Kemarin sertifikat SSL yang bisa membuat pengunjung mendapatkan akses HTTPS pada server klien ternyata habis masa berlakunya, dan kebetulan auto renewal SSL pada VPS yang digunakan tidak berjalan dengan semestinya. Entah kenapa juga saya coba renew manual tidak mau. Akhirnya mau tidak mau saya coba pakai cara lain dan ternyata bisa.
Sekadar mengingatkan, HTTPS pada sebuah situs web sekarang menjadi kebutuhan yang tidak bisa dihindarkan. Kebutuhan akan keamaan memang menjadi fokus untuk menunjang kredibilitas suatu situs web, pengunjung akan lebih mantap untuk membuka dan masuk ke suatu halaman situs jika situs tersebut terpercaya dan mempunyai keamanan yang baik.
Lanjut lagi ke permasalahan utama, bagaimana caranya SSL yang sudah expired atau kadaluwarsa bisa aktif kembali. Atau mungkin kita mempunyai situs baru dan ingin memasang SSL pada situs tersebut. Simak cara-caranya pada penjelasan di bawah ini:
Cara memasang Free SSL (Let’s Encrypt SSL) pada VPS Linux Ubuntu dan Debian:
1. Instal Let’s Encrypt Client
Untuk menginstal SSL Let's Encrypt kita bisa menggunakan aplikasi klien resminya yaitu Certbot. Karena Certbot sedang dalam pengembangan aktif, maka layak menggunakan repositori ini untuk menginstal versi yang lebih baru daripada yang disediakan Ubuntu secara default.
Pertama, tambahkan ke repositori:
$ sudo add-apt-repository ppa:certbot/certbot
Tekan ENTER untuk menyetujui penambahan repositori baru tersebut. Kemudian Update informasi repositori pada Ubuntu kita.
$ sudo apt-get update
Selanjunya instal Certbot
$ sudo apt-get install python-certbot-apache
2. Konfigurasi sertifikat SSL
Membuat sertifikat SSL untuk Apache menggunakan Certbot cukup mudah. Klien akan secara otomatis mendapatkan dan menginstal sertifikat SSL baru yang valid untuk domain yang disediakan sebagai parameter.
Untuk menjalankan instalasi interaktif dan mendapatkan sertifikat yang hanya mencakup satu domain, jalankan perintah certbot seperti di bawah ini di mana example.com adalah domain Anda:
$ sudo certbot --apache -d example.com
Jika Anda ingin menginstal satu sertifikat yang valid untuk beberapa domain atau subdomain, Anda bisa meneruskannya dengan parameter tambahan pada perintah yang dijalankan. Nama domain pertama dalam daftar parameter akan menjadi domain dasar yang digunakan oleh Let's Encrypt untuk membuat sertifikat, dan untuk alasan itu kami menyarankan Anda melewati nama domain tingkat atas sebagai yang pertama dalam daftar, diikuti oleh subdomain tambahan apa pun atau alias:
$ sudo certbot --apache -d example.com -d www.example.com
Pada contoh di atas, domain dasar adalah example.com.
Jika Anda memiliki beberapa host virtual, Anda harus menjalankan certbot sekali untuk masing-masing untuk menghasilkan sertifikat baru untuk masing-masing. Anda dapat mendistribusikan banyak domain dan subdomain di host virtual Anda dengan cara apa pun.
Setelah dependensi diinstal, Anda akan diberikan panduan langkah demi langkah untuk menyesuaikan opsi sertifikat Anda. Anda akan diminta untuk memberikan alamat email untuk pemulihan dan pemberitahuan kunci yang hilang, dan Anda akan dapat memilih antara mengaktifkan akses http dan https atau memaksa semua permintaan untuk mengalihkan ke https. Biasanya paling aman untuk meminta https, kecuali jika Anda memiliki kebutuhan khusus untuk lalu lintas http yang tidak terenkripsi. Ketika instalasi selesai, Anda harus dapat menemukan file sertifikat yang dihasilkan di /etc/letsencrypt/live. Anda dapat memverifikasi status sertifikat SSL Anda dengan tautan berikut (jangan lupa ganti example.com dengan domain basis Anda):
https://www.ssllabs.com/ssltest/analyze.html?d=example.com&latest
Anda sekarang seharusnya sudah dapat mengakses situs web Anda menggunakan awalan https.
3. Memverifikasi Perpanjangan Otomatis Certbot
Enkripsi sertifikat hanya bertahan selama 90 hari. Namun, paket certbot yang sudah diinstal menangani hal ini dengan menjalankan pembaruan certbot dua kali sehari melalui pengatur waktu systemd.
Pada distribusi non-systemd, fungsionalitas ini bisa dilakukan dengan skrip cron yang ditempatkan di /etc/cron.d. Tugas berjalan dua kali sehari dan akan memperbarui sertifikat apa pun yang dalam waktu tiga puluh hari kedaluwarsa. Untuk menguji proses pembaruan, Anda dapat melakukan dry run dengan certbot:
$ sudo certbot renew --dry-run
Jika Anda tidak melihat kesalahan, Anda berhasil. Jika perlu, Certbot akan memperbarui sertifikat Anda dan memuat ulang Apache untuk mengambil perubahan. Jika proses pembaruan otomatis gagal, Let's Encrypt akan mengirim pesan ke email yang Anda tentukan, memperingatkan Anda ketika sertifikat Anda akan berakhir.
ref: https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04