Cara Menggunakan HTTPS di Arch Linux Webserver

• Prasyarat
• Aman Melayani Melalui HTTPS
• Dapatkan Sertifikat SSL / TLS
• Konfigurasikan Server Web Anda untuk Menggunakan Kunci Pribadi dan Sertifikat

Prasyarat

• Server Vultr menjalankan Arch Linux yang terbaru (lihat artikel ini .)
• Server web yang berjalan, baik Apache atau Nginx
• Akses sudo
  • Perintah yang diperlukan untuk dijalankan sebagai root diawali oleh #, dan perintah yang dapat dijalankan sebagai pengguna biasa oleh $. Cara yang disarankan untuk menjalankan perintah sebagai root adalah, sebagai pengguna biasa, awali masing-masing sudo.
• Siapkan editor teks, dan kenali itu, seperti vi, vim, nano, emacs atau editor serupa lainnya.

Aman Melayani Melalui HTTPS

Melayani konten melalui HTTPS dapat menggunakan enkripsi yang sangat kuat, sehingga tidak ada yang memotong lalu lintas antara pengguna dan server web dapat membacanya. Itu tidak hanya mengenkripsi lalu lintas itu sendiri, tetapi juga URL yang sedang diakses, yang sebaliknya dapat mengekspos informasi. Untuk beberapa waktu, Google telah sebagian menentukan peringkat pencarian berdasarkan apakah suatu halaman menggunakan HTTPS, sebagai bagian dari inisiatif HTTPS Everywhere.

Catatan : pencarian DNS tidak mengekspos nama domain yang terhubung, tetapi seluruh URL tidak terbuka selama proses itu.

Dapatkan Sertifikat SSL / TLS

Secara teknis, TLS menggantikan SSL untuk Sertifikat HTTPS, tetapi, sebagian besar tempat terus memanggil Sertifikat TLS dengan istilah SSL Certificate yang lebih populer. Mengikuti penggunaan umum, panduan ini akan melakukan hal yang sama.

Untuk menggunakan HTTPS, server web Anda memerlukan kunci pribadi ( .key) agar dapat digunakan secara pribadi, dan sertifikat ( .crt) untuk dibagikan secara publik yang mencakup kunci publik. Sertifikat harus ditandatangani. Anda dapat menandatanganinya sendiri, tetapi browser modern akan mengeluh bahwa mereka tidak mengenali penandatangan. Sebagai contoh, Chrome akan menampilkan: Your connection is not private. Attackers might be trying to steal your information... NET::ERR_CERT_AUTHORITY_INVALID. Jika hanya sekelompok orang pribadi yang akan menggunakan situs web, ini dapat diterima, karena browser akan memungkinkan cara untuk melanjutkan. Misalnya, di Chrome, klik "Lanjutan", lalu "Lanjutkan ke ... (tidak aman)"; itu akan tetap menampilkan "Tidak aman" dan mencoret "https".

Perhatikan bahwa proses ini akan menanyakan negara Anda, negara bagian / negara, wilayah, organisasi, unit organisasi, dan nama-nama umum, dan alamat email Anda; yang semuanya dapat diakses di peramban siapa pun yang terhubung ke situs Anda melalui HTTPS.

Perhatikan juga bahwa jika Anda memberikan sertifikat host virtual, Anda harus memberikan nama file berbeda di bawah ini, dan arahkan ke mereka dalam konfigurasi virtual host Anda.

Ubah ke direktori yang tepat untuk server web Anda.

Jika Anda menginstal Apache:

$ cd /etc/httpd/conf

Jika Anda menginstal Nginx:

$ cd /etc/nginx

Setelah berada di direktori yang benar, buat kunci pribadi ( server.key) dan sertifikat yang ditandatangani sendiri ( server.crt):

# openssl req -new -x509 -nodes -newkey rsa:4096 -keyout server.key -out server.crt -days 825

Tetapkan izin hanya baca, dan hanya izinkan kunci pribadi untuk dibaca oleh root:

# chmod 400 server.key
# chmod 444 server.crt

Atau, Anda dapat memperoleh sertifikat yang ditandatangani oleh otoritas sertifikat tepercaya. Anda dapat membayar berbagai perusahaan (otoritas sertifikat) untuk menandatangani sertifikat Anda untuk Anda. Saat mempertimbangkan otoritas sertifikat, penting untuk melihat browser mana dan versi mana yang akan mengenalinya. Beberapa otoritas sertifikat yang lebih baru mungkin tidak diakui sebagai yang lebih resmi daripada sertifikat yang ditandatangani sendiri pada versi browser lama.

Anda biasanya tidak hanya memerlukan alamat IP publik, tetapi juga nama domain. Beberapa otoritas sertifikat dapat mengeluarkan sertifikat ke alamat IP publik, tetapi jarang dilakukan.

Banyak penyedia menawarkan uji coba 30 hari gratis, yang direkomendasikan untuk memulai sehingga Anda dapat memastikan prosesnya bekerja untuk Anda sebelum Anda membayarnya. Harga dapat bervariasi dari beberapa dolar per tahun hingga ratusan, tergantung pada jenis apa itu dan opsi seperti beberapa domain atau sub-domain. Sertifikat standar hanya akan menunjukkan bahwa otoritas penandatangan telah memverifikasi orang yang memperoleh sertifikat dapat melakukan perubahan pada domain. Sertifikat Validasi Diperpanjang juga akan menunjukkan otoritas penandatanganan melakukan beberapa uji tuntas memeriksa pemohon dan akan, di browser modern, menampilkan bilah hijau di atau dekat URL. Saat memverifikasi bahwa Anda dapat membuat perubahan pada domain, beberapa otoritas penandatanganan akan meminta Anda untuk menerima email di alamat yang terdengar penting dengan nama domain, seperti[email protected]. Banyak yang menawarkan verifikasi alternatif, seperti memberi Anda file untuk ditempatkan di server Anda, seperti menempatkan file mereka di /srv/http/.well-known/pki-validation/untuk Apache atau /usr/share/nginx/html/.well-known/pki-validation/untuk Nginx, untuk konfigurasi direktori hosting tunggal; atau untuk sementara membuat entri CNAME yang mereka berikan di catatan DNS domain Anda.

Otoritas penandatanganan yang Anda pilih mungkin memiliki langkah yang sedikit berbeda, tetapi sebagian besar akan menerima prosedur berikut:

Di direktori yang tepat, buat kunci pribadi ( server.key):

# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key

Setel kunci pribadi menjadi hanya-baca, hanya dengan root:

# chmod 400 server.key

Buat permintaan penandatanganan sertifikat ( server.csr). Anda harus memasukkan nama domain saat diminta Common Name, dan Anda dapat mengosongkan kata sandi tantangan:

# openssl req -new -sha256 -key server.key -out server.csr

Setel permintaan penandatanganan sertifikat menjadi hanya-baca, hanya dengan root:

# chmod 400 server.csr

Lihat isi permintaan penandatanganan sertifikat. Informasi ini disandikan base64, sehingga akan terlihat seperti karakter acak:

# cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
.....
-----END CERTIFICATE REQUEST-----

Pergi melalui proses otoritas penandatanganan Anda, dan ketika diminta untuk menempel di CSR Anda, salin dan tempelkan seluruh file ini termasuk -----baris. Bergantung pada otoritas penandatanganan yang Anda pilih dan jenis sertifikat, mereka mungkin segera memberi Anda sertifikat yang ditandatangani, atau mungkin beberapa hari. Setelah mereka memberi Anda sertifikat yang ditandatangani, salin (termasuk -----BEGIN CERTIFICATE-----dan -----END CERTIFICATE-----baris) ke file bernama server.crt, di direktori yang tepat, diberikan di atas untuk server web Anda, dan atur menjadi read-only:

# chmod 444 server.crt

Konfigurasikan Server Web Anda untuk Menggunakan Kunci Pribadi dan Sertifikat

Jika Anda menggunakan firewall, Anda harus mengaktifkan lalu lintas TCP yang masuk ke port 443.

Untuk Apache

Edit /etc/httpd/conf/httpd.confdan batalkan komentar pada baris-baris ini:

LoadModule ssl_module modules/mod_ssl.so
LoadModule socache_shmcb_module modules/mod_socache_shmcb.so
Include conf/extra/httpd-ssl.conf

Catatan jika Anda menggunakan host virtual, membuat perubahan di atas untuk /etc/httpd/conf/httpd.confakan menggunakan sertifikat yang sama di semua host. Untuk memberikan masing-masing host sertifikatnya sendiri untuk menghindari browser mengeluh tentang sertifikat yang tidak cocok dengan nama domain, Anda perlu mengedit masing-masing file konfigurasi mereka /etc/httpd/conf/vhosts/untuk menunjuk ke sertifikat dan kunci pribadi:

• Ubah <VirtualHost *:80>ke <VirtualHost *:80 *:443>.

• Di dalam VirtualHostbagian tersebut, tambahkan berikut ini:

  SSLEngine on
  SSLCertificateFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.crt"
  SSLCertificateKeyFile "/etc/httpd/conf/YOUR-DOMAIN-NAME.com.key"
  

Mulai ulang Apache:

# systemctl restart httpd

Untuk Nginx

Edit /etc/nginx/nginx.confdan dekat bagian bawah, batalkan komentar pada HTTPS serverbagian dan ubah baris menjadi yang berikut:

ssl_certificate      server.crt;
ssl_certificate_key  server.key;
root                /usr/share/nginx/html;

Catatan jika Anda menggunakan host virtual, membuat perubahan di atas untuk /etc/nginx/nginx.confakan mengirim semua host ke lokasi itu. Untuk memberikan masing-masing host sertifikatnya sendiri, Anda perlu mengedit masing-masing file konfigurasinya /etc/nginx/sites-enabled/untuk memiliki blok server tambahan untuk menunjuk ke sertifikat dan kunci privasinya sendiri:

server {
    listen 443 ssl;
    server_name YOUR-DOMAIN-NAME.com;

    ssl_certificate      YOUR-DOMAIN-NAME.com.crt;
    ssl_certificate_key  YOUR-DOMAIN-NAME.com.key;

    ssl_session_cache   shared:SSL:1m;
    ssl_session_timeout 5m;

    ssl_ciphers  HIGH:!aNULL:!MD5;
    ssl_prefer_server_ciphers  on;

    location / {
        root /usr/share/nginx/YOUR-DOMAIN-NAME.com;
        index  index.html index.htm;
    }
}

Mulai Ulang Nginx:

# systemctl restart nginx