Jika Anda menjalankan server web, mengamankannya dengan HTTPS adalah standar dasar. Berkat protokol ACME (Automated Certificate Management Environment), Anda bisa mengotomatiskan penerbitan dan pembaruan sertifikat SSL melalui alat seperti Certbot.

Dalam panduan ini, Anda akan mempelajari cara menginstal sertifikat ACME pada Apache dan NGINX menggunakan Certbot di berbagai distribusi Linux. Kami akan membahas sistem berbasis Debian dan RHEL, menyertakan klarifikasi jika diperlukan, dan memandu Anda melalui segala sesuatu mulai dari instalasi hingga pembaruan otomatis.
Sebelum Anda Mulai
Sebelum memulai, periksalah:
- Anda memiliki akses sudo atau root ke server Anda
- Nama domain Anda mengarah ke alamat IP publik server Anda melalui DNS
- Port 80 dan 443 terbuka di firewall atau grup keamanan penyedia cloud Anda
- Sistem Anda sudah diperbarui dan didukung
Langkah 1 – Instal Certbot di OS Anda
Certbot adalah klien ACME yang akan kita gunakan untuk meminta dan memperbarui sertifikat SSL. Kami akan membahas instruksi penyiapan untuk setiap OS yang didukung. Pilih salah satu yang cocok dengan server Anda.
Edisi Ubuntu LTS dengan APT
Perbarui paket dan instal Certbot dengan plugin server web pilihan Anda:
Apache:
sudo apt update
sudo apt install certbot python3-certbot-apache
NGINX:
sudo apt update
sudo apt install certbot python3-certbot-nginx
Sistem Debian dengan dukungan APT
Proses yang sama dengan Ubuntu:
sudo apt update
sudo apt install certbot python3-certbot-apache # for Apache
sudo apt install certbot python3-certbot-nginx # for NGINX
Pada sistem Debian, menginstal Certbot melalui APT adalah opsi yang paling mudah. Jika Anda lebih suka menggunakan Snap (untuk versi terbaru), gulir ke bawah ke bagian Snap di bawah ini.
AlmaLinux atau Rocky Linux (kompatibel dengan RHEL)
Aktifkan repositori EPEL terlebih dahulu:
sudo dnf install epel-releasesudo dnf update
Kemudian instal Certbot dengan plugin pilihan Anda:
Apache:
sudo dnf install certbot python3-certbot-apache
NGINX:
sudo dnf install certbot python3-certbot-nginx
Alternatif: Instal Certbot melalui Snap (Semua Sistem)
Jika Anda menginginkan versi terbaru langsung dari sumbernya, gunakan Snap.
1. Instal Snap (jika belum terinstal):
sudo apt install snapd # Ubuntu/Debian
sudo dnf install snapd # AlmaLinux/Rocky
2. Instal dan tautkan Certbot:
sudo snap install core
sudo snap refresh core
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot
Opsional: Instal Certbot dengan pip (untuk pengaturan khusus)
Metode ini ditujukan untuk pengguna tingkat lanjut atau lingkungan khusus di mana Snap atau paket OS tidak tersedia. Anda hanya boleh menggunakannya jika:
- Anda menjalankan Certbot di lingkungan virtual
- Anda bekerja dengan wadah minimal
- OS Anda tidak mendukung snapd, apt, atau dnf dengan baik
Untuk menginstal Certbot menggunakan pip:
python3 -m pip install --upgrade certbot
Ini menginstal alat Certbot inti, tetapi tidak akan mengatur pembaruan otomatis, dan tidak menginstal plugin Apache atau NGINX. Anda harus mengonfigurasi semuanya secara manual
Jika Anda tidak yakin apa maksudnya, kembalilah dan gunakan instruksi APT, DNF, atau Snap sebagai gantinya.
Anda juga dapat menginstal plugin (seperti plugin NGINX) menggunakan pip:
python3 -m pip install certbot-nginx
Gunakan pip hanya jika lingkungan sistem Anda memerlukan kontrol penuh atau isolasi.
Langkah 2 – Meminta dan Menginstal Sertifikat ACME Anda
Ada dua pendekatan utama: sepenuhnya otomatis atau khusus untuk penyedia menggunakan kredensial EAB (Pengikatan Akun Eksternal). Keduanya dibahas di bawah ini.
Opsi A: Sepenuhnya Otomatis (ACME Standar)
Biarkan Certbot menangani semuanya – meminta, memverifikasi, menginstal, dan memuat ulang konfigurasi server Anda.
Apache:
sudo certbot --apache
NGINX:
sudo certbot --nginx
Anda akan ditanya:
- Domain mana yang harus diamankan
- Apakah akan mengalihkan semua lalu lintas HTTP ke HTTPS
- Email Anda untuk pengingat pembaruan
Certbot menangani validasi dan konfigurasi server web di belakang layar.
Opsi B: Gunakan Penyedia ACME Eksternal (mis., Sectigo) dengan EAB
Jika penyedia Anda mengharuskan Pengikatan Akun Eksternal, gunakan metode ini:
sudo certbot --nginx \
--non-interactive \
--agree-tos \
--email [email protected] \
--server https://acme.sectigo.com/v2/DV \
--eab-kid YOUR_EAB_KID \
--eab-hmac-key YOUR_EAB_HMAC_KEY \
--domain example.com \
--domain www.example.com \
--cert-name my-website-cert
Ganti --nginx dengan --apache untuk penyiapan Apache.
Anda akan mendapatkan --eab-kid dan --eab-hmac-key dari penyedia sertifikat saat mendaftarkan akun ACME.
Opsi C: Gunakan Certbot dalam Mode Manual
Jika Anda tidak ingin Certbot memodifikasi konfigurasi server web Anda, atau Anda menggunakan pengaturan khusus, Anda dapat meminta sertifikat secara manual.
Berikut ini cara melakukannya dengan menggunakan metode webroot:
sudo certbot certonly --webroot \
-w /var/www/html \
-d example.com \
-d www.example.com \
--email [email protected] \
--agree-tos \
--non-interactive
- –hanya memberi tahu Certbot untuk menerbitkan sertifikat tetapi tidak menginstalnya
- -w menentukan direktori root untuk situs web Anda (harus dapat diakses publik melalui port 80)
Setelah penerbitan, konfigurasikan server web Anda secara manual dengan file sertifikat yang ada di dalamnya:
/etc/letsencrypt/live/yourdomain.com/
Catatan: Jalur ini digunakan terlepas dari penyedia ACME mana yang Anda pilih, kecuali jika Anda mengganti direktori penyimpanan menggunakan flag tingkat lanjut (–config-dir, –work-dir).
Pastikan untuk memuat ulang server web Anda setelah menerapkan jalur sertifikat ke konfigurasi Anda.
Langkah 3 – Periksa Apakah Semuanya Berfungsi
Kunjungi domain Anda di browser. Anda akan melihat gembok aman atau hanya halaman yang berhasil dimuat di Chrome. Untuk memeriksa ulang apakah server sudah berjalan:
sudo systemctl status apache2 # Debian/Ubuntu (Apache)
sudo systemctl status httpd # AlmaLinux/Rocky (Apache)
sudo systemctl status nginx # All systems (NGINX)
Dan untuk memeriksa sertifikat dari terminal:
openssl s_client -connect yourdomain.com:443
Cari tanggal yang valid dan nama CA penyedia Anda di output.
Langkah 4 – Mengatur Perpanjangan Otomatis
Protokol ACME mendukung pembaruan sertifikat otomatis, dan Certbot dirancang untuk menangani hal ini dengan lancar melalui timer sistemd bawaan atau pekerjaan cron. Namun, perilaku pembaruan tergantung pada penyedia sertifikat Anda:
CA gratis (seperti Let’s Encrypt) menerbitkan sertifikat yang berlaku selama 90 hari dan mendukung pemeriksaan pembaruan yang sering.
CA komersial (seperti Sectigo atau Digicert) sering kali menerbitkan sertifikat yang berlaku selama 1 tahun melalui ACME, tetapi masih mengikuti proses pembaruan ACME. Certbot juga menangani hal ini secara otomatis, hanya saja lebih jarang.
Periksa Apakah Pembaruan Sudah Dijadwalkan
Certbot mengatur timer sistem atau pekerjaan cron secara default. Anda dapat mengonfirmasi bahwa itu aktif dengan:
systemctl list-timers | grep certbot
Ini memastikan Certbot memeriksa sertifikat Anda secara teratur (biasanya dua kali sehari) dan memperbaruinya hanya jika masih dalam masa berlaku (biasanya 30 hari sebelum kedaluwarsa).
Kata Penutup
Certbot dan protokol ACME membuat manajemen SSL menjadi sederhana. Panduan ini memberi Anda semua yang Anda perlukan untuk menginstal sertifikat ACME pada Apache dan NGINX dengan pembaruan otomatis, validasi yang jelas, dan kontrol penuh saat dibutuhkan.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
