Dulu, cukup normal bagi situs web untuk menyajikan konten melalui protokol HTTP tradisional karena keamanan bukanlah masalah besar. Namun, saat ini karena meningkatnya kejahatan dunia maya seperti pencurian identitas, pencurian kartu kredit, penyadapan, sangat penting untuk mengamankan saluran yang digunakan untuk berkomunikasi dengan server. Let's Encrypt adalah otoritas sertifikat yang menyediakan sertifikat SSL/TLS secara gratis. Sertifikat yang dikeluarkan oleh mereka berlaku selama 3 bulan, artinya 90 hari dibandingkan dengan satu tahun atau lebih oleh otoritas sertifikat tingkat komersial commercial. Namun, ia memberikan perlindungan yang sama seperti sertifikat berbayar; karenanya sering dipilih oleh banyak blogger dan pemilik situs web kecil melawan penjahat dunia maya. Artikel ini bertujuan untuk mendemonstrasikan cara mengamankan tetesan DigitalOcean dengan mari mengenkripsi.

Persyaratan

Panduan ini menggunakan Ubuntu 16.04 sebagai sistem operasi yang menjalankan server web. Namun, langkah yang sama dapat digunakan untuk versi Ubuntu lainnya serta selama tidak ada perbedaan dalam pengaturan. Panduan ini mengasumsikan pengguna sudah menginstal server web, dan itu Nginx. Sebagai klien SSH, Putty digunakan, dan sebagai editor file Nano direkomendasikan.

Larutan

1. Server web yang dibuat di Droplets dapat diakses melalui protokol SSH. Unduh dan instal Putty dari situs web resminya. Aplikasi ini benar-benar gratis.

sudo apt-get install dempul

2. Setelah mengunduh Putty, lanjutkan dan unduh Nano. Tujuan Putty adalah mengakses konsol Linux untuk mengetik perintah shell, sedangkan Nano digunakan untuk mengedit file internal seperti file default Nginx.

sudo apt-get install nano

3. Luncurkan Putty dan navigasikan ke tab Sesi.

4. Di bidang Nama Host, ketik alamat IP dari tetesan DigitalOcean tempat server web diinstal. Alamat IP Tetesan dapat ditemukan di https://cloud.digitalocean.com/tetesan. Di bidang port, ketik 22.

5. Setelah mengirimkan semua bidang yang diperlukan seperti yang terlihat di atas, tekan oke untuk menerapkan perubahan dan masuk ke Droplet. Saat masuk ke sistem, ia akan menanyakan nama pengguna, dan kata sandi Droplet. Baik nama pengguna, dan kata sandi dikirim melalui email ke email terdaftar di DigitalOcean saat membuat Droplet.

6. Panduan ini menggunakan Certbot, alat pihak ketiga untuk mengotomatiskan seluruh proses pengambilan dan pembaruan sertifikat digital. Certbot memiliki situs web sendiri dari mana perintah yang akan digunakan dapat dibuat dengan mudah. Sesuai Certbot, perintah yang tepat untuk menginstal Certbot di Ubuntu adalah ini. Pertama memperbarui informasi paket di repositori lokal, kemudian menginstal paket umum properti perangkat lunak yang menyediakan beberapa skrip yang berguna dalam menangani pencapaian paket pribadi (PPA), kemudian menginstal certbot, kemudian memperbarui lagi repositori lokal, lalu akhirnya menginstal paket python certbot nginx. Pastikan semua paket ini terinstal dengan benar sebelum menuju ke langkah berikutnya.

$ sudo apt-get update
$ sudo apt-get install software-properties-common
$ sudo add-apt-repository ppa:certbot/certbot
$ sudo apt-get update
$ sudo apt-get install python-certbot-nginx

7. Arahkan ke situs web tempat domain dibeli. Panduan ini menggunakan Porkbun sebagai pencatat domain, lalu tambahkan catatan A ke domain. Jenis adalah A record, host kosong jika IP dikaitkan dengan domain root, jika tidak gunakan nama subdomain tanpa domain root, misalnya jika nucuta.com, cukup gunakan www. Sebagai jawaban ketik alamat IP dari Droplet.

8. Dengan cara yang sama, arahkan lalu lintas WWW ke domain root sebagai berikut. Ketik adalah “CNAME”, host adalah “WWW”, jawabannya adalah “nucuta.com” atau domain Anda. Langkah ini penting karena mengarahkan semua lalu lintas www ke domain root.

9. Gunakan perintah berikut pada Putty untuk mengakses File default Nginx. File default secara default menggunakan satu blok Server tempat domain utama berada. Nano Editor sangat direkomendasikan karena cukup nyaman digunakan dibandingkan dengan yang lain.

sudo nano /etc/nginx/sites-available/default

10. Dalam file default, navigasikan ke blok server dan alihkan lalu lintas HTTP ke HTTP, dan di blok server lain tempat lalu lintas aman ditangani, ubah nama_server menjadi nama domain, misalnya

server_name nucuta.com www.nucuta.com

11. Ketik perintah berikut untuk me-restart server web Nginx. Setiap kali perubahan dibuat pada file default, seluruh server Nginx harus dimulai ulang agar perubahan baru memiliki efek apa pun.

sudo systemctl muat ulang nginx

12. Secara default, Firewall memblokir semua lalu lintas kecuali ke port 80 dan 22. HTTPS menggunakan port 443; maka itu harus dibuka secara manual untuk mengakses server web dari sisi klien. Membuka port tergantung pada Firewall.
    

    Di CSF (firewall server yang dikonfigurasi)

    1. Buka file konfigurasi CSF dengan mengetikkan perintah berikut:.
    nano /etc/csf/csf.konf
    2. Tambahkan port berikut ke TCP Masuk dan Keluar.
    TCP_IN = "20,21,22,25,53,80,443"
    TCP_OUT = "20,21,22,25,53,80,443"
    3. Mulai ulang CSF dengan mengetik csf -r

    Di USF (Firewall Tidak Rumit)

    1. Ketik dua perintah berikut untuk menambahkan HTTPS ke daftar pengecualian. Paket "Nginx Full" memiliki port HTTP dan HTTPS; karenanya menambahkan paket lengkap memungkinkan lalu lintas masuk dan keluar.
    sudo ufw izinkan 'Nginx Penuh'
    sudo ufw hapus izinkan 'Nginx HTTP'
    2. Ketik perintah berikut untuk melihat status
statusnya

13. Periksa port 443 dari situs web eksternal untuk memastikannya terbuka. Jika port terbuka, ia akan mengatakan "443 port terbuka"

14. Sekarang gunakan Certbot untuk mengambil sertifikat SSL ke domain. Parameter D diperlukan untuk menentukan domain. Mari mengenkripsi merilis satu sertifikat untuk root dan subdomain www. Memiliki hanya satu untuk salah satu versi akan mengeluarkan peringatan di browser jika pengunjung mengakses versi lain; maka penting untuk mendapatkan sertifikat untuk kedua versi. sudo certbot --nginx -d nucuta.com -d www.nucuta.com

15. Certbot akan meminta untuk mengalihkan semua lalu lintas HTTP ke HTTPS, tetapi itu tidak diperlukan karena sudah dilakukan di salah satu langkah sebelumnya.

16. Sekarang navigasikan ke situs web Lab SSL dan periksa kualitas atau masalah lain dari sertifikat dan konfigurasinya. https://www.sslab.com/ssltest/

17. Jika konfigurasi saat ini tidak cukup aman, navigasikan ke generator konfigurasi SSL Mozilla, dan buat pengaturan untuk server web Anda. https://mozilla.github.io/server-side-tls/ssl-config-generator/. Karena di sini menggunakan Nginx, pastikan untuk menggunakan Nginx sebagai server web. Ini menawarkan tiga opsi, menengah, tua, dan modern. Opsi lama membuat situs web kompatibel dengan hampir semua browser, termasuk browser super lama seperti IE 6, sedangkan opsi perantara membuatnya ideal untuk pengguna rata-rata, opsi modern menghasilkan konfigurasi yang diperlukan untuk keamanan maksimum, tetapi sebagai trade off situs web tidak akan berfungsi dengan benar di browser lama. Jadi, sangat disarankan untuk situs web yang keamanannya menjadi perhatian utama.

18. Arahkan ke situs web Anda, dan klik kanan pada ikon kunci, lalu opsi "Sertifikat" untuk melihat sertifikat.

19. Jika itu menunjukkan tanggal yang akan datang setelah TO dalam opsi valid dari, yang berarti proses perolehan sertifikat telah selesai. Namun, penting untuk mengarahkan lalu lintas ke versi domain yang relevan, misalnya lalu lintas HTTP dan WWW dapat dialihkan ke domain root HTTPS seperti yang terlihat dalam panduan ini. Sertifikat akan diperpanjang secara otomatis oleh certbot; karenanya selamanya tersedia untuk pemilik situs web secara gratis.