## Pendahuluan

Tutorial ini akan mengajak pembaca untuk mengatur sertifikat TLS/SSL dari Let’s Encrypt di server Ubuntu 16.04 yang menjalankan Nginx sebagai server webnya. Kita juga akan membahas bagaimana mengotomasi proses perbaruan sertifikat.

Sertifikat SSL dipakai di dalam server web untuk mengenkripsi traffic antara server dan klien dengan memberikan tambahan lapisan keamanan bagi user yang mengakses aplikasi web kita. Let's Encrypt memberikan cara mudah untuk mengambil dan memasang sertifikat terpercaya tanpa biaya.

<p class="baca-juga"><a href="https://www.codepolitan.com/cara-mengamankan-apache-web-server-dengan-lets-encrypt-di-ubuntu-1604-59e6ec9237efe">Cara Mengamankan Apache Web Server dengan Let's Encrypt di Ubuntu 16.04</a></p>

## Prasyarat

Untuk menyelesaikan tutorial ini kita akan membutuhkan:

* Server Ubuntu 16.04 dengan user non-root yang memiliki akses sudo, yang mana bisa diatur dengan mengikuti tutorial [Yang Perlu Dilakukan Setelah Memasang Server Ubuntu 16.04](https://www.codepolitan.com/yang-perlu-dilakukan-setelah-memasang-server-ubuntu-1604-59e632bf00c74).
* Server web Nginx telah terpasang.
* Memiliki domain yang ingin didaftarkan (atau memiliki akses ke domain ini)
* Sebuah DNS **A Record** yang mengarahkan alamat IP publik ke server Nginx. 
 
 Setelah memenuhi semua prasyarat, mari kita lanjutkan dengan memasang Certbot, aplikasi klien untuk Let's Encrypt. 
 
## Langkah 1 — Pasang Klien Let's Encrypt

Sertifikat Let's Encrypt dapat diunduh lewat software klien yang berjalan di server kita. Klien resmi untuk Let's Encrypt bernama Certbot dan sudah memiliki repositori Ubuntu sendiri dengan versi terbaru. Karena pengembangannya yang sangat aktif, maka kita dapat langsung memasang Certbot terbaru dari repositorinya sendiri daripada menggunakan repositori Ubuntu.

Pertama, tambahkan dulu repositorinya:

```
sudo add-apt-repository ppa:certbot/certbot
```

Tekan `ENTER` untuk menerima. Lalu, jalankan perintah di bawah:

```
sudo apt-get update
```

Terakhir, pasang Certbot dengan perintah:

```
sudo apt-get install python-certbot-apache
```

Software klien `certbot` Let's Encrypt sekarang sudah siap dipakai.

## Langkah 2 — Menyiapkan Nginx

Certbot dapat secara otomatis mengatur SSL untuk Nginx, tapi ia perlu mengetahui server block yang benar di konfigurasi. Nginx melakukan hal ini dengan melihat sebuat `server_name` yang sama dengan domain untuk didaftarkan sertifikat SSL-nya. Jika pembaca menggunakan Nginx yang baru diinstall, kita bisa memperbarui file konfigurasi bawaannya:

```
$ sudo nano /etc/nginx/sites-available/default
```

Cari baris `server_name`:

```
server_name _;
```

Ganti tanda ` _` dengan nama domain yang ingin dipakai:

```
server_name example.com www.example.com;
```

Simpan dan keluar dari editor. Lakukan validasi sintaks yang baru ditulis dengan menjalankan perintah:

```
$ sudo nginx -t
```

Jika tidak ada kesalahan, restart Nginx untuk membaca pengaturan yang baru:

```
$ sudo systemctl reload nginx
```

Certbot sekarang akan bisa menemukan server block yang benar dan meperbaruinya. Sekarang kita perlu memperbarui firewall agar mengijinkan *traffic* HTTPS.

## Langkah 3 — Mengatur Firewall

Jika pembaca mengaktifkan firewall `ufw`, seperti yang direkomendasikan di tutorial [ini](https://www.codepolitan.com/cara-mengamankan-apache-web-server-dengan-lets-encrypt-di-ubuntu-1604-59e6ec9237efe), pembaca perlu mengaturnya untuk menerima *traffic* HTTPS. Untungnya, Nginx telah mendaftarkan beberapa profil untuk `ufw` saat dipasang. 

Ketikkan perintah berikut:

```
$ sudo ufw status
```

Dari pesan yang muncul, kita dapat lihat bahwa baru *traffic* HTTP yang diijinkan:
```
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
Nginx HTTP                 ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)             
Nginx HTTP (v6)            ALLOW       Anywhere (v6)
```

Untuk menambahkan *traffic* HTTPS kita bisa meng-*allow*-kan profil "Nginx full" lalu menghapus profil "Nginx HTTP" yang sudah aktif.:

```
$ sudo ufw allow 'Nginx Full'
$ sudo ufw delete allow 'Nginx HTTP'
```

Ketikkan lagi perintah berikut:

```
$ sudo ufw status
```

Maka statusnya sekarang seharusnya sudah terlihat seperti berikut ini:

```
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
Nginx Full                 ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
Nginx Full (v6)            ALLOW       Anywhere (v6)
```

Sekarang kita sudah siap untuk menjalankan Certbot dan mendapatkan sertifikat SSL. 

## Langkah 4 — Mendapatkan Sertifikat SSL

Certbot memberikan beberapa cara untuk mendapatkan sertifikat SSL melalui beberapa plugin. Plugin Nginx akan melakukan konfigurasi Nginx ulang dan memuat ulang konfigurasi yang dibutuhkan:

```
$sudo certbot --nginx -d example.com -d www.example.com
```

Perintah di atas akan menjalankan `certbot` dengan plugin `--nginx` menggunakan opsi `-d` untuk menentukan nama domain yang ingin diatur.

Jika baru pertama kali menjalankan `certbot`, ia akan meminta kita memasukkan alamat email dan menyetujui *terms of service*-nya. Setelah memberikan apa yang ia minta, `certbot` lalu akan menghubungi server Let's Encrypt, menjalankan sebuah *challenge* untuk mengetahui apakah kita memiliki kontrol domain yang ditambahkan tadi. 

Jika *challenge* berhasil, `certbot` akan menanyakan bagaimana kita ingin mengatur konfigurasi HTTPS:

```
Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):
```

Pilihan `2` akan me-*redirect* semua *traffic* untuk mengarah ke HTTPS. Sedangkan, opsi `1` masih tetap menerima permintaan HTTP. Opsi `2` merupakan pilihan terbaik kecuali masih ada layanan HTTP yang tidak bisa dijadikan HTTPS. Masukan angka yang diinginkan lalu tekan tombol `ENTER`. Setelah proses dilanjutkan dan berhasil, `certbot` akan memberikan pesan pemberitahuan tempat di mana sertifikatnya disimpan:

```
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2017-10-23. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again with the
   "certonly" option. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
```

Sekarang coba akses alamat servernya dan perhatikan indikator dibagian *address bar*. Jika berhasil, maka akan muncul ikon gembok berwarna hijau. 

## Langkah 5 — Memperbarui Parameter Diffie-Hellman

Jika pembaca menguji server yang sekarang menggunakan [SSL Labs Server Test](https://www.ssllabs.com/ssltest/), pengujian ini hanya akan memberikan nilai **B** karena parameter Diffie-Hellman. Kita bisa memperbaikinya dengan membuat file dhparam.pem dan menambahkannya ke *server block*.

Buat file tadi dengan OpenSSL:

```
$ sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048
```

Perintah di atas akan berlangsung agak lama, mungkin beberapa menit. Jika selesai, buka file konfigruasi Nginx yang ada server block kita. Di contoh ini, yang dibuka adalah konfigurasi bawaan:

```
$ sudo nano /etc/nginx/sites-available/default
```

Paste baris berikut di dalam file yang sedang dibuka di mana saja:

```
ssl_dhparam /etc/ssl/certs/dhparam.pem;
```

Simpan dan keluar dari editor. Jalankan perintah berikut untuk memeriksa kesalahan sintaks:

```
$ sudo nginx -t
```

Jika tidak ada kesalahan, muat ulang Nginx:

```
$ sudo systemctl reload nginx
```

Sekarang server lebih aman dan mendapatkan nilai **A**.

## Langkah 6 — Memperbarui Sertifikat Secara Otomatis


Sertifikat Let's Encrypt hanya valid selama 90 hari. Pengguna disarankan untuk mengotomatiskan proses perbaruan sertifikatnya. Kita perlu menyiapkan perintah yang akan berjalan secara otomatis untuk memeriksa tanggal kadaluarsa sebuah sertifikat dan memperbaruinya. 

Untuk menjalankan proses di atas kita akan menggunakan `cron`, service sistem standar untuk melakukan pekerjaan yang berulang. Kita akan memberitahu `cron` apa yang harus dilakukan dengan membuka dan mengubah isi file bernama `crontab`.

```
sudo crontab -e
```

Tambahkan baris berikut ke dalam crontab:

crontab

```
. . .
15 3 * * * /usr/bin/certbot renew --quiet
```

Bagian `15 3 * * *` dari perintah di atas artinya "jalankan perintah ini setiap hari jam 3:15 pagi. 

Perinath `renew` akan memberitahu Certbot untuk memeriksa semua sertifikat yang terpasang di sistem dan memperbarui setiap sertifikat yang akan kadaluarsa dalam 30 hari. Opsi `--quiet` memberitahu Certbot untuk tidak menampilkan informasi apapun atau menunggu masukan pengguna. 

Sistem `cron` akan menjalankan perintah ini setiap hari. Karena kita memasang sertifikat dengan menggunakan  `--apache`, maka Apache juga akan direstart untuk menggunakan sertifkat yang baru. 


## Penutup

Di tutorial ini, kita telah belajar bagaimana memasang sertifikat SSL gratis dari Let's Encrypt untuk mengamankan website yang menggunakan Nginx. Kami sarankan pembaca untuk memeriksan [blog resmi Let's Encrypt](https://letsencrypt.org/blog/) untuk info terbaru serta membaca [dokumentasi Certbot](https://certbot.eff.org/docs/) untuk detail lebih lengkap mengenai klien yang tadi kita gunakan. 

*Diterjemahkan dari [ How To Secure Nginx with Let's Encrypt on Ubuntu 16.04](https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04) di bawah  [Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License](https://creativecommons.org/licenses/by-nc-sa/4.0/).*

Cara Mengamankan Nginx Web Server dengan Let's Encrypt di Ubuntu 16.04

GenAI Video Fest adalah ajang kompetisi video kreatif yang diselenggarakan oleh CODEPOLITAN bekerjasama dengan Alibaba Cloud.

Kami menantang kreator, tech-enthusiast, dan siapa saja untuk mendobrak batas imajinasi menggunakan teknologi Generative AI terbaru. Di sini, kamu wajib menggunakan WAN Model Studio dari Alibaba Cloud sebagai tools utama untuk menghasilkan karya videomu (bisa dikombinasikan dengan tools editing lainnya).

Tunjukkan pada dunia bagaimana teknologi dan kreativitas bisa bersatu menciptakan karya visual yang berdampak!

Kategori Kompetisi
Pilih satu dari empat tema besar ini untuk karyamu:
* Humanity (Kemanusiaan): Cerita yang menyentuh hati, sosial, dan kepedulian antar sesama.
* Sports (Olahraga): Energi, semangat juang, dan dinamika dunia olahraga.
* Entertainment (Hiburan): Komedi, musik, video klip, atau parodi yang menghibur.
* Science (Sains): Visualisasi masa depan, teknologi, alam semesta, atau penemuan ilmiah.

Total Prize Pool senilai Rp 250.000.000 menunggu para pemenang!
* Top Winners Rewards: Uang Tunai, Alibaba Cloud Credits (hingga $500), Merchandise Eksklusif, dan SWAG CODEPOLITAN.
* Lucky Draw Event: Kesempatan menang hadiah tambahan bagi peserta yang beruntung.
* Massive Exposure: Karya terbaik akan di-highlight di media sosial CODEPOLITAN, Alibaba Cloud, dan channel industri kreatif lainnya.
* Special Access (Khusus Alumni RuangAI): Dapatkan 2 Token untuk klaim Kelas Spesialisasi di RuangAI secara gratis.

Jangan sampai ketinggalan tanggal penting ini:
* Pendaftaran & Submission: 23 Desember 2024 - 23 Januari 2025
* Penjurian (Judging Phase): 24 - 26 Januari 2025
* Pengumuman Pemenang: 27 Januari 2025

Cara Ikutan:
1. Daftar: Klik tombol "Daftar Sekarang" dan pastikan kamu punya akun RuangAI.
2. Join Discord: Masuk ke server Discord komunitas untuk info teknis dan diskusi.
3. Create: Buat video kreatifmu menggunakan WAN Model Studio (Alibaba Cloud) sesuai kategori pilihan.
4. Upload & Submit: Unggah videomu ke media sosial (IG/TikTok/YouTube) dan submit link karyamu di halaman submission RuangAI.

Ikuti kompetisi video Generative AI terbesar dari CODEPOLITAN dan Alibaba Cloud! Gunakan teknologi WAN Model Studio untuk menyulap ide liarmu menjadi visual memukau. Rebut total hadiah senilai Rp 250.000.000!

GenAI Video Fest

Beasiswa Basic Cybersecurity adalah program inisiatif dari JagoanSiber yang dirancang untuk membuka wawasan masyarakat luas tentang dunia keamanan digital. Program ini hadir untuk menjawab kebutuhan talenta keamanan siber yang tinggi, dimulai dengan membangun pemahaman fundamental yang kokoh.

Program ini berbentuk Kelas Online Belajar Mandiri (Self-Paced Learning) berbasis video. Peserta diberikan keleluasaan penuh untuk mengakses materi kapan saja dan di mana saja tanpa terikat jadwal, sehingga sangat fleksibel bagi pelajar, mahasiswa, maupun pekerja profesional.

Kelebihan utama program ini adalah aksesnya yang 100% GRATIS dan terbuka untuk siapa saja tanpa syarat latar belakang IT. Peserta akan dibimbing langsung oleh Mahrus Qusaery, seorang praktisi keamanan siber berpengalaman, yang akan mengupas tuntas materi dasar yang krusial.

Program beasiswa kelas online gratis untuk mempelajari dasar keamanan siber dari nol. Belajar mandiri berbasis video langsung dari praktisi ahli, Mahrus Qusaery.

Cara Mengamankan Nginx Web Server dengan Let's Encrypt di Ubuntu 16.04

Learning

KelasFullstack

RuangAI

JagoanSiber

Baca Artikel Lainnya

Hour of Code, Belajar Coding Satu Jam

Jangan Lewatkan, Jogja Geek Job Fair #2 Digelar Lagi Minggu Ini

Wawancara Bersama Luri Darmawan Pembuat AKSI IDE

io.js, Framework JavaScript yang Kompatibel dengan Node.js dan npm

CodeCombat, Belajar Coding Sambil Bermain Game

Mengenal Meteor, Framework JavaScript yang Sedang Naik Daun