Pada tulisan berikut kita akan melakukan instalasi melalui pembuatan custom paket rpm dari source yang disediakan oleh OpenVPN serta membuat konfigurasi server VPN dengan moda bridge (TAP) dan melakukan koneksi VPN dari desktop Windows yang kita gunakan sebagai workstation.

Pastikan bahwa server yang anda ingin gunakan mendukung interface TAP, apabila VPS, pastikan hal ini ke penyedia jasa VPS yang anda gunakan.

Download File dan Install Paket yang dibutuhkan

Kita download terlebih dahulu source file dan paket rpm lzo yang disediakan oleh OpenVPN, melalui situs Magnet Hosting apabila anda melakukan instalasi di Server IIX di Data Center Indonesia.

cd /usr/src/
wget http://www.magnet-id.com/download/etc/openvpn/openvpn-2.0.9.tar.gz
wget http://www.magnet-id.com/download/etc/openvpn/lzo-1.08-4.rf.src.rpm

Instal paket yang dibutuhkan dengan menggunakan Yum Package Management;

yum install rpm-build autoconf.noarch zlib-devel pam-devel openssl-devel

Buat Paket RPM dan Konfigurasi Default

Dalam contoh ini kita akan membuat sendiri paket RPM yang akan kita install dari source file yang disediakan;

rpmbuild –rebuild lzo-1.08-4.rf.src.rpm
rpm -Uvh /usr/src/redhat/RPMS/x86_64/lzo-*.rpm
rpmbuild -tb openvpn-2.0.9.tar.gz

Install OpenVPN menggunakan RPM yang sudah kita buat sebelumnya;

rpm -Uvh /usr/src/redhat/RPMS/x86_64/openvpn-2.0.9-1.x86_64.rpm

Kopi file configurasi dan script easy-rsa yang dibutuhkan untuk membuat SSL certificate dan key baik untuk server maupun untuk klien nantinya;

cp -r /usr/share/doc/openvpn-2.0.9/easy-rsa/ /etc/openvpn/
cp /usr/share/doc/openvpn-2.0.9/sample-config-files/server.conf /etc/openvpn/

Membuat Certificate dan Key untuk Server

cd /etc/openvpn/easy-rsa/

Edit variabel di dalam vars untuk memudahkan kita dalam proses pembuatan SSL certificate;

vi vars

Sesuaikan entry berikut (dibagian paling bawah);

export KEY_COUNTRY=ID
export KEY_PROVINCE="DKI Jakarta"
export KEY_CITY="Jakarta Timur"
export KEY_ORG=”Magnet Hosting”
export KEY_EMAIL=”hostmaster@magnet-id.com”

Jalankan perintah berikut;

. ./vars #Perhatikan, .(spasi).vars
./clean-all #Akan mengosongkan direktori keys/

Generate SSL Certificate, semua certificate dan key akan berada di dalam direktori /etc/openvpn/easy-rsa/keys;

./build-ca

Kemudian input data sesuai dengan konfigurasi kita, tekan enter untuk variabel yang sebelumnya sudah kita tentukan di file vars, dan sesuaikan Common Name dengan hostname server kita;

Generating a 1024 bit RSA private key
………………………++++++
…………………….++++++
writing new private key to ‘ca.key’
—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [ID]:

State or Province Name (full name) [DKI Jakarta]:
Locality Name (eg, city) [Jakarta Timur]:
Organization Name (eg, company) [Magnet Hosting]:
Organizational Unit Name (eg, section) []:Technical
Common Name (eg, your name or your server’s hostname) []:vpn.magnet-id.com
Email Address [hostmaster@magnet-id.com]:

Kemudian kita akan membuat server key, sesuaikan ovpnserver dengan keinginan kita, juga cukup tekan enter untuk variabel yang sudah kita tentukan sebelumnya;

./build-key-server ovpnserver

Generating a 1024 bit RSA private key
........................................++++++
.........................++++++
writing new private key to ‘ovpnserver.key'
--
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.', the field will be left blank.
--
State or Province Name (full name) [DKI Jakarta]:
Locality Name (eg, city) [Jakarta Timur]:
Organization Name (eg, company) [Magnet Hosting]:
Organizational Unit Name (eg, section) []:Technical
Common Name (eg, your name or your server’s hostname) []:vpn.magnet-id.com
Email Address [hostmaster@magnet-id.com]:

Please enter the following ‘extra' attributes
to be sent with your certificate request
A challenge password []:<enter your password here>
An optional company name []:
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName:PRINTABLE:'ID'
stateOrProvinceName:PRINTABLE:'Jakarta Timur'
localityName:PRINTABLE:'DKI Jakarta'
organizationName:PRINTABLE:'Magnet Hosting'
organizationalUnitName:PRINTABLE:'Technical'
commonName:PRINTABLE:'vpn.magnet-id.com'
emailAddress:IA5STRING:'hostmaster@magnet-id.com'
Certificate is to be certified until Apr 09 15:15:27 2019 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Generate Diffie Hellman;

./build-dh

Tunggu sampai proses selesai, file certificate dan key kemudian kita kopi ke /etc/openvpn dimana file server.conf akan ditempatkan, path untuk key dan certificate tersebut nantinya harus disesuaikan dengan informasi yang kita masukkan di file konfigurasi;

cp keys/ca.crt ../
keys/dh1024.pem ../
keys/ovpnserver.key ../
keys/ovpnserver.crt ../

Konfigurasi OpenVPN Server

Edit file /etc/openvpn/server.conf sesuai dengan keinginan kita, sebagai permulaan silahkan lakukan perubahan pada baris-baris berikut; Sesuaikan konfigurasi push route, push route akan membuat table routing untuk klien yang terkoneksi dengan OpenVPN Server, dalam contoh ini kita ingin agar klien kita menambah routing untuk blok 10.10.10.0/24 ke IP Gateway OpenVPN Server.

local ip.address.listen.server # Tidak perlu dimasukkan kecuali hanya ingin listen di satu IP (Optional)
dev tap
;dev tun
ca ca.crt
cert ovpnserver.crt
key ovpnserver.key
server 10.10.11.0 255.255.255.0
push “route 10.10.10.0 255.255.255.0″

Konfigurasi blok IP Address pada direktif server akan menentukan blok IP Address di interface tap yang muncul kita OpenVPN Server dijalankan, dan muncul di sisi klien ketika terkoneksi.

Startup

service openvpn start
chkconfig openvpn on

Periksa interface tap;

ifconfig

Akan muncul entry seperti berikut;

tap0      Link encap:Ethernet  HWaddr 8E:09:6A:2B:BE:04
          inet addr:10.10.11.1  Bcast:10.15.16.255  Mask:255.255.255.0
          inet6 addr: fe80::8c09:6aff:fe2b:be04/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32130 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11338 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:3256073 (3.1 MiB)  TX bytes:2182701 (2.0 MiB)

netstat -al

Akan terlihat bahwa server kita sudah listen di port UDP 1194;

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
...
udp        0      0 vpn.magnet-id.com:openvpn *:*
...

Konfigurasi Klien (Windows)

Untuk linux dapat dilakukan secara langsung dengan melakukan instalasi OpenVPN seperti di atas, namun gunakan key dan certificate yang diinstall di server sebelumnya (dikopi). Dan gantikan file server.conf menjadi client.conf, sesuaikan direktif di dalamnya;

Download file installer OpenVPN untuk windows melalui http://www.magnet-id.com/download/etc/openvpn/openvpn-2.0.9-install.exe, setelah instalasi PC anda harus direstart terlebih dahulu agar driver interface tap dapat diimplementasikan.

Pada contoh ini kita tidak akan mengenerate key di sisi klien, melainkan di sisi server, untuk konfigurasi client akan menggunakan key dan certificate yang dikonfigurasi di server.

Buat direktori, misalnya di desktop dan beri nama openvpn-client, kopi file client.ovpn dari Program Files\OpenVPN\sample-config ke direktori tersebut dan buka dengan menggunakan text editor, atau buat sendiri file konfigurasi klien dengan ekstensi .ovpn dengan isi sebagai berikut;

client
dev tap
proto udp
remote ip.address.server.vpn 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vpnhome.crt
key vpnhome.key
comp-lzo
verb 3

Perhatikan bahwa konfigurasi tersebut menggunakan ca.crt, vpnhome.crt dan vpnhome.key, ca.crt akan kita kopi dari server karena vpnhome crt dan key akan kita generate di server.

Gantikan vpnhome dengan keinginan anda, gunakan key dan cert yang berbeda untuk koneksi di server / user berbeda. Kembali ke server OpenVPN anda, lakukan perintah berikut;

cd /etc/openvpn/easy-rsa/
. ./vars
./build-key vpnhome

Ikuti langkah yang dibutuhkan, vpnhome.crt dan vpnhome.key akan muncul di dalam direktori /etc/openvpn/easy-rsa/keys/. Kopi file ca.crt, vpnhome.crt dan vpnhome.key ke dalam direktori konfigurasi OpenVPN di klien menggunakan winscp, kemudian, untuk terkoneksi, silahkan klik kanan client.ovpn dan klik Start OpenVPN using this config file;

Perhatikan bahwa akan terbuka window CMD yang memperlihatkan proses koneksi antara klien dan server;

Pastikan routing table dan ip address interface tap dengan menggunakan iconfig dan route print;

C:\>ipconfig
...
Ethernet adapter Local Area Connection 2:
        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 10.10.11.3
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :

C:\>route PRINT
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1f d0 89 e4 df ...... Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC
- Teefer2 Miniport
0x3 ...00 ff bb e4 30 68 ...... TAP-Win32 Adapter V8 - Teefer2 Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
...
       10.10.11.0    255.255.255.0       10.10.11.1      10.10.11.1       30
       10.10.11.3  255.255.255.255        127.0.0.1       127.0.0.1       30
    10.255.255.255  255.255.255.255       10.10.11.3      10.10.11.3       30
...
===========================================================================
Persistent Routes:
  None

Referensi

• Situs resmi OpenVPN http://www.openvpn.net
• http://www.throx.net/2008/04/13/openvpn-and-centos-5-installation-and-configuration-guide/

Namun hal ini harus dilakukan secara manual karena belum didukung oleh interface yang disediakan LxAdmin HiB.

Artikel berikut berasumsi bahwa anda menggunakan LxAdmin Host In A Box sebagai Operating System VPS anda yang disediakan melalui HyperVM dan secara gratis dapat anda gunakan.

Hal yang kurang lebih serupa juga dapat anda lakukan untuk menggunakan layanan SSL berbayar, misalnya yang ditawarkan oleh Magnet Hosting (Thawte Digital Certificate).

Menyiapkan Direktori

Login ke VPS anda menggunakan SSH Client, seperti PUTTY, asumsi bahwa anda telah login sebagai root;

cd ~
mkdir qmailtoaster-ssl
cd qmailtoaster-ssl

Generate Private Key,  Certificate Request (CSR) dan Self Signed Certificate

Generate private key;

openssl genrsa -des3 -out servercert.key.enc 1024

Menghilangkan pass phrase dari private key

openssl rsa -in servercert.key.enc -out servercert.key

Generate Certificate Request (CSR)

openssl req -new -key servercert.key -out servercert.csr

Anda akan diminta memasukkan informasi terkait dengan CSR anda, silahkan sesuaikan dengan keinginan anda; samakan common name dengan hostname VPS anda agar tidak muncul error Domain Mismatch;

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:ID
State or Province Name (full name) [Berkshire]:DKI Jakarta
Locality Name (eg, city) [Newbury]:Utan Kayu
Organization Name (eg, company) [My Company Ltd]:Magnet Hosting
Organizational Unit Name (eg, section) []:Mail Services
Common Name (eg, your name or your server's hostname) []:mail.magnet-id.com
Email Address []:postmaster@magnet-id.com

Sign CSR untuk self signed certificate

openssl x509 -req -days 3650 -in servercert.csr -signkey servercert.key -out servercert.crt 

Generate PEM (Privacy Enhanced Mail)

Dalam kasus ini, File PEM hanya akan berisi self signed certificate dan private key yang telah kita generate sebelumnya;

cat servercert.key servercert.crt > servercert.pem

Pindahkan File PEM ke Ditektori Qmail

Kemudian kita akan memindahkan file PEM yang sebelumnya kita generate ke direktori Qmail di LxAdmin Host in A Box, sebelumnya kita ubah dahulu ownershipnya;

chown root.qmail servercert.pem
cp servercert.pem /var/qmail/control/servercert.pem

Ketika anda akan memindahkan file PEM anda akan diminta untuk mereplace file yang lama, tekan Yes atau Y.

Restart Qmail

/etc/init.d/qmail restart

Tambahan Untuk Pengguna Thawte SSL

Untuk Thawte SSL CSR harus dibuat dengan enkripsi minimal 2048 bit, silahkan lakukan perintah berikut untuk membuat CSR 2048 bit;

openssl genrsa -des3 -out servercert.key.enc 2048
openssl rsa -in servercert.key.enc -out servercert.key
openssl req -new -key servercert.key -out servercert.csr

Apabila Cert anda sudah diissue oleh Thawte, pada saat instalasi, pastikan bahwa anda juga memasukkan Thawte Intermediate CA, apabila hal ini tidak dilakukan, maka Cert anda akan tidak dapat di verify dan tercatat sebagai not trusted.

Kunjungi link-link berikut untuk mendapatkan informasi lebih lanjut mengenai Thawte Intermediate CA;

• https://search.thawte.com/support/ssl-digital-certificates/index?page=content&actp=CROSSLINK&id=AR1384
• https://search.thawte.com/support/ssl-digital-certificates/index?page=content&actp=CROSSLINK&id=AR1374

CA Bundle dapat didownload dengan menggunakan wget;

wget https://search.thawte.com/library/VERISIGN/ALL_OTHER/thawte%20ca/SSL123_CA_Bundle.pem

Gabungkan Key, Cert dan CA Bundle (asumsi dalam hal ini anda menggunakan SSL123) kedalam 1 file servercert.pem

cat servercert.key servercert.crt SSL123_CA_Bundle.pem > servercert.pem

Kopi file tersebut ke /var/control/qmail dan restart qmail anda.

Referensi

• Forum LxLabs http://forum.lxlabs.com
• Qmailtoaster Wiki http://wiki.qmailtoaster.com/index.php?title=Certificate

CSR harus anda kirimkan ke thawte agar digital certificate anda dapat diterbitkan, hal ini merupakan bagian dari proses enrollment yang harus anda jalankan. Informasi mengenai proses enrollment dapat anda pelajari melalui artikel yang berbeda.

Proses ini hanya dapat dilakukan oleh pihak yang memiliki akses ke WHM, artinya anda minimal harus menjadi reseller untuk melakukan proses ini sendiri, apabila anda tidak memiliki akses ke WHM, silahkan ajukan permohonan ke pihak web hosting yang anda gunakan untuk melakukan hal ini.

Apabila anda memiliki akses ke WHM silahkan login ke WHM anda dan lakukan langkah-langkah berikut;

• Klik link Generate SSL Certificate and Signing Request pada bagian SSL/TLS.

Generate SSL dan CSR

• Isikan informasi yang dibutuhkan dan klik Create di bagian bawah;

Generate CSR Form

• CSR anda akan di generate dan dikirimkan ke alamat E-mail yang anda masukkan sebelumnya, gunakan text editor untuk mengkopi isi CSR dan kirimkan ke thawte melalui form enrollment di control panel order anda.

Proses Enrollment harus anda lakukan sebelum Thawte menerbitkan digital certificate anda. Apabila anda sudah melakukan order dan telah melakukan pembayaran, maka proses ini harus dilakukan dalam waktu maksimal 5 hari setelah order tersebut aktif. Apabila tidak, maka order anda akan di cancel dan dana akan dikembalikan kepada anda.

Generate Private Key dan Certificate Signature Request (CSR)

Hal ini anda lakukan dari web server yang anda gunakan, sebuah CSR pada dasarnya adalah sebuh Public Key yang memuat informasi spesifik mengenai organisasi anda dan web server anda. Thawte menyaratkan publik key di sign oleh private key dengan minimal 1024 bit level enkripsi. Private key kemudian akan anda simpan dan tidak untuk dipublish, thawte sendiri tidak akan memiliki akses terhadap private key yang anda miliki. Private key tersebut akan menentukan integritas identitas digital yang anda miliki.

Tata cara atau prosedur untuk mengenerate CSR sesuai dengan web server yang anda gunakan dapat anda simak lebih jauh dan lebih detil melalui fasilitas Support yang disediakan oleh Thawte, misalnya apabila anda menggunakan cPanel (dengan apache) maka anda dapat mengikuti petunjuk Generate CSR for cPanel.

Validasi Certificate Signature Request (CSR) di Thawte

Setelah anda berhasil mengenerate CSR, anda dapat melakukan validasi CSR tersebut melalui fasilitas yang disediakan thawte.

Klik link berikut, Validasi CSR di thawte.

Apabila CSR anda valid, maka anda akan menemukan informasi detil mengenai isi certificate di bagian bawah.

Mengirimkan Detil Organisasi, Kontak dan isi Certificate ke Thawte

Sebelum digital certificate anda diterbitkan oleh thawte, anda harus terlebih dahulu mengirimkan detil informasi jati diri dan informasi bisnis anda ke thawte.

Hal ini dapat dilakukan melalui control panel;

• Login melalui domaccess.magnet-id.com, masukkan username anda (email) dan password sama dengan informasi login anda ke Fasilitas Pengelolaan Layanan Magnet. Cari nama domain yang anda gunakan untuk mendaftar digital certificate.
• Klik order terkait dan klik enroll certificate.
• Masukkan informasi yang dibutuhkan dan klik enroll. Mohon diperhatikan untuk memasukkan informasi yang tepat, karena untuk beberapa jenis certificate akan dilakukan validasi berdasarkan informasi yang anda masukkan disini.

Verifikasi

Anda akan diminta untuk mengirimkan dokumen sebagai berikut ke Thawte, karena thawte akan terlebih dahulu melakukan validasi terhadap informasi anda sebelum dapat menerbitkan certificate.
Berikut beberapa jenis informasi yang dibuthkan;

• Bukti Organisasi / Nama Organisasi dapat berupa dokumen resmi yang menguraikan nama organisasi anda.
• Bukti hak penggunaan Nama Domain.
• Bukti Rekening Telepon dan Nomor Telepon Organisasi.

Untuk tipe certificate SSL 123, thawte akan melakukan validasi otomatis terhadap certificate anda, namun pada beberapa kasus thawte mungkin akan meminta keterangan seperti disebutkan di atas.

Status Proses Penerbitan Digital Certificate

Setelah proses enrollment di mulai, thawte akan melakukan proses validasi yang dibutuhkan. Anda dapat melakukan pemeriksaan status ini pada control panel order anda. Setelah digital certificate diterbitkan, thawte akan mengirimkan e-mail kepada anda, dan anda dapat mengambil certificate juga melalui control panel order anda.

Fasilitas komentar untuk artikel ini dimatikan, feedback dan error yang anda dapatkan saat menjalankan langkah-langkah yang diuraikan disini silahkan diutarakan melalui Forum Magnet http://forum.magnet-id.com/.

Pada contoh kasus ini mesin Linux menggunakan CentOS 64 bit. Studi kasus adalah menjalankan phpMyAdmin pada port HTTPS 443 dengan menggunakan Nginx. Prinsip yang sama dapat digunakan dengan operating system dan aplikasi web lainnya.

openssl

Pastikan bahwa mesin Linux anda telah terinstall dengan openssl; kita akan menggunakan openssl untuk mengenerate key pair dan self signed certificate.

yum install openssl

Create Keys, CSR (Certificate Signing Request) dan Certificates

Buat direktori temporer yang dapat anda hapus kemudian setelah semua proses dilakukan dengan sukses.

mkdir /root/temp
cd /root/temp

Create private key, masukkan passphrase, passphrase ini akan kita hapus kemudian;

openssl genrsa -des3 -out pma.key 1024

Create CSR (Certificate Signing Request) dan masukkan informasi yang dibutuhkan, dianjurkan untuk memasukkan Common Name (CN) sesuai dengan nama server yang akan dilayani, calam contoh ini adalah pma.yourdomain.com.

openssl req -new -key pma.key -out pma.csr

Hapus passphrase yang kita masukkan sebelumnya, apabila hal ini tidak dilakukan maka kita diharuskan untuk memasukkan passphrase setiap mesin / web server anda di reboot.

cp pma.key pma.key.org
openssl rsa -in pma.key.org -out pma.key

Create self signed digital certificate

openssl x509 -req -days 365 -in pma.csr -signkey pma.key -out pma.crt

Selanjutnya adalah memindahkan file certificate (crt) dan file key ke direktori yang akan dipanggil kemudian melalui konfigurasi Nginx, dalam kasus ini kita akan memindahkan ke direktori Nginx (cert), sesuaikan path dengan selera anda.

mkdir /usr/local/nginx/cert
cp pma.crt pma.key /usr/local/nginx/cert

Konfigurasi Nginx

Berikut entry dari konfigurasi nginx bagian server { }, melalui konfigurasi ini kita akan melayani request ssl pada port 443.

server {
listen pma.yourdomain.com:443;
client_max_body_size 10M;
index index.php;
server_name pma.yourdomain.com;
root /var/www/pma.yourdomain.com;

ssl on;
ssl_certificate /usr/local/nginx/cert/pma.crt;
ssl_certificate_key /usr/local/nginx/cert/pma.key;

location / {
proxy_set_header X_FORWARDED_PROTO https;
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_redirect false;
proxy_max_temp_file_size 0;
}

location ~ .php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param HTTPS on;
include /usr/local/nginx/conf/fastcgi_params;
}
}

References

• http://rubyjudo.com/2006/11/2/nginx-ssl-rails
• http://articles.slicehost.com/2007/12/19/ubuntu-gutsy-self-signed-ssl-certificates-and-nginx
• http://blog.skateinmars.net/post/2007/11/01/phpMyAdmin-and-HTTPS-on-nginx

Fasilitas komentar untuk artikel ini dimatikan, feedback dan error yang anda dapatkan saat menjalankan langkah-langkah yang diuraikan disini silahkan diutarakan melalui Forum Magnet http://forum.magnet-id.com/.

Mod SSL dan openSSL

Mod SSL adalah module Apache yang dibutuhkan untuk melayani request SSL pada default port 443. Kita juga membutuhkan openssl (sudah terinstall sebelumnya) untuk mengenerate key dan certificate yang dibutuhkan. Install mod_ssl melalui yum, dan reload apache.

yum install mod_ssl
service httpd reload

Jalankan apachectl -M untuk memastikan mod_ssl sudah diload oleh Apache anda;

apachectl -M

Loaded Modules:
...
ssl_module (shared)
Syntax OK

Generate Keys, CSR dan Certificate

Generate keys dan certificate yang dibutuhkan pada temporary folder untuk kemudian dipindahkan ke folder Apache. Dalam contoh ini kita akan membuat certificate untuk vhost1.magnet-id.com;

mkdir /root/temp && cd /root/temp
openssl genrsa -des3 -rand file1:file1 -out vhost1.key 1024

Kemudian dianjurkan untuk menhapus password key, karena kalau tidak kita harus terlebih dahulu memasukkan password ketika apache atau mesin di restart.

cp vhost1.key vhost1.key.org
openssl rsa -in vhost1.key.org -out vhost1.key

Setelah pasangan key dibuat, kita dapat mengenerate CSR atau Certificate Signing Request. Masukkan informasi yang dibutuhkan, dianjurkan untuk memasukkan commonname sesuai dengan domain yang akan dilayani melalui SSL.

openssl req -new -key vhost1.key -out vhost1.csr

Country Name (2 letter code) [GB]:ID
State or Province Name (full name) [Berkshire]:DKI Jakarta
Locality Name (eg, city) [Newbury]:Jakarta Timur
Organization Name (eg, company) [My Company Ltd]:Magnet
Organizational Unit Name (eg, section) []:Technical
Common Name (eg, your name or your server's hostname) []:vhost1.magnet-id.com
Email Address []:hostmaster@magnet-id.com

Setelah itu certificate dapat digenerate, untuk self signed certificate dapat dilakukan dengan openssl, sementara untuk memiliki certificate berbayar melalui Certificate Authority (CA) anda dapat menggunakan fasilitas yang disediakan oleh CA Terkait.

Dalam contoh kasus ini kita menggunakan self signed digital certificate melalui perintah;

openssl x509 -req -days 3650 -in vhost1.csr -signkey vhost1.key -out vhost1.crt

Install Certificate

Letakkan key dan crt pada sebuah direktori untuk kemudian dipanggil oleh konfigurasi apache, dalam hal ini direktori yang digunakan adalah /etc/httpd/cert/

mkdir /etc/httpd/cert/
mv /root/temp/vhost1.crt /root/temp/vhost1.key /etc/httpd/cert/

Tambahkan direktif berikut di /etc/httpd/conf/httpd.conf dan reload Apache.

NameVirtualHost 117.103.57.23:443
<VirtualHost 117.103.57.23:443>
  ServerAdmin webmaster@magnet-id.com.com
  DocumentRoot /var/www/vhost1.magnet-id.com/public_html
  ServerName vhost1.magnet-id.com
  ErrorLog /var/log/httpd/ssl.vhost1.magnet-id.com-error_log
  TransferLog /var/log/httpd/ssl.vhost1.magnet-id.com-access_log
  SSLEngine on
  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  SSLCertificateFile /etc/httpd/cert/vhost1.crt
  SSLCertificateKeyFile /etc/httpd/cert/vhost1.key
  <Directory "/var/www/vhost1.magnet-id.com/public_html">
    Options Indexes FollowSymLinks
    AllowOverride None
  </Directory>
</VirtualHost>

Silahkan hapus file pada direktori temporer anda apabila semua proses telah selesai dilakukan dengan sukses.

PENTING

Lisensi tambahan yang dapat kita beli adalah maksimal 5 buah per Digital Certificate

Anda membutuhkan Digital Certificate ketika anda ingin membangun kepercayaan pengguna situs anda, memberikan kepastian mengenai identitas institusi anda, dan menjamin kerahasiaan data yang dimasukkan oleh pengguna situs anda. Hal ini biasanya menjadi wajib apabila usaha online anda semakin berkembang karena semakin banyak dimanfaatkan oleh pengguna internet.

Sebuah Trusted Digital Certificate diterbitkan oleh Certificate Authority (CA) -dalam hal ini adalah Thawte, dan di sign secara digital oleh CA dengan menggunakan sebuah private key. Digital Certificate biasanya terdiri dari;

• Public Key Pemilik
• Nama Pemilik
• Tanggal Berlaku Public Key
• Serial Number Digital Certificate
• Digital Signature dari CA (Issuer)

Pelajari lebih lanjut mengenai bagaimana SSL bekerja melalui; http://en.wikipedia.org/wiki/Transport_Layer_Security

IP Address Dedicated juga mutlak dibutuhkan apabila anda ingin menginstall SSL Certificate yang akan digunakan oleh situs anda utuk mengamankan transaksi data antara server dengan pengunjung website anda.