Cara install Let’s Encrypt di Nginx (score A+)

Panduan cara install sertifikat SSL Let’s Encrypt di Nginx web server dengan score A+ uji coba menggunakan SSLLabs Test. Pada tutorial ini operasi sistem yang digunakan adalah Linux Ubuntu 18 dan CentOS 7, untuk OS lain silahkan disesuaikan.

Jika Anda belum menginstall Nginx, ikuti langkah awal berikut, jika sudah langsung saja ke tahap selanjutnya, Install Let’s Encrypt.

INFO: Pastikan domain sudah terhubung ke server

Install Nginx di Ubuntu dan CentOS

Di bawah ini secara singkat panduan instalasi Nginx dengan opsi distro Linux yang Anda gunakan, untuk panduan komprehensif silahkan baca tutorial sebelumnya:

Keterangan:

Instalasi Nginx pada panduan ini, lokasi direktori web root masih menggunakan konfigurasi bawaan yaitu:

  • Pada Ubuntu /var/www/html
  • Pada CentOS /usr/share/nginx/html
  • Domain sebagai contoh idnetter.com, silahkan diganti.

Jadi harap diperhatikan ketika Anda copy-paste setiap konfigurasi, jika tidak valid, maka proses generate sertifikat gagal!.

Instalasi Nginx untuk Ubuntu

apt update -y && apt install nginx -y
systemctl start nginx
systemctl enable nginx

Jika Anda mengaktifkan Firewall di Ubuntu pastikan untuk mengizinkan port 80 dan 443, jika tidak lewati langkah ini.

ufw allow 80
ufw allow 443

Instalasi Nginx untuk CentOS

yum install epel-release nginx -y
systemctl start nginx
systemctl enable nginx

Secara default CentOS versi terbaru firewallnya aktif, Anda bisa menonaktifkan firewallD dengan perintah systemctl stop firewalld && systemctl disable firewalld. Namun jika tetap ingin mengaktifkan firewall-cmd pastikan untuk mengizinkan trafik http dan https.

firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent

Install Let’s Encrypt

Pilihan instalasi Let’s Encrypt untuk distro Linux Ubuntu dan CentOS

Instalasi Let’s Encrypt untuk Ubuntu

apt install letsencrypt -y

Kemudian buat file konfigurasi baru yaitu certbot.conf dengan nano teks editor.

nano /etc/nginx/snippets/certbot.conf

Isi konfigurasi seperti dibawah ini.

location /.well-known {
    alias /var/www/html/.well-known;
}

Berikutnya buka konfigurasi default Nginx

nano /etc/nginx/sites-available/default

Tambahkan baris berikut ke dalam blok atau kolom server

include /etc/nginx/snippets/certbot.conf

Contoh:

server {
    listen *:80;
    server_name idnetter.com www.idnetter.com;
    include /etc/nginx/snippets/certbot.conf;
    ...
    ...
}

Simpan

Instalasi Let’s Encrypt untuk CentOS

yum install cerbot -y

Buat konfig tambahan di /etc/nginx/default.d/

nano /etc/nginx/default.d/certbot.conf

Paste konfig ini

location /.well-known {
    alias /usr/share/nginx/html/.well-known;
}

Lalu, buka konfigurasi default Nginx

nano /etc/nginx/conf.d/default

Jika tidak ada

nano /etc/nginx/nginx.conf

Tambahkan baris berikut ke dalam kolom server

include /etc/nginx/default.d/certbot.conf

Contoh:

server {
    listen *:80;
    server_name idnetter.com www.idnetter.com;
    include /etc/nginx/default.d/certbot.conf;
    ...
    ...
}

Simpan

Membuat sertifikat SSL Let’s Encrypt

Kita akan membuat sertifikat Let’s Encrypt dengan menggunakan perintah certbot

certbot certonly --rsa-key-size 4096 --webroot --agree-tos --no-eff-email --email [email protected] -w /var/www/html -d idnetter.com -d www.idnetter.com

Selanjutnya, kita akan membuat juga sekuriti tambahan yakni dengan cara meng-generate dhparam key 4098-bit di dalam direktori /etc/nginx/ dengan opsi dsaparam agar prosesnya cepat.

openssl dhparam -dsaparam -out /etc/nginx/dhparam.pem 4096

Langkah selanjutnya konfigurasi SSL

Konfigurasi SSL

Buat file konfigurasi SSL

Untuk Ubuntu

nano /etc/nginx/snippets/ssl.conf

Untuk CentOS

nano /etc/nginx/defaut.d/ssl.conf

Isi dengan konten berikut.

Ada 3 chipersuites yakni rekomedasi dari chiperli, Mozilla dan VestaCP, saya menggunakan Vesta. jangan lupa ganti domain idnetter.com.

# Versi TLS
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;

# Rekomendasi chiperli
# Gunakan chipersuites ini untuk mendapatkan poin 100 pada SSLLabs Test
# Tapi tidak support untuk beberapa device
#ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384";

# Rekomendasi Mozilla
# Mungkin akan support lebih banyak device
# tapi setelah saya coba website saya tidak bisa dibuka pada device lama seperti Android kitkat ke bawah.
#ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';

# VestaCP
# ini yang saya gunakan, saya mengambil konfigurasi punya VestaCP, banyak device yang support
# meskipun mungkin tidak support pada IE 8 windows XP (keterangan di SSLLabs, belum tahu faktanya)
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

# DHPARAM key dan ECDH curve >= 256bit
ssl_dhparam /etc/nginx/dhparam.pem;
ssl_ecdh_curve secp384r1;

server_tokens off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;

# Mengaktifkan OSCP Stapling for Nginx web server
# Gunakan sertifikat chain.pem untuk SSL Letsencrypt
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

# Proteksi XSS
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options nosniff;
# Mengaktifkan HTTP Strict-Transport-Security
# Jika SSLnya dipakai juga untuk subdomain
# pastikan untuk menghapus opsi 'includeSubdomainsl; preload', jika tidak kemungkinan subdomain tidak akan bisa diakses.
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

Konfigurasi Nginx dengan SSL

Buka file konfigurasi server block Nginx, di CentOS biasanya letaknya di /etc/nginx/conf.d/default sedangkan Ubuntu di /etc/nginx/sites-available/default , ganti dengan konfigurasi berikut ini

Perhatian! semua trafik http saya redirect permanen ke protokol https.

  • Ubah server_name idnetter.com www.idnetter.com; sesuai domain Anda
  • Ubah fastcgi_pass unix:/var/run/php/php7.2-fpm.sock; sesuai versi PHP yang Anda gunakan.
  • Ubah web root /var/www/html sesuaikan
  • Jika Anda memakai CentOS, ubah /etc/nginx/snippets/ssl.conf; menjadi /etc/nginx/default.d/ssl.conf;
server {
	listen *:80;
	#listen [::]:80;
	server_name idnetter.com www.idnetter.com;
	return 301 https://$server_name$request_uri;
}

server {
	listen *:443 ssl http2;
	#listen [::]:443 ssl http2;
	server_name idnetter.com www.idnetter.com;

	# Deprecated kalau pakai http2
	# ssl         on;
	ssl_certificate /etc/letsencrypt/live/idnetter.com/fullchain.pem;
	ssl_certificate_key /etc/letsencrypt/live/idnetter.com/privkey.pem;
	ssl_trusted_certificate /etc/letsencrypt/live/idnetter.com/chain.pem;

	# Konfigurasi SSL
	include /etc/nginx/snippets/ssl.conf;

	location ~ /.well-known {
		allow all;
	}

	root /var/www/html/;
	index  index.htm index.html index.php;

	location / {
		try_files $uri $uri/ /index.php?$args;
	}

	access_log /var/log/nginx/access_log;
	access_log off;
	error_log /var/log/nginx/error_log error;
	
	error_page 403 = 404;
	location ~ /\. { access_log off; log_not_found off; deny all; }
	location ~ ~$ { access_log off; log_not_found off; deny all; }
	location = /robots.txt { access_log off; log_not_found off; }
	location = /favicon.ico { access_log off; log_not_found off; }

	# Mengaktifkan Kompresi gzip
	gzip on;
	gzip_comp_level    9;
	gzip_min_length    256;
	gzip_proxied       any;
	gzip_vary          on;
	gzip_disable       "MSIE [1-6]\.";

	gzip_types          text/plain text/css text/javascript text/js text/xml application/json application/javascript application/x-javascript application/xml application/xml+rss application/x-font-ttf image/svg+xml font/opentype;

	# Caching
	location ~* \.(jpg|jpeg|gif|css|png|js|ico|html)$ { access_log off; expires max; }
	location ~* \.(woff|svg)$ { access_log off; log_not_found off; expires 30d; }
	location ~* \.(js)$ { access_log off; log_not_found off; expires 7d; add_header Cache-Control "public, no-transform"; }

	# PHP
	location ~ \.php?$ {
		try_files $uri = 404;
		include fastcgi_params;
		fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
		fastcgi_intercept_errors on;
		fastcgi_split_path_info ^(.+\.php)(.*)$;
		# Menyembuyikan informasi versi
		fastcgi_hide_header X-Powered-By;
	}
}

Cek konfigurasi Nginx

nginx -t

Jika keterangannya sudah OK, restart Nginx

systemctl restart nginx

Uji Coba

Waktunya uji coba dengan SSLLabs Test, hasilnya harusnya A+ seperti idnetter.com berikut ini saya sertakan screenshotnya

Cara install Let's Encrypt di Nginx

 

Selamat mencoba, semoga berhasil A+ juga.

Jika Anda ingin mendapatkan score A+ tanpa repot dan kuatir situs Anda down, jangan ragu untuk kontak saya di 0812 3500 8433 via WA untuk order jasa install SSL dengan score terbaik.
Update: 25 Februari 2019

Add a comment