Kami sarankan Anda untuk menguji setiap tutorial atau panduan yang ada di Internet di virtual machine (vmware<\/a> atau virtualbox<\/a>) sebelum menerapkan ke server produksi, agar tidak mengacaukan sistem yang berjalan ketika ada kesalahan.<\/p>\n Pastikan Anda telah memenuhi prasyarat berikut sebelum melanjutkan dengan tutorial ini:<\/p>\n Instal paket-paket berikut yang diperlukan untuk server web terenkripsi SSL:<\/p>\n Certbot adalah tools berfitur lengkap dan mudah digunakan yang dapat mengotomatiskan tugas untuk mendapatkan dan memperbarui sertifikat SSL Let\u2019s Encrypt. Certbot juga akan mengatur segala konfigurasi web server agar langsung dapat menggunakan sertifikat.<\/p>\n Jika di sistem Anda belum terinstal\u00a0repositori EPEL<\/a>, jalankan perintah berikut :<\/p>\n Setelah repositori EPEL diaktifkan, instal paket certbot dengan mengetik:<\/p>\n Diffie\u2013Hellman key exchange (DH)\u00a0adalah metode pertukaran kunci kriptografi yang aman di saluran komunikasi yang tidak aman. Kita akan menghasilkan set parameter DH 2048 bit baru untuk memperkuat keamanan:<\/p>\n Jika masih paranoid, Anda dapat mengubah ukuran hingga 4096 bit, tetapi dalam hal ini, pembuatannya dapat memakan waktu lebih dari 30 menit tergantung pada kemampuan pemrosesan sistem Anda.<\/p>\n Untuk memperoleh sertifikat SSL untuk domain, kita akan menggunakan plugin Webroot yang berfungsi dengan membuat file sementara untuk memvalidasi domain yang diminta dalam direktori\u00a0 Server Let\u2019s Encrypt membuat permintaan HTTP ke file sementara untuk memvalidasi bahwa domain yang diminta menyelesaikan permintaan data ke server tempat certbot berjalan.<\/p>\n Untuk membuatnya lebih sederhana, kita akan memetakan semua permintaan HTTP untuk\u00a0 Perintah berikut akan\u00a0membuat direktori<\/a>\u00a0dan membuatnya writable oleh\u00a0 Apache server.<\/p>\n Untuk menghindari duplikasi kode, buat dua snippet berikut<\/p>\n Simpan dan tutup snippet di atas, dan kemudian buat lagi snippet berikut :<\/p>\n Snippet di atas menggunakan chipper yang direkomendasikan oleh Cipherli.st<\/a>, memungkinkan OCSP Stapling, HTTP Strict Transport Security (HSTS) dan menerapkan beberapa HTTP header yang berfokus pada keamanan.<\/p>\n Reload konfigurasi Apache agar perubahan diterapkan:<\/p>\n Anda sekarang dapat menjalankan Certbot dengan plugin webroot dan mendapatkan file sertifikat SSL dengan mengetik perintah :<\/p>\n Jika sertifikat SSL berhasil diperoleh, certbot akan mencetak pesan berikut:<\/p>\n Versi default Apache di CentOS 7 adalah\u00a0 versi 2.4.6 yang tidak ada terdapat directive Kami akan membuat file gabungan baru menggunakan sertifikat SSL Let\u2019s Encrypt dan file DH yang telah kita buat tadi. Untuk melakukan ini, ketik:<\/p>\n Sekarang semuanya sudah diatur, edit konfigurasi virtual host domain Anda sebagai berikut:<\/p>\n Dengan konfigurasi di atas kita memaksa untuk selalu menggunakan koneksi\u00a0HTTPS<\/strong> dan redirect dari versi www<\/strong> ke versi non www<\/strong>. Silahkan untuk menyesuaikan konfigurasi di atas sesuai dengan kebutuhan Anda.<\/p>\n Restart Apache service setelah selesai mengatur virtual host di atas:<\/p>\n Anda sekarang dapat membuka situs web Anda menggunakan Jika Anda menguji domain Anda menggunakan SSL Labs Server Test<\/a>, Anda akan mendapatkan nilai A + seperti yang ditunjukkan di bawah ini:<\/p>\nPrasyarat<\/h2>\n
\n
example.com<\/code>.<\/li>\nyum install mod_ssl openssl<\/pre>\n
Install Certbot<\/h2>\n
sudo yum install epel-release<\/pre>\n
sudo yum install certbot<\/pre>\n
Membuat Sertifikat Dh (Diffie-Hellman) Key Exchange<\/h2>\n
sudo openssl dhparam -out \/etc\/ssl\/certs\/dhparam.pem 2048<\/pre>\n
Memperoleh sertifikat SSL\u00a0Let\u2019s Encrypt<\/h2>\n
${webroot-path}\/.well-known\/acme-challenge<\/code>.<\/p>\n.well-known\/acme-challenge<\/code>ke satu direktori,\u00a0\/var\/lib\/letsencrypt<\/code>.<\/p>\nsudo mkdir -p \/var\/lib\/letsencrypt\/.well-known
\nsudo chgrp apache \/var\/lib\/letsencrypt
\nsudo chmod g+s \/var\/lib\/letsencrypt<\/pre>\n
sudo nano \/etc\/httpd\/conf.d\/letsencrypt.conf<\/pre>\n
Alias \/.well-known\/acme-challenge\/ \"\/var\/lib\/letsencrypt\/.well-known\/acme-challenge\/\"
\n<Directory \"\/var\/lib\/letsencrypt\/\">
\n AllowOverride None
\n Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
\n Require method GET POST OPTIONS
\n<\/Directory><\/span><\/code><\/pre>\nsudo nano \/etc\/httpd\/conf.d\/ssl-params.conf<\/pre>\n
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
\nSSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
\nSSLHonorCipherOrder On
\nHeader always set Strict-Transport-Security \"max-age=63072000; includeSubDomains; preload\"
\nHeader always set X-Frame-Options DENY
\nHeader always set X-Content-Type-Options nosniff
\n# Requires Apache >= 2.4
\nSSLCompression off
\nSSLUseStapling on
\nSSLStaplingCache \"shmcb:logs\/stapling-cache(150000)\"
\n# Requires Apache >= 2.4.11
\nSSLSessionTickets Off<\/pre>\n
sudo systemctl reload httpd<\/pre>\n
sudo certbot certonly --agree-tos --email [email\u00a0protected]<\/a> --webroot -w \/var\/lib\/letsencrypt\/ -d example.com -d www.example.com<\/pre>\n
IMPORTANT NOTES:
\n - Congratulations! Your certificate and chain have been saved at:
\n \/etc\/letsencrypt\/live\/example.com\/fullchain.pem
\n Your key file has been saved at:
\n \/etc\/letsencrypt\/live\/example.com\/privkey.pem
\n Your cert will expire on 2018-12-07. To obtain a new or tweaked
\n version of this certificate in the future, simply run certbot
\n again. To non-interactively renew *all* of your certificates, run
\n \"certbot renew\"
\n - If you like Certbot, please consider supporting our work by:
\n
\n Donating to ISRG \/ Let's Encrypt: https:\/\/letsencrypt.org\/donate
\n Donating to EFF: https:\/\/eff.org\/donate-le<\/pre>\n
SSLOpenSSLConfCmd<\/code>. directive ini hanya tersedia di Apache 2.4.8 dan digunakan untuk konfigurasi parameter OpenSSL seperti Diffie-Hellman key exchange (DH).<\/p>\ncat \/etc\/letsencrypt\/live\/example.com\/cert.pem \/etc\/ssl\/certs\/dhparam.pem >\/etc\/letsencrypt\/live\/example.com\/cert.dh.pem<\/pre>\n
sudo nano \/etc\/httpd\/conf.d\/example.com.conf<\/pre>\n
<VirtualHost *:80>
\n ServerName example.com
\n ServerAlias www.example.com
\n
\n Redirect permanent \/ https:\/\/example.com\/
\n<\/VirtualHost>
\n
\n<VirtualHost *:443>
\n ServerName example.com
\n ServerAlias www.example.com
\n
\n <If \"%{HTTP_HOST} == 'www.example.com'\">
\n Redirect permanent \/ https:\/\/example.com\/
\n <\/If>
\n
\n DocumentRoot \/var\/www\/example.com\/public_html
\n ErrorLog \/var\/log\/httpd\/example.com-error.log
\n CustomLog \/var\/log\/httpd\/example.com-access.log combined
\n
\n SSLEngine On
\n SSLCertificateFile \/etc\/letsencrypt\/live\/example.com\/cert.dh.pem
\n SSLCertificateKeyFile \/etc\/letsencrypt\/live\/example.com\/privkey.pem
\n SSLCertificateChainFile \/etc\/letsencrypt\/live\/example.com\/chain.pem
\n
\n # Other Apache Configuration
\n
\n<\/VirtualHost><\/pre>\nsudo systemctl restart httpd<\/pre>\n
https:\/\/<\/code> dan Anda akan melihat ikon hijau.<\/p>\n![\"ssllabs](\"https:\/\/www.linuxid.net\/assets\/media\/how-to\/tutorial\/26030\/ssllabs-test-750x349.jpg\")
<\/a><\/p>\nCara Perpanjang Otomatis Sertifikat SSL Let\u2019s Encrypt<\/h2>\n