib/letsencrypt.

Perintah berikut akan membuat direktori dan membuatnya writable oleh Apache server.

sudo mkdir -p /var/lib/letsencrypt/.well-known
sudo chgrp apache /var/lib/letsencrypt
sudo chmod g+s /var/lib/letsencrypt

Untuk menghindari duplikasi kode, buat dua snippet berikut :

sudo nano /etc/httpd/conf.d/letsencrypt.conf
Alias /.well-known/acme-challenge/ "/var/lib/letsencrypt/.well-known/acme-challenge/"
<Directory "/var/lib/letsencrypt/">
    AllowOverride None
    Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
    Require method GET POST OPTIONS
</Directory>

Buat snippet ssl-params.conf yang mencakup chipper yang direkomendasikan oleh Mozilla, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan memberlakukan beberapa header HTTP yang berfokus pada keamanan.

sudo nano /etc/httpd/conf.d/ssl-params.conf
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
# Requires Apache 2.4.36 & OpenSSL 1.1.1
SSLProtocol -all +TLSv1.3 +TLSv1.2
SSLOpenSSLConfCmd Curves X25519:secp521r1:secp384r1:prime256v1
# Older versions
# SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
# Requires Apache >= 2.4
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
# Requires Apache >= 2.4.11
SSLSessionTickets Off

SSLOpenSSLConfCmd DHParameters "/etc/ssl/certs/dhparam.pem"

Reload konfigurasi Apache agar perubahan diterapkan:

sudo systemctl reload httpd

Sekarang, Anda dapat menjalankan skrip certbot dengan plugin webroot dan mengambil file sertifikat SSL:

sudo /usr/local/bin/certbot-auto certonly --agree-tos --email [email protected] --webroot -w /var/lib/letsencrypt/ -d example.com -d www.example.com

Jika berhasil, certbot akan mencetak pesan berikut:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2020-01-26. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Sekarang semuanya sudah diatur, edit konfigurasi virtual host domain Anda sebagai berikut:

sudo nano /etc/httpd/conf.d/example.com.conf
<VirtualHost *:80>
  ServerName example.com
  ServerAlias www.example.com

  Redirect permanent / https://example.com/
</VirtualHost>

<VirtualHost *:443>
  ServerName example.com
  ServerAlias www.example.com

  Protocols h2 http:/1.1

  <If "%{HTTP_HOST} == 'www.example.com'">
    Redirect permanent / https://example.com/
  </If>

  DocumentRoot /var/www/example.com/public_html
  ErrorLog /var/log/httpd/example.com-error.log
  CustomLog /var/log/httpd/example.com-access.log combined

  SSLEngine On
  SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
  SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem

  # Other Apache Configuration

</VirtualHost>

Konfigurasi di atas adalah memaksa HTTPS dan mengalihkan dari versi www ke versi non-www. Konfigurasi ini juga memungkinkan akses protokol HTTP/2, yang akan membuat situs Anda lebih cepat dan lebih kuat. Silahkan untuk menyesuaikan konfigurasi sesuai dengan kebutuhan Anda.

Restart layanan Apache jika Anda telah selesai dengan konfigurasi di atas :

sudo systemctl restart httpd

Buka situs web Anda menggunakan https://, dan Anda akan melihat ikon gembok. Atau Jika menguji domain Anda menggunakan  SSL Labs Server, Anda akan mendapatkan nilai  A+, seperti yang ditunjukkan pada gambar di bawah:

CentOS https

Perpanjang Otomatis Sertifikat SSL Let’s Encrypt

Sertifikat Let’s Encrypt’s berlaku selama 90 hari. Untuk secara otomatis memperbarui sertifikat sebelum habis masa berlakunya, paket certbot membuat cronjob yang berjalan dua kali sehari dan secara otomatis akan memperbarui sertifikat apa pun dalam kurun waktu 30 hari sebelum masa berlaku sertifikat berakhir.

Jalankan perintah berikut untuk membuat cronjob baru yang akan memperbarui sertifikat dan restart Apache:

echo "0 0,12 * * * root python3 -c 'import random; import time; time.sleep(random.random() * 3600)' && /usr/local/bin/certbot-auto -q renew --renew-hook \"systemctl reload httpd\"" | sudo tee -a /etc/crontab > /dev/null

Untuk menguji proses pembaruan sertifikat , Anda dapat menggunakan perintah berikut :

sudo /usr/local/bin/certbot-auto renew --dry-run

Jika tidak ada kesalahan, berarti proses pembaruan berhasil.

Kesimpulan

Dalam tutorial ini, kita berdiskusi tentang cara menggunakan sertifikat Let’s Encrypt di CentOS, dan cara mendapatkan sertifikat SSL untuk domain. Selain itu kita juga membahas cara mengkonfigurasi Apache untuk menggunakan sertifikat dan mengatur cronjob untuk pembaruan sertifikat otomatis.

Untuk mempelajari lebih lanjut tentang skrip Certbot, kunjungi dokumentasi Certbot.