Fais Lonelyman yang bergantung pada kehidupan cyber nya

Installasi SSL di VPS

10 Men-bac

Installasi SSL CCA di VPS

Di tutorial kali ini kita akan menginstall SSL dari commercial Certificate Authority (CA). SSL Berfungsi membuat web kamu aman dari pencurian data antar klien ke server atau Hijacking

Tutorial berikut ini menggunakan beberapa layanan penyedia SSL seperti:

  • GoDaddy
  • RapidSSL (via Namecheap)

Kamu juga bisa menggunakan layanan lain yang kamu sukai

Setelah memahami sertifikat SSL, kita akan langsung menginstall sertifikat SSL tersebut di Nginx dan Apache HTTP web server

Perlengkapan / Bahan bahan

Ada beberapa perlengkapan yang perlu kamu miliki untuk menggunakan SSL dan mendapatkannya. Dalam sesi ini kita akan mengetahui cara mendapatkan SSL tersebut

Uang

Sertifikat SSL yang di keluarkan dari penyedia sertifikat komersial itu berbayar alternatif untuk kamu yang gretongan kamu dapat menggunakan Let’s Encrypt. Lets encrypt salah satu penyedia layanan SSL gratis terbaru yang dapat kamu gunakan dan trusted di web browser kamu

Nama Domain yang terdaftar

Sebelum mendapatkan Sertifikat SSL kamu wajib memiliki domain yang terdaftar di penyedia domain dan kamu juga memiliki akses ke kontrol domain tersebut untuk merubah beberapa konfigurasi nantinya, jika belum mempunyai domain kamu dapat menggunakan domain gratisan dari Freenom.

Validasi Domain (Hak Akses)

Untuk proses validasi domain dasar, Kamu harus memiliki akses ke salah satu alamat email di data WHOIS domain Kamu atau ke alamat email “jenis admin” di domain itu sendiri. Otoritas sertifikat yang mengeluarkan sertifikat SSL biasanya akan memvalidasi kontrol domain dengan mengirimkan email validasi ke salah satu alamat pada data WHOIS domain, atau ke alamat email admin generik di domain itu sendiri. Beberapa CA menyediakan metode validasi domain alternatif, seperti validasi berbasis DNS atau HTTP, yang berada di luar lingkup panduan ini.

Jika kamu ingin menerbitkan sertifikat validasi Organisasi (OV) atau Extended Validation (EV) SSL, Kamu juga akan diminta untuk memberikan dokumen kepada CA untuk menetapkan identitas hukum pemilik situs web, di antara hal-hal lainnya.

Web Server

Selain poin yang disebutkan sebelumnya, Kamu juga memerlukan server web untuk menginstal sertifikat SSL. Ini adalah server yang dapat dijangkau pada nama domain yang akan dikeluarkan sertifikat SSL-nya. Biasanya, ini akan menjadi server Apache HTTP, Nginx, HAProxy, atau Varnish. Jika kamu perlu bantuan untuk menyiapkan server web yang dapat diakses melalui nama domain terdaftar kamu, ikuti langkah-langkah berikut:

  1. Siapkan server web pilihan kamu. Sebagai contoh, server LEMP (Nginx) atau LAMP (Apache) – pastikan untuk mengkonfigurasi perangkat lunak server web untuk menggunakan nama domain terdaftar kamu
  2. Konfigurasikan domain kamu untuk menggunakan server nama yang sesua
  3. Tambahkan catatan DNS untuk server web kamu ke server nama kamu.

Memilih Certificate Authority

Jika kamu tidak yakin dari Otoritas Sertifikat mana yang akan kamu gunakan, ada beberapa faktor penting yang perlu dipertimbangkan. Pada tingkat ikhtisar, hal yang paling penting adalah CA yang kamu pilih menyediakan fitur yang kamu inginkan dengan harga yang kamu rasa nyaman. Bagian ini akan lebih fokus pada fitur yang harus diketahui oleh sebagian besar pembeli sertifikat SSL, bukan harga.

Keanggotaan Root Certificate Program

Hal yang paling penting adalah bahwa CA yang kamu pilih adalah anggota program sertifikat root dari sistem operasi dan peramban web yang paling umum digunakan, yaitu CA “tepercaya”, dan sertifikat rootnya dipercaya oleh peramban umum dan lainnya. perangkat lunak. Jika sertifikat SSL situs web kamu ditkamutangani oleh “CA tepercaya, identitasnya dianggap valid oleh perangkat lunak yang mempercayai CA – ini berbeda dengan sertifikat SSL yang ditkamutangani sendiri, yang juga menyediakan kemampuan enkripsi tetapi disertai dengan validasi identitas peringatan yang tidak masuk ke sebagian besar pengunjung situs web.

Kebanyakan CA komersial yang akan kamu temui akan menjadi anggota program CA Root yang umum, dan akan mengatakan bahwa mereka kompatibel dengan 99% browser, tetapi tidak ada salahnya untuk memeriksa sebelum membuat pembelian sertifikat kamu. Misalnya, Apple memberikan daftar sertifikat root SSL tepercaya untuk iOS8 di sini.

Jenis SSL

Pastikan kamu memilih CA yang menawarkan jenis sertifikat yang kamu butuhkan. Banyak CA menawarkan variasi jenis sertifikat ini dalam berbagai variasi, seringkali membingungkan, nama dan struktur harga. Berikut adalah deskripsi singkat dari masing-masing jenis:

  • Domain Tunggal : Digunakan untuk satu domain, mis example.com. Perhatikan bahwa subdomain tambahan, seperti [Example Domain](http://www.example.com), tidak termasuk
  • Wildcard : Digunakan untuk domain dan semua subdomainnya. Misalnya, sertifikat wildcard untuk *.example.comdapat juga digunakan untuk [www.example.comdanstore.example.com](www.example.comdanstore.example.com)
  • Multiple Domain : Dikenal sebagai SAN atau sertifikat UC, ini dapat digunakan dengan beberapa domain dan subdomain yang ditambahkan ke bidang Nama Alternatif Subjek. Misalnya, sertifikat multi-domain tunggal dapat digunakan dengan example.com[Example Domain](http://www.example.com), danexample.net

Selain jenis sertifikat yang disebutkan di atas, ada berbagai tingkat validasi yang ditawarkan CA. Kami akan membahasnya di sini:

  • Validasi Domain (DV): Sertifikat DV dikeluarkan setelah CA memvalidasi bahwa pemohon memiliki atau mengendalikan domain yang bersangkutan
  • Validasi Organisasi (OV) : Sertifikat OV dapat dikeluarkan hanya setelah CA yang diterbitkan memvalidasi identitas hukum pemohon
  • Extended Validation (EV) : Sertifikat EV dapat dikeluarkan hanya setelah CA yang diterbitkan memvalidasi identitas hukum, antara lain, dari pemohon, sesuai dengan pedoman yang ketat. Tujuan dari jenis sertifikat ini adalah untuk memberikan jaminan tambahan terhadap legitimasi identitas organisasi kamu kepada pengunjung situs kamu. Sertifikat EV dapat berupa domain tunggal atau gkamu, tetapi bukan wildcard

Panduan ini akan menunjukkan kepada kamu cara mendapatkan sertifikat SSL domain tunggal atau wildcard dari GoDaddy dan RapidSSL, tetapi memperoleh jenis sertifikat lainnya sangat mirip.

Fitur tambahan

Banyak CA menawarkan berbagai macam fitur “bonus” untuk membedakan diri dari sisa vendor yang menerbitkan sertifikat SSL. Beberapa fitur ini dapat menghemat uang kamu, jadi penting bagi kamu untuk mempertimbangkan kebutuhan kamu terhadap penawaran dengan cermat sebelum melakukan pembelian. Contoh fitur yang perlu diwaspadai termasuk penerbitan ulang sertifikat gratis atau sertifikat dengan harga domain tunggal yang berfungsi untuk [www.dan](www.dan) nama domain dasar, misalnya[www.example.comdengan](www.example.comdengan) SAN dariexample.com

Hasilkan CSR dan Kunci Pribadi

Setelah semua prasyarat kamu beres, dan kamu tahu jenis sertifikat yang ingin kamu dapatkan, saatnya untuk menghasilkan permintaan penkamutanganan sertifikat (CSR) dan kunci pribadi.

Jika kamu berencana menggunakan Apache HTTP atau Nginx sebagai server web kamu, gunakan openssluntuk menghasilkan kunci pribadi kamu dan CSR di server web kamu. Dalam tutorial ini, kami akan menyimpan semua file yang relevan di direktori home kami tetapi merasa bebas untuk menyimpannya di lokasi yang aman di server kamu:

    cd ~

Untuk menghasilkan kunci pribadi, dipanggil example.com.key, dan CSR, dipanggil example.com.csr, jalankan perintah ini (ganti example.comdengan nama domain kamu):

    openssl req -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr

Pada titik ini, kamu akan diminta untuk beberapa baris informasi yang akan dimasukkan dalam permintaan sertifikat kamu. Bagian yang paling penting adalah Common Name bidang yang harus sesuai dengan nama yang ingin kamu gunakan sertifikat kamu dengan – misalnya, example.com[Example Domain](http://www.example.com), atau (untuk permintaan sertifikat wildcard) *.example.com. Jika kamu berencana mendapatkan sertifikat OV atau EV, pastikan bahwa semua bidang lain secara akurat mencerminkan organisasi atau perincian bisnis kamu.

Sebagai contoh:

    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:New York
    Locality Name (eg, city) []:New York
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company
    Organizational Unit Name (eg, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:example.com
    Email Address []:[email protected]

Ini akan menghasilkan file .keydan .csr. The .keyfile kunci pribadi kamu, dan harus disimpan aman. The .csrfile apa yang akan kamu kirim ke CA untuk meminta sertifikat SSL kamu.

kamu perlu menyalin dan menempel CSR kamu saat mengirimkan permintaan sertifikat kamu ke CA. Untuk mencetak isi CSR kamu, gunakan perintah ini (ganti nama file dengan milik kamu):

    cat example.com.csr

Sekarang kami siap membeli sertifikat dari CA. Kami akan menunjukkan dua contoh, GoDaddy dan RapidSSL melalui Namecheap, tetapi merasa bebas untuk mendapatkan sertifikat dari vendor lain.

Contoh CA 1: RapidSSL melalui Namecheap

Namecheap menyediakan cara untuk membeli sertifikat SSL dari berbagai CA. Kami akan berjalan melalui proses memperoleh sertifikat domain tunggal dari RapidSSL, tetapi kamu dapat menyimpang jika kamu menginginkan jenis sertifikat yang berbeda.

Catatan: Jika kamu meminta sertifikat domain tunggal dari RapidSSL untuk wwwsubdomain domain kamu (misalnya [www.example.com](www.example.com)), mereka akan menerbitkan sertifikat dengan SAN dari domain dasar kamu. Misalnya, jika permintaan sertifikat kamu untuk [www.example.com](www.example.com), sertifikat yang dihasilkan akan berfungsi untuk keduanya [www.example.comdan](www.example.comdan)``example.com.

Pilih dan Beli Sertifikat

Buka halaman sertifikat SSL Namecheap: https://www.namecheap.com/security/ssl-certificates.aspx .

Di sini kamu dapat mulai memilih tingkat validasi kamu, jenis sertifikat (“Domain Aman”), atau CA (“Merek”).

Untuk contoh kita, kita akan mengklik tombol Bandingkan Produk di kotak “Domain Validation”. Lalu kita akan menemukan “RapidSSL”, dan klik tombol Tambahkan ke Keranjang .

Pada titik ini, kamu harus mendaftar atau masuk ke Namecheap. Lalu selesaikan proses pembayaran.

Minta Sertifikat

Setelah membayar sertifikat pilihan kamu, buka tautan Kelola Sertifikat SSL , di bawah bagian “Hai Nama Pengguna “.

Namecheap: SSL

Di sini, kamu akan melihat daftar semua sertifikat SSL yang telah kamu beli melalui Namecheap. Klik tautan Aktifkan Sekarang untuk sertifikat yang ingin kamu gunakan.

Namecheap: Pengelolaan SSL

Sekarang pilih perangkat lunak server web kamu. Ini akan menentukan format sertifikat yang Namecheap akan berikan kepada kamu. Pilihan yang umum dipilih adalah “Apache + MOD SSL”, “nginx”, atau “Tomcat”.

Tempel CSR kamu ke dalam kotak lalu klik tombol Berikutnya .

kamu sekarang harus berada di langkah “Pilih Persetujuan” dalam proses, yang akan mengirim email permintaan validasi ke alamat di data WHOIS domain kamu atau ke alamat jenis administrator dari domain yang kamu dapatkan sertifikatnya. Pilih alamat yang ingin kamu kirimi email validasi.

Berikan “Informasi Kontak Administratif”. Klik tombol Kirim pesanan .

Validasi Domain

Pada titik ini, email akan dikirim ke alamat “pemberi persetujuan”. Buka email dan setujui permintaan sertifikat.

Unduh Sertifikat

Setelah menyetujui sertifikat, sertifikat akan dikirim melalui email ke Kontak Teknis . Sertifikat yang diterbitkan untuk domain kamu dan sertifikat perantara CA akan berada di bagian bawah email.

Salin dan simpan ke server kamu di lokasi yang sama dengan kunci pribadi dan CSR yang kamu buat. Beri nama sertifikat dengan nama domain dan .crtekstensi, misalnya example.com.crt, dan beri nama sertifikat antara intermediate.crt.

Sertifikat sekarang siap dipasang di server web kamu.

Contoh CA 2: GoDaddy

GoDaddy adalah CA yang populer, dan memiliki semua jenis sertifikat dasar. Kami akan berjalan melalui proses memperoleh sertifikat domain tunggal, tetapi kamu dapat menyimpang jika kamu menginginkan jenis sertifikat yang berbeda.

Pilih dan Beli Sertifikat

Buka halaman sertifikat SSL GoDaddy: https://www.godaddy.com/ssl/ssl-certificates.aspx .

Gulir ke bawah dan klik tombol Get Started .

Go Daddy: Mulai

Pilih jenis sertifikat SSL yang kamu inginkan dari menu tarik-turun: domain tunggal, multidomain (UCC), atau wildcard.

GoDaddy: Jenis Sertifikat

Kemudian pilih jenis paket kamu: domain, organisasi, atau validasi tambahan.

Kemudian pilih istilah (durasi validitas).

Kemudian klik tombol Tambahkan ke Keranjang .

Tinjau pesanan kamu saat ini, lalu klik tombol Lanjutkan ke Pembayaran .

Selesaikan pendaftaran dan proses pembayaran.

Minta Sertifikat

Setelah kamu menyelesaikan pesanan kamu, klik tombol SSL Certificates * (atau klik pada Akun Saya > Kelola Sertifikat SSL di sudut kanan atas).

Temukan sertifikat SSL yang baru saja kamu beli dan klik tombol Pengaturan . Jika kamu belum menggunakan GoDaddy untuk sertifikat SSL sebelumnya, kamu akan diminta untuk mengatur produk “Sertifikat SSL”, dan mengaitkan pesanan sertifikat terbaru kamu dengan produk (Klik tombol Setel hijau dan tunggu beberapa menit sebelum menyegarkan peramban kamu ).

Setelah “Sertifikat SSL” Produk ditambahkan ke akun GoDaddy kamu, kamu akan melihat “Sertifikat Baru” dan tombol “Luncurkan”. Klik tombol Luncurkan di sebelah sertifikat baru kamu.

Berikan CSR kamu dengan menempelkannya ke dalam kotak. Algoritma SHA-2 akan digunakan secara default.

Centang kotak I agree checkbox, dan klik tombol Request Certificate .

Validasi Domain

Sekarang kamu harus memverifikasi bahwa kamu memiliki kendali atas domain, dan memberikan GoDaddy dengan beberapa dokumen. GoDaddy akan mengirim email verifikasi kepemilikan domain ke alamat yang ada di data WHOIS domain kamu. Ikuti petunjuk di email yang dikirimkan kepada kamu, dan beri otorisasi penerbitan sertifikat.

Unduh Sertifikat

Setelah memverifikasi ke GoDaddy bahwa kamu mengontrol domain, periksa email kamu (yang kamu daftarkan dengan GoDaddy dengan) untuk pesan yang mengatakan bahwa sertifikat SSL kamu telah dikeluarkan. Buka, dan ikuti tautan sertifikat unduhan (atau klik tombol Luncurkan di samping sertifikat SSL kamu di panel kontrol GoDaddy).

Sekarang klik tombol Unduh .

Pilih perangkat lunak server yang kamu gunakan dari menu tarik-turun Jenis server - jika kamu menggunakan Apache HTTP atau Nginx, pilih “Apache” – lalu klik tombol Unduh File Zip .

Ekstrak arsip ZIP. Ini harus berisi dua .crtfile; sertifikat SSL kamu (yang seharusnya memiliki nama acak) dan bundel sertifikat menengah GoDaddy ( gd_bundle-g2-1.crt). Salin kedua server web kamu. Ganti nama sertifikat ke nama domain dengan .crtekstensi, mis. example.com.crt, Dan ganti nama bundel sertifikat menengah menjadi intermediate.crt.

Sertifikat sekarang siap dipasang di server web kamu.

Instal Sertifikat Di Server Web

Setelah memperoleh sertifikat kamu dari CA pilihan kamu, kamu harus menginstalnya di server web kamu. Ini melibatkan penambahan beberapa baris terkait SSL ke konfigurasi perangkat lunak server web kamu.

Kami akan membahas konfigurasi dasar Nginx dan Apache HTTP pada Ubuntu 14.04 di bagian ini.

Kami akan mengasumsikan hal-hal berikut:

  • Kunci pribadi, sertifikat SSL, dan, jika berlaku, sertifikat perantara CA terletak di direktori home di /home/sammy
  • Kunci privat disebut example.com.key
  • Sertifikat SSL disebut example.com.crt
  • Sertifikat perantara CA ada dalam file bernama intermediate.crt
  • Jika kamu mengaktifkan firewall, pastikan ia mengizinkan port 443 (HTTPS)

Catatan: Dalam lingkungan nyata, file-file ini harus disimpan di suatu tempat yang hanya pengguna yang menjalankan proses master web server (biasanya root) dapat mengakses. Kunci pribadi harus dijaga keamanannya.

Nginx

Jika kamu ingin menggunakan sertifikat kamu dengan Nginx di Ubuntu 14.04, ikuti bagian ini.

Dengan Nginx, jika CA kamu menyertakan sertifikat perantara, kamu harus membuat file sertifikat “dirantai” tunggal yang berisi sertifikat dan sertifikat perantara CA kamu.

Ubah ke direktori yang berisi kunci pribadi kamu, sertifikat, dan sertifikat perantara CA (dalam intermediate.crtfile). Kami akan menganggap bahwa mereka berada di direktori home kamu untuk contoh:

cd ~

Dengan asumsi file sertifikat kamu dipanggil example.com.crt, gunakan perintah ini untuk membuat file gabungan yang disebut example.com.chained.crt(ganti bagian yang disorot dengan domain kamu sendiri):

cat example.com.crt intermediate.crt > example.com.chained.crt

Sekarang, masuklah ke direktori konfigurasi server Nginx kamu. Dengan asumsi yang terletak di /etc/nginx/sites-enabled, gunakan perintah ini untuk mengubahnya:

cd /etc/nginx/sites-enabled

Dengan asumsi ingin menambahkan SSL ke defaultfile blok server kamu , buka file untuk mengedit:

sudo vi default

Cari dan modifikasi listendirektifnya, dan modifikasi sehingga terlihat seperti ini:

listen 443 ssl;

Kemudian temukan server_namepetunjuknya, dan pastikan nilainya sesuai dengan nama umum sertifikat kamu. Selain itu, tambahkan ssl_certificatedan ssl_certificate_keyarahan untuk menentukan jalur sertifikat kamu dan file kunci pribadi (ganti bagian yang disorot dengan jalur sebenarnya dari file kamu):

server_name example.com;
ssl_certificate /home/sammy/example.com.chained.crt;
ssl_certificate_key /home/sammy/example.com.key;

Untuk hanya mengizinkan protokol dan cipher SSL paling aman, tambahkan baris berikut ke file:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

Jika kamu ingin trafik HTTP dialihkan ke HTTPS, kamu dapat menambahkan blok server tambahan ini di bagian atas file (ganti bagian yang disorot dengan informasi kamu sendiri):

    server {
        listen 80;
        server_name example.com;
        rewrite ^/(.*) https://example.com/$1 permanent;
    }

Lalu simpan dan berhenti.

Sekarang restart Nginx untuk memuat konfigurasi baru dan aktifkan TLS / SSL melalui HTTPS!

    sudo service nginx restart

Uji coba dengan mengakses situs kamu melalui HTTPS, mis [Example Domain](https://example.com).

Apache

Jika ingin menggunakan sertifikat kamu dengan Apache pada Ubuntu 14.04, ikuti bagian ini.

Buat cadangan file konfigurasi kamu dengan menyalinnya. Dengan asumsi server kamu berjalan pada file konfigurasi virtual host default /etc/apache2/sites-available/000-default.conf,, gunakan perintah ini untuk membuat salinan:

    cd /etc/apache2/sites-available
    cp 000-default.conf 000-default.conf.orig

Kemudian buka file untuk mengedit:

    sudo vi 000-default.conf

Temukan <VirtualHost *:80>entri dan modifikasi sehingga server web kamu akan mendengarkan di port 443:

    <VirtualHost *:443>

Kemudian tambahkan ServerNamearahan, jika belum ada (gantikan nama domain kamu di sini):

    ServerName example.com

Kemudian tambahkan baris berikut untuk menentukan sertifikat dan jalur utama kamu (gantikan jalur kamu yang sebenarnya di sini):

    SSLEngine on
    SSLCertificateFile /home/sammy/example.com.crt
    SSLCertificateKeyFile /home/sammy/example.com.key

Jika kamu menggunakan Apache 2.4.8 atau lebih tinggi , tentukan bundel menengah CA dengan menambahkan baris ini (gantikan jalurnya):

    SSLCACertificateFile /home/sammy/intermediate.crt

Jika kamu menggunakan Apache versi lama, tentukan bundel menengah CA dengan baris ini (gantikan jalurnya):

    SSLCertificateChainFile /home/sammy/intermediate.crt

Pada titik ini, server kamu dikonfigurasi untuk mendengarkan pada HTTPS saja (port 443), sehingga permintaan ke HTTP (port 80) tidak akan dilayani. Untuk mengalihkan permintaan HTTP ke HTTPS, tambahkan yang berikut ini ke bagian atas file (gantikan nama di kedua tempat):

<VirtualHost *:80>
       ServerName example.com
       Redirect permanent / https://example.com/
</VirtualHost>

Simpan dan keluar.

Aktifkan modul SSL Apache dengan menjalankan perintah ini:

sudo a2enmod ssl

Sekarang restart Apache untuk memuat konfigurasi baru dan aktifkan TLS / SSL melalui HTTPS!

sudo service apache2 restart

Uji coba dengan mengakses situs kamu melalui HTTPS, mis [Example Domain](https://example.com). kamu juga akan ingin mencoba menghubungkan melalui HTTP, misalnya [http://example.comuntuk](http://example.comuntuk) memastikan bahwa pengalihan berfungsi dengan benar!

Kesimpulan

Sekarang kamu harus memiliki ide yang bagus tentang cara menambahkan sertifikat SSL tepercaya untuk mengamankan server web kamu. Pastikan untuk berbelanja untuk CA yang kamu senangi!

Fais Lonelyman yang bergantung pada kehidupan cyber nya