ssl

Cara Menginstall Letsencrypt Wildcard SSL dengan DNS Cloudflare di Linux

Last Updated on 17 March 2018 By tommy Leave a Comment

Disini kita akan belajar cara menggunakan Let’s Encrypt wildcard SSL dan menggunakannya di nginx. Untuk mendapatkan ssl dari Let’e Encrypt kita akan menggunakan bantuan acme.sh

Disini yang akan dibahas adalah hanya bagian SSL, contoh kasus pada situs WordPress, bila anda mencari cara untuk menginstall WordPress di server Linux bisa mengikuti tutorial ini.

1. Cloning Repository acme.sh
Salah satu alasan saya memilih acme.sh ini karena kita bisa merequest SSL baik dari komputer anda, jadi kita tidak perlu meletakkan API KEY cloudflare yang kita miliki di server.

mkdir ~/src
git clone https://github.com/Neilpang/acme.sh.git

2. API Key Cloudflare
Ambil API Key cloudflare dari halaman https://www.cloudflare.com/a/profile, yang perlu dicopy adalah Global API Key.
Buka file ~/src/acme.sh/dnsapi/dns_cf.sh ubah bagian

CF_Key=
CF_Api=

3. Generate SSL
Untuk menggenerate SSL gunakan perintah

# pindah ke directory acme.sh
cd ~/src/acme.sh
# generate ssl
./acme.sh --issue -d jaranguda.com -d *.jaranguda.com --dns dns_cf

kurang lebih 3 menit anda akan mendapatkan SSL anda.

4. Copy SSL dan Key
Pindahkan SSL dan Key-nya ke server anda, bisa menggunakan SCP atau FTP. Contoh

scp /home/jaranguda/.acme.sh/jaranguda.com/fullchain.cer /home/jaranguda/.acme.sh/jaranguda.com/jaranguda.com.key root@IP.SERVER:/tmp/

Di server NGINX

Buat folder SSL untuk tiap domain

mkdir -p /etc/nginx/ssl/jaranguda.com/

pindahkan SSL yang anda copy ke folder tersebut

cp /tmp/fullchain.cer /tmp/jaranguda.com.key /etc/nginx/ssl/jaranguda.com/

Buka file konfigurasi untuk domain anda. Contoh saya menggunakan /etc/nginx/sites-enabled/jaranguda.com.conf ubah ssl_certificate dan ssl_certificate_key

ssl_certificate /etc/nginx/ssl/jaranguda.com/fullchain.cer;
ssl_certificate_key /etc/nginx/ssl/jaranguda.com/jaranguda.com.key;

Test konfigurasi sebelum direstart/reload nginx -t

$ nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

Bila semuanya oke, reload nginx

systemctl reload nginx

Check SSL anda di Browser ;)

Menggunakan https di Shoutcast

Last Updated on 30 June 2016 By tommy Leave a Comment

Sekarang jamannya serba pake SSL (https), walaupun ngga jelas kebutuhannya kenapa harus pake SSL :P. Singkat cerita saya diminta agar Radio Online salah satu teman agar bisa diakses dari https, dia menggunakan Shoutcast 1.9.8 di Linux, karena shoutcast tersebut tidak support SSL secara langsung, mau tidak mau harus di paksakan menggunakan reverse proxy nginx, banyak solusi untuk masalah ini tetapi disini saya memilih menggunakan nginx.

Disini diasumsikan shoutcast server sudah aktif, bila belum ada ikuti langkah-langkahnya disini.

Persiapan

Yang perlu di persiapkan
– VPS/Cloud Server (saya menggunakan Linode)
– SSL (saya menggunakan RapidSSL)

Install Nginx

Disini saya menggunakan Debian 8, caranya hampir sama untuk semua distro Linux.
Kita akan menggunakan repository dari Nginx langsung

wget http://nginx.org/keys/nginx_signing.key
apt-key add nginx_signing.key
echo "deb http://nginx.org/packages/mainline/debian/ jessie nginx" >> /etc/apt/sources.list

lalu install nginx

apt-get update
apt-get install nginx

Setting SSL

Untuk reverse proxy ssl ini kita akan menyimpan konfigurasinya di /etc/nginx/conf.d/ssl.conf, berikut ini isi file ssl.conf

server {
 
        listen 443;
        ssl    on;
        ssl_certificate    /etc/nginx/ssl/radiossl.jaranguda.com.crt;
        ssl_certificate_key    /etc/nginx/ssl/radiossl.jaranguda.com.key;
 
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE$
        ssl_prefer_server_ciphers on;
        ssl_session_cache  builtin:1000  shared:SSL:10m;
        add_header Strict-Transport-Security max-age=63072000;
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;
 
        server_name radiossl.jaranguda.com;
        access_log /var/log/nginx/radiossl.jaranguda.com.access_log;
        error_log /var/log/nginx/radiossl.jaranguda.com.error_log;
        root /var/www;
        index index.php index.htm index.html;
 
        location / {
        proxy_set_header                Host $host;
        proxy_set_header                X-Real-IP $remote_addr;
        proxy_set_header                X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header                X-Forwarded-Proto $scheme;
        proxy_pass                      http://SHOUTCAST:PORT;
        proxy_read_timeout      90;
        }
}

Bagian yang perlu disesuaikan
ssl_certificate : Letak file sertifikat SSL anda
ssl_certificate_key : Letak file key sertifikat SSL anda
server_name : alamat subdomain/domain yang akan digunakan
proxy_pass : alamat shoutcast server, contoh http://radioku.jaranguda.com:8000

setelah selesai test configurasi anda, dan restart

nginx -t
service nginx restart

lalu coba akses di browser https://DOMAINSSLNYA

Cara Menggunakan Signed SSL di Jaringan LAN

Last Updated on 29 June 2016 By tommy 1 Comment

Selain digunakan untuk memberikan layanan HTTPS di server yang memiliki publik IP, signed SSL juga bisa digunakan di jaringan LAN (private IP). signed SSL maksudnya adalah SSL yang diberikan oleh Certificate Authority, seperti Symantec, Geotrust, Wosign, Let’s Encrypt dan lain sebagainya.

Cara kerjanya sama saja, yang membedakannya kalo digunakan di LAN, anda harus menggunakan DNS lokal, seperti Bind9, Unbound, atau dnsmasq, bila anda memaksakan dengan mengedit file hosts, anda akan kewalahan bila ada banyak client yang harus di install.

Domain yang digunakan harus bagian dari tld, kalo tidak anda tidak akan bisa menggenerate SSL untuk domain tersebut. Sebagai contoh disini saya akan menggunakan dnsmasq sebagain DNS server dan aman.jaranguda.com sebagai domain yang digunakan di LAN.

Disini kita hanya membahas cara instalasinya, bukan cara untuk merequest SSL tersebut. Cara pembeliannya silahkan merujuk ke masing-masing provider. Dari provider biasanya anda akan diberikan file sertifikat disini saya ubah namanya menjadi aman.jaranguda.com.crt dan keynya aman.jaranguda.com.key

Persiapan

– OS Linux (Fedora, CentOS)
sebagai contoh disini menggunakan ip : 192.168.2.10
– Dnsmasq
– Apache
– Domain : aman.jaranguda.com
– SSL dan Key-nya.
– Komputer client (Windows, Linux, MacOS)

Install dan Konfigurasi Apache

Install Apache dan mod_ssl

# centos
yum install httpd mod_ssl openssl
# fedora 
dnf install httpd mod_ssl openssl

buat folder tempat menyimpan ssl

mkdir /etc/httpd/ssl

lalu pindahkan file sertifikat dan key-nya ke /etc/httpd/ssl.
file yang perlu kita ubah berada di ssl.conf, yang perlu di sesuaikan adalah bagian

SSLCertificateFile /etc/httpd/ssl/aman.jaranguda.com.crt
SSLCertificateKeyFile /etc/httpd/ssl/aman.jaranguda.com.key

setelah selesai restart apache

service httpd configtest
service httpd restart

Install dan Konfigurasi dnsmasq

Install dnsmasq

# centos 
yum install dnsmasq -y
# fedora
dnf install dnsmasq -y

edit file /etc/dnsmasq.conf tambahkan dibagian paling bawah

address=/aman.ndikkar.com/192.168.2.10

lalu restart dnsmasq

service dnsmasq restart

terakhir ubah dns di komputer LAN menggunakan IP 192.168.2.10 (IP dnsmasq, begitu juga tempat di install apache)

Percobaan/Testing

Setelah mengubah dns di komputer client, coba ping terlebih dahulu ke aman.jaranguda.com, pastikan ip yang di dapat adalah 192.168.2.10

PING aman.jaranguda.com (192.168.2.10) 56(84) bytes of data.
64 bytes from erkai (192.168.2.10): icmp_seq=1 ttl=64 time=0.014 ms
64 bytes from erkai (192.168.2.10): icmp_seq=2 ttl=64 time=0.037 ms
64 bytes from erkai (192.168.2.10): icmp_seq=3 ttl=64 time=0.022 ms
64 bytes from erkai (192.168.2.10): icmp_seq=4 ttl=64 time=0.027 ms

setelah hasilnya sesuai, buka di browser https://aman.jaranguda.com

Menginstall SSL Berbayar di Mikrotik

Last Updated on 19 May 2016 By tommy 1 Comment

Cara untuk menginstall SSL verified di Mikrotik caranya hampir sama dengan menginstall self signed SSL. Beberapa kelebihan menggunakan verified (trusted/signed) SSL adalah sewaktu mengakses webfig mikrotik anda tidak dihadapkan dengan peringatan SSL issuer tidak dikenali

atau paling parah, penolakan dari Google Chrome, sehingga harus mengakses melalui http

1. Generate CRT

– Mikrotik lihat di Cara Install SSL di Mikrotik 6.29.1
– Linux lihat di Cara Generate CSR untuk Request SSL

2. Request SSL

Selanjutnya beli SSL anda dari berbagai provider diluar sana seperti gogetssl, ssl.com, namecheap, dll. Atau anda bisa menggunakan SSL gratis dari Wosign, Let’s Encrypt, atau StartSSL. Baik berbayar maupun gratisan cara request SSL-nya hampir sama, disini saya akan menggunakan Wosign, silahkan klik link diatas untuk memesan SSL.

3. Import

Ekstrak file yang tadi di download dari wosign, didalamnya terdapat file for Apache.zip, ekstrak kembali sehingga dapat dua file

1_root_bundle.crt
2_mikrotik.jaranguda.com.crt

login ke Mikrotik anda, klik menu Files klik Upload
lalu import kedua file tersebut beserta mikrotik.jaranguda.com.key
Setelah selesai di import, pindah ke menu System -> Certificates klik import satu persatu pilih file

1_root_bundle.crt
2_mikrotik.jaranguda.com.crt
mikrotik.jaranguda.com.key

setelah diimport, status 2_mikrotik.jaranguda.com.crt menjadi KLT, bila belum sesuai berarti ada yang belum di import

4. Install SSL

Buka IP -> Services
klik di www-ssl pilih 2_mikrotik.jaranguda.com.crt

4. Tes SSL

Buka https://sub.domain.anda di browser

berhasil dengan sempurna ;)

Tapi ingat, anda hanya bisa menggunakan SSL untuk domain/subdomain bukan IP, agar SSL tersebut muncul harus diakses dari https://sub.domain.anda, bila menggunakan publik/private IP akan tetap error.

Cara Generate CSR untuk Request SSL

Last Updated on 21 December 2015 By tommy Leave a Comment

Dua langkah mudah untuk menggenerate CSR di Linux

1. Generate Key

openssl genrsa -out jaranguda.com.key 4096

2. Generate CSR

openssl req -out jaranguda.com.csr -key jaranguda.com.key -new -sha256
### output
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:ID
State or Province Name (full name) [Some-State]:Jakarta
Locality Name (eg, city) []:Jakarta
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Jaranguda
Organizational Unit Name (eg, section) []:SSL
Common Name (e.g. server FQDN or YOUR name) []:jaranguda.com
Email Address []:ssladmin@jaranguda.com                         
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

yang di kirim/input untuk request ssl adalah isi dari file jaranguda.com.csr.

Bagian yang paling penting adalah Common Name harus sesuai dengan nama domain yang anda request. Contoh bila anda ingin membuat ssl untuk akumahapaatuh.jaranguda.com isikan juga akumahapaatuh.jaranguda.com. Kalo yang lainnya bebas diisi. Khusus untuk wildcard ditambah tanda bintang di depan, contoh *.jaranguda.com. Ingat untuk mengganti jaranguda.com dengan domain anda.

Daftar Provider SSL Gratis

Last Updated on 19 October 2015 By tommy Leave a Comment

Penyedia layanan SSL sangat-sangat banyak bertebaran di dunia maya, tetapi yang memberikan SSL gratis saat ini hanya ada 2 yaitu startssl dan wosign. SSL ini sangat banyak kegunaannya, meng-enkripsi data yang di kirim ke server, biar kelihatan keren dan katanya ranking di Google lebih bagus.

1. StartSSL
Proses pendaftaran agak ribet, dan agak sudah untuk perpanjangannya.

2. Wosign
Proses pendaftarannya sangat cepat dan sertifikat langsung bisa digunakan. Wosign ini SSL-nya di cross sign dengan StartSSL jadi browser yang mengenali SSL Wosign sama dengan StartSSL

Untuk semua website yang mengirim data user (username,password) sangat-sangat diwajibkan menggunakan SSL. Agar data yang terkirim tersebut tidak bisa diintip oleh orang lain.