Komputer

Memasang SSL di ServerPilot paket Gratisan

Saya telah mencoba berbagai macam Web Control Panel gratisan, mulai dari VestaCP, ISPConfig, ZPanel, Virtualmin, WebMin, DirectAdmin sampai Froxlor. Rata-rata telah menyediakan fitur SSL (https) gratis pemberian dari LetsEncrypt. Dengan latar belakang Networking yang pas-pasan, awalnya pilihan saya jatuh pada VestaCP karena alasan kemudahan dalam instalasi dan pemakaiannya. Tapi baru berjalan beberapa minggu, mendadak VestaCP bermasalah sesaat setelah saya melakukan update dan dist-upgrade. Akhirnya sampai sekarang saya memilih ServerPilot yang sangat mudah dalam instalasi, pemakaian, perawatan dan yang paling penting adalah stabil. Bagusnya lagi gratis. Masalahnya, untuk vérsi gratis tidak tersedia SSL. Kalau mau ada fitur SSL harus réla membayar $10/bulan (Rp 134.000/bulan), suatu angka yang bagi seorang guru seperti saya sungguh memberatkan.

Ada cara mengakalinya, yaitu arahkan Name Servers ke Cloudflare lalu ubah pilihan Crypto menjadi Flexible. Maka kita mempunyai situs web yang sudah dilengkapi SSL gratis pemberian Cloudflare.
Selesai. Kalau memakai Cloudflare, tulisan selanjutnya di bawah ini bisa diabaikan.

Tapi bagaimana kalau kita mau mencoba SSL berbayar yang tarifnya hanya belasan dollar pertahun? Adakah caranya? Ada. Ikuti tutorialnya berikut ini. Sekalian kita belajar bagaimana cara memasang sértifikat SSL secara manual.

Prasarat: Harus mempunyai aksés ke command line sistem operasi server melalui SSH / Términal dan mengerti beberapa perintah Linux.

TAHAP KE 1: MEMBUAT CSR.

Masuk (login) lah ke server sebagai root. Jangan menggunakan akun serverpilot. Ketik perintah-perintah di bawah ini. Ganti namadomain menjadi nama domain milik anda.

cd /etc/nginx-sp
mkdir certs
mkdir certs/namadomain.com
cd certs/namadomain.com
umask 077 && touch ssl.key
openssl req -new -newkey RSA:2048 -nodes -keyout ssl.key -out ssl.csr

Jawab pertanyaan yang muncul (nama, alamat, email, dan sebagainya). Hasil dari prosés di atas adalah 2 file yaitu ssl.csr dan ssl.key

TAHAP KE 2: MEMBELI SÉRTIFIKAT SSL

Ada banyak perusahaan penerbit sértifikat SSL, mulai dari yang harganya hanya beberapa dollar pertahun sampai ratusan dollar pertahun. Saya lebih suka memakai sértifikat dari SSLs.com. Biayanya sangat murah, yaitu $14.97 (sekitar Rp 200.000) untuk tiga tahun. Alternatif lain yaitu menggunakan LetsEncrypt SSL. Gratis. Kita hanya perlu memperpanjang tiap 3 bulan sekali. Untuk latihan kali ini gunakan saja sértifikat dari Comodo SSL. Juga gratis 3 bulan.

Setelah meléwati prosés vérifikasi kepemilikan nama domain, kita akan dikirimi (melalui surél / email) 4 file yaitu:

  1. namadomain_com.crt
  2. COMODORSAAddTrustCA.crt
  3. COMODORSADomainValidationSecureServerCA.crt
  4. AddTrustExternalCARoot.crt

Gabungkan isi dari file-file di atas ke dalam sebuah file bernama namadomain_com_ca-bundle-ssl-trusted.crt. Misalkan untuk domain mawan.net adalah mawan_net_ca-bundle-ssl-trusted.crt
Unggah (upload) file ini dan file namadomain_com.crt ke sérver. Untuk mengunggah, bisa memakai SFTP, bisa juga copy paste memakai nano.

LANGKAH KE 4: MENGKONFIGURASI SERVERPILOT AGAR MENGENALI SSL

Karena ServerPilot menggunakan Nginx, maka kita harus mengkonfigurasi Nginx. Caranya, ketik:

cd /etc/nginx-sp/vhosts.d

Di sini kita bisa mengédit namaappserverpilot.conf. Tapi dikhawatirkan ServerPilot suatu saat akan menimpa isinya. Jadi lebih aman simpan konfigurasi di file lain, misalnya ssl.conf.
Lalu salin kode di bawah ini dengan sangat hati-hati. Ganti namadomain.com menjadi nama domain anda (misalnya mawan.net), dan namaapp menjadi nama app dari ServerPilot (misalnya mawan-net).

server {
  listen 443      ssl http2;
  listen [::]:443 ssl http2;
  server_name     namadomain.com www.namadomain.com;

  ssl on;

  # ssl certificates
  ssl_certificate     /etc/nginx-sp/certs/namadomain.com/namadomain_com.crt;
  ssl_certificate_key /etc/nginx-sp/certs/namadomain.com/ssl.key;

  # SSL Optimization
  ssl_session_timeout 10m;
  ssl_session_cache   shared:SSL:20m;
  ssl_session_tickets off;

  # modern configuration
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  ssl_prefer_server_ciphers on;
  ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; 

  # OCSP stapling 
  ssl_stapling on; 
  ssl_stapling_verify on; 

  # verify chain of trust of OCSP response 
  ssl_trusted_certificate /etc/nginx-sp/certs/namadomain.com/namadomain_com_ca-bundle-ssl-trusted.crt;

  # root directory and logfiles 
  root       /srv/users/serverpilot/apps/namaapp/public; 
  access_log /srv/users/serverpilot/log/namaapp/namaapp_nginx.access.log main; 
  error_log  /srv/users/serverpilot/log/namaapp/namaapp_nginx.error.log; 

  # proxyset 
  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-SSL on; 
  proxy_set_header X-Forwarded-Proto $scheme; 

  # includes 
  include /etc/nginx-sp/vhosts.d/namaapp.d/*.nonssl_conf; 
  include /etc/nginx-sp/vhosts.d/namaapp.d/*.conf; 
}

Setelah isi file disimpan, mari kita tés apakah konfigurasi terbaca dengan benar oléh Nginx. Caranya, ketik:

nginx-sp -t

Kalau semuanya benar, akan muncul seperti ini:

nginx: the configuration file /etc/nginx-sp/nginx.conf syntax is ok
nginx: configuration file /etc/nginx-sp/nginx.conf test is successful

Langkah terakhir, muat ulang (restart) Nginx dengan perintah:

service nginx-sp restart

Selesai. Silakan dicoba dengan membuka URL https://www.namadomain.com di peramban (web browser).

Leave a Comment