Setup Mari Mengenkripsi Dengan Nginx di Ubuntu 16.04

• Prasyarat
• Instal Certbot
• Mengkonfigurasi Nginx
• Memperoleh Mari Mengenkripsi sertifikat SSL
• Pembaruan otomatis
• Konfigurasi yang ditingkatkan

Let's Encrypt adalah Otoritas Sertifikat (CA) yang menyediakan sertifikat SSL gratis dengan klien otomatis. Dengan menggunakan sertifikat SSL Enkripsi Ayo, Anda dapat mengenkripsi lalu lintas antara situs web Anda dan pengunjung Anda. Seluruh prosesnya sederhana, dan pembaruan dapat dilakukan secara otomatis. Juga, perhatikan bahwa pemasangan atau pembaruan sertifikat tidak menyebabkan downtime.

Dalam tutorial ini, kami akan menggunakan Certbot untuk mendapatkan, menginstal, dan secara otomatis memperbarui sertifikat SSL Anda. Certbot sedang dikembangkan secara aktif oleh Electronic Frontier Foundation (EFF) dan merupakan klien yang direkomendasikan untuk Let's Encrypt.

Prasyarat

• Sebuah instance Vultr menjalankan Ubuntu 16.04
• Nama domain terdaftar yang menunjuk ke server Anda
• Nginx

Instal Certbot

Untuk mendapatkan sertifikat SSL Enkripsi Ayo, Anda harus menginstal klien Certbot di server Anda.

Tambahkan repositori. Tekan ENTERtombol ketika diminta untuk menerima.

add-apt-repository ppa:certbot/certbot

Perbarui daftar paket.

apt-get update

Lanjutkan dengan menginstal paket Nginx Certbot dan Certbot.

apt-get -y install python-certbot-nginx

Mengkonfigurasi Nginx

Certbot secara otomatis mengkonfigurasi SSL untuk Nginx, tetapi untuk melakukannya ia perlu menemukan blok server di file konfigurasi Nginx Anda. Ini dilakukan dengan mencocokkan server_namearahan dalam file konfigurasi dengan nama domain yang Anda minta sertifikat.

Jika Anda menggunakan file konfigurasi default, /etc/nginx/sites-available/defaultbukalah dengan editor teks seperti nanodan temukan server_namearahannya. Ganti garis bawah,, _dengan nama domain Anda sendiri:

nano /etc/nginx/sites-available/default

Setelah mengedit file konfigurasi, server_namearahan akan terlihat sebagai berikut. Dalam contoh ini, saya berasumsi bahwa domain Anda adalah example.com dan Anda meminta sertifikat untuk example.com dan www.example.com.

server_name example.com www.example.com;

Lanjutkan dengan memverifikasi sintaks editan Anda.

nginx -t

Jika sintaks sudah benar, restart Nginx untuk menggunakan konfigurasi baru. Jika Anda mendapatkan pesan kesalahan, buka kembali file konfigurasi dan periksa apakah ada kesalahan ketik, lalu coba lagi.

systemctl restart nginx

Memperoleh Mari Mengenkripsi sertifikat SSL

Perintah berikut akan mendapatkan sertifikat untuk Anda. Edit konfigurasi Nginx Anda untuk menggunakannya, dan muat ulang Nginx.

certbot --nginx -d example.com -d www.example.com

Anda juga dapat meminta sertifikat SSL untuk domain tambahan. Cukup tambahkan opsi " -d" sebanyak yang Anda suka.

certbot --nginx -d example.com -d www.example.com -d example.net -d example.net

Jika Anda hanya ingin mendapatkan sertifikat dari Let's Encrypt tanpa menginstalnya secara otomatis, Anda dapat menggunakan perintah berikut. Ini membuat perubahan sementara pada konfigurasi Nginx Anda untuk mendapatkan sertifikat dan mengembalikannya setelah sertifikat diunduh.

certbot --nginx certonly -d example.com -d www.example.com

Jika Anda menjalankan Certbot untuk pertama kalinya, Anda akan diminta untuk memasukkan alamat email dan menyetujui persyaratan layanan. Alamat surel ini akan digunakan untuk pemberitahuan pembaruan dan keamanan. Setelah Anda memberikan alamat email, Certbot akan meminta sertifikat dari Let's Encrypt dan menjalankan tantangan untuk memverifikasi bahwa Anda mengendalikan domain yang dimaksud.

Jika Certbot dapat memperoleh sertifikat SSL, ia akan bertanya bagaimana Anda ingin mengonfigurasi HTTPSpengaturan Anda . Anda dapat mengarahkan pengunjung yang mengunjungi situs web Anda melalui koneksi tanpa jaminan atau membiarkan mereka mengaksesnya melalui koneksi tanpa jaminan. Ini biasanya harus diaktifkan karena memastikan bahwa pengunjung hanya mengakses versi situs web Anda yang dilindungi SSL. Pilih pilihan Anda, lalu tekan ENTER.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Akhirnya, Certbot akan mengkonfirmasi bahwa proses itu berhasil dan di mana sertifikat Anda disimpan. Sertifikat Anda sekarang diunduh dan diinstal.

Pembaruan otomatis

Karena Let's Encrypt adalah otoritas sertifikat gratis, dan untuk mendorong pengguna mengotomatiskan proses pembaruan, sertifikat hanya berlaku selama 90 hari. Certbot akan mengurus perpanjangan sertifikat secara otomatis. Ia melakukannya dengan menjalankan certbot renewdua kali per hari melalui systemd.

Anda dapat memeriksa apakah pembaruan otomatis berfungsi dengan menjalankan perintah ini.

certbot renew --dry-run

Anda juga dapat memperbarui sertifikat secara manual kapan saja dengan menjalankan perintah berikut.

certbot renew

Konfigurasi yang ditingkatkan

Perintah di atas mendapatkan dan menginstal sertifikat SSL dengan konfigurasi yang cocok untuk sebagian besar kasus. Jika Anda ingin menerapkan langkah-langkah keamanan lanjutan untuk situs web Anda, Anda dapat menggunakan perintah berikut untuk mendapatkan sertifikat.

certbot --nginx --rsa-key-size 4096 --must-staple -d example.com -d www.example.com

The --rsa-key-size 4096menggunakan kunci RSA 4096-bit bukan kunci bit 2048, yang lebih aman. Kelemahan dari ini adalah bahwa hasil utama yang lebih besar dalam kinerja sedikit overhead. Selain itu, browser dan perangkat yang lebih lama mungkin tidak mendukung kunci RSA 4096-bit.

The --must-staplemenambahkan OCSP Harus ekstensi Staple untuk sertifikat dan mengkonfigurasi Nginx untuk OCSP stapel. Ekstensi ini memungkinkan browser untuk memverifikasi bahwa sertifikat Anda belum dicabut dan dapat dipercaya. Namun, tidak semua browser mendukung fitur ini.