TUJUAN PEMBELAJARAN
1. Mengenalkan tentang konsep SSL
2. Membuat self-signed server certificate
3. Melakukan instalasi dan konfigurasi Apache2 + SSL/TLS
4. Melakukan testing instalasi
B. DASAR TEORI
1.1 SSL/TLS
Transport Layer Security (TLS) adalah protocol untuk mengamankan komunikasi antar
aplikasi lewat internet. TLS mengamankan konten pada layer aplikasi, seperti halaman
web dan diimplementasikan pada layer transport, yaitu TCP. Untuk menjamin
keamanan. data yang dikirim dienkripsi dan diotentikasi pada sisi server dan client.
Secure Socket Layer (SSL) adalah protocol yang diciptakan sebelum TLS yang
mengaplikasikan hal ini.
SSL/TLS biasanya dioperasikan secara bersama-sama dengan HTTP, sehingga
membentuk protocol baru yang disebut HTTPS, untuk mengamankan transaksi lewat
web. Selain intu, protocol ini dapat digunakan untuk aplikasi-aplikasi lain seperti email,
file transfer dan virtual private networks (VPN).
2 HTTPS
HTTPS menggabungkan protocol HTTP dan SSL/TLS untuk menjamin keamanan
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
komunikasi antara eb server dan web browser. HTTPS beroperasi pada port 443 dan
bukan pada port 80 seperti normalnya HTTP. HTTPS bekerja dengan menyediakan
enkripsi untuk konten web dan otentikasi web server. HTTPS tidak melakukan
otentikasi client sehingga web sita tidak dapat melakukan otentikasi user selama
koneksi. User harus melakukan sejumlah otentikasi tambahan seperti
password,biometric atau metode otentikasi lain.
Komunikasi SSL/TLS meliputi dua tahap yaitu handshaking dan data sending.
Sebelum berkomunikasi, web site harus meminta certificate authority (CA) agar dapat
menanda tangani (signing) digital certificate-nya yang berisi public key dari site. User
yang menerima digital sertificate CA, segera memanggil sertifikat root, yang dimiliki
ketika mereka menginstall web browser. Web browser seperti Internet Explorer atau
Firefox sebelumnya telah dilengkapi dengan sejumlah sertifikat root dari bermacam-
macam perusahaan seperti VeriSign atau Entrust, yang memang menspesialiasisikan diri
sebagai perusahaan yang bergerak di bidang sertifikasi.
CA: Verisign
2 1
3
5 Client web browser Amazon server
4
1. Verisign menandatangani sertifikat Amazon dengan publik key-nya
2. Install CA sertikat dengan public key-nya pada browser client
3. Koneksi lewat https
4. Saling menukar sertifikat digital, termasuk publik key
5. Client melakukan verifikasi sertifikat Amazon menggunakan public key dari CA
2
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
Pada gambar diatas, begitu user hendak mengkoneksikan diri dengan website
lewat koneksi https, web server mengirim certifikatnya yang mengandung public key
dari web site tersebut. User akan memverifikasi sertifikat ini dengan memakai pre-
installed sertifikat root dari website CA.
PAda tahap kedua dari komunikasi SSL/TLS adalah tahapan enkripsi antara server
dan client berdasarkan protocol kriptografi yang dinegosiasikan antara kedua belah
pihak. Pada gambar berikut, begitu sertifikat digital server berhasil diverifikasi, maka
browser dan server mulai saling bernegosiasi cipher yang hendak dipakai untuk
pengkodean data dan verifikasi digital signature. Jika public key enkripsi sudah dipilih,
kedua belah pihak mengenkripsikan data dengan public key masing-masing dan
mendekripsi dengan private keynya. Untuk menghemat waktu, enkripsi public key
hanya digunakan saat saling menukar session key (private key yang temporer) yang
dipakai untuk data enkripsi.
1
2 Amazon server
Client
4
3
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
Software yang dibutuhkan untuk menginstall web server yang secure dan berbasis open-
source adalah :
1. Apache 2.2.11: Apache2 ini adalah web server yang akan kita gunakan. Anda
dapat mengecek informasinya lewat http://httpd.apache.org/.
2. OpenSSL 0.9.8k: OpenSSL adalah toolkit yang digunakan untuk
mengimplementasikan protocol Secure Socket Layer (SSL v2/v3) dan Transport
Layer Security (TLS v1). OpenSSL juga menyediakan general purpose library untuk
kriptografi. Anda dapat mengecek informasinya lewat http://www.openssl.org/.
3. Mod_SSL 2.2.11: Mod_SSL adalah add-on modul untuk Apache. Pada versi
lama apache, user harus mengkompile paket ini, sedangkan pada versi baru,
Mod_SSL sudah built-in pada server sebagai interface antara OpenSSL dan
Apache2. Anda dapat mengecek informasinya lewat http://www.mod_ssl.org.
C. TUGAS PENDAHULUAN
1. Jelaskan proses handshaking pada SSL/TLS
2. Jelaskan proses pengiriman data pada SSL/TLS
4
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
D. PERCOBAAN
3. Klik Certificates -> Authorities. Anda akan melihat Certificate Authorities (CA)
yang diinstall di browser anda, Ini adalah kumpulan listing perusahaan (CA)
yang menawarkan jasa untuk penandatanganan (signing) dan verifikasi sertifikat
(mereka adalah pihak ketiga yang dipercaya). Sebutkan dua saja !
5
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
6
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
5. Lihat pada field Subject’s Public Key. Ini adalah pulic key dari CA. Berapa
panjangnya dalam bit?
6. Klik Close untuk meninggalkan certificate viewer , klik OK dan kembalilah pada
jendela Preference.
7
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
menjalankan secure server dengan HTTPS. Selain itu , kita juga akan membuat
pasangan public/private key untuk melakukan request sertifikat. Anda akan
membutuhkan domain name untuk sertifikat yang anda ciptakan. Pada contoh ini
digunakan nama : www.webku.com
3. Masuk ke direktori : /etc/apache2/ssl. Direktori ssl adalah direktori dimana anda
menyimpan semua private keys, certificate signing request dan sertifikat. Lihat isi
direktori ini
$ cd /etc/apache2/ssl.
$ ls -al
4. Untuk membuat Certificate Signing Request (CSR), anda harus membuat sepasang
public/privat key terlebih dahulu. Untuk itu, pertama-tama, kosongkan semua
sertifikat yang ada dengan perintah :
$ sudo rm *
5. Kemudian buatlah key dengan nama server.key yang merupakan private key dengan
perintah :
$ sudo openssl genrsa -des3 -out server.key 1024
genrsa : menunjukkan OpenSSL bahwa anda ingin menciptakan sepasang key
des3 : menunjukkan bahwa private key harus dienkripsi dan dilindungi oleh
passphrase
out : menunjukkan filename yang akan menyimpan hasil output
1024 : menunjukkan jumlah bit dari key yang dibuat
6. Siapkan passphrase dan isikan pada saat diminta. Apa passphrase anda ? tulis
sebagai bagian laporan. Hasilnya akan muncul seperti ini :
Setelah menjalankan langkah ini. akan tercipta server.key pada direktori ssl. Cek
8
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
dengan perintah ls –al. Capture screenshot dari isi file server.key sebagai laporan.
7. Pastikan anda maih berada pada direktori /etc/apache2/ssl. Cobalah generate file
server.csr dengan menggunakan private key diatas. Gunakan perintah dibawah. Csr
ini kependekan dari certificate signing request.
$ sudo openssl req -new -key server.key -out server.csr
Akan muncul tampilan berikut. Isi sesuai dengan keinginan anda. Yang penting
ketika memasukkan Common Name (CN) adalah CN harus sesuai dengan alamat
web, nama DNS atau IP address pada konfigurasi Apache. Setelah anda memasukkan
informasi tersebut, akan terbentuk file server.csr yang akan digunakan untuk
meminta sertifikat. Coba cek dengan perintah ls untuk meihat apakah file ini sudah
terbentuk. Capture screenshot dari server.csr sebagai laporan.
Country Name:INA
State or Province Name: jatim
Locality Name: SBY
Organization Name: EEPIS
Organizational Unit Name: IT
Common Name: www.webku.com
Email: fitri@eepis-its.edu
A challenge password: 1234567
An Optional Company Name: G10
8. Perhatikan bahwa untuk membuat file server.crt anda membutuhkan server.key dan
server.csr. Biasanya, pada langkah ini, web server komersial akan meminta CA
professional seperti VeriSign untuk memberikan file crt. Pada praktikum ini kita
akan berlaku sebagai CA dan mengenerate file crt tersebut secara mandiri (self
signing certificate).
9. Sekarang coba generate file server.crt dengan perintah dibawah :
$ sudo openssl x509 -req -days 365 -in server.csr -signkey
server.key -out server.crt
Perintah diatas akan meminta anda memasukkan kembali passphrase untuk
mengenerate server.key (yaitu 123456). Masukkan passphrase yang sesuai. Capture
screenshot dari server.crt sebagai laporan
9
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
10. Cek lagi directory ssl dan anda seharusnya memiliki 3 file, server.key,server.crt dan
server.crs. Jika benar, selamat, anda telah menyelesaikan lab ini dengan baik
10
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
4. Menjalankan https
1. Restart apache2 agar efek dari sertifikat SSL mulai efektif.
$ sudo /etc/init.d/apache2 restart
Masukkan passphrase yaitu 123456. Jika cocok maka apache2 akan di-restart dan
memberikan tanda [OK]
2. Buka http://localhost pada browser. Jika apache2 berjalan dengan baik, maka akan
muncul pesan “It Works!”
3. Buka URL berikut https://www.webku.com. Akan muncul :
Pesan ini muncul dari browser kita karena sertikat yang dibangkitkan oleh
www.webku.com bersifat self signed. Kita akan menerima sertikat tersebut dan
menambahkan eksepsi .
4. Klik tombol : I Understand the Risks, kemudian klik tombol: Add Exception dan
terakhir klik Get Certificate . Klik View. Anda akan melihat sertifikat self-signed
yang tadi anda buat. Setelah itu klik checkbox Permanently store this exception dan
klik tombol Confirm Security Exception.
11
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
5. Akhirnya muncul halaman web yang kita buat. Perhatikan bahwa awal dari URL
adalah https, bukan http ! Capture screenshoot sebagai laporan
6. Perhatikan pula bahwa pada pojok kiri bawah tampak tanda yang menunjukkan
bahwa web server tersebut tersertifikasi. Apakah tanda ini muncul di website
www.webku.com ?
7. Double klik tanda kunci tersebut. Klik tombol view certificate pada tanda kunci tersebut.
Sampai kapan periode validasi certifikat ini berakhir.
8. Klik pada tab Detail. Siapa yang mengeluarkan sertifikat tersebut?
9. Bagaimana certifikat ini digunakan untuk komunikasi web browser dan web server?
Catatan :
1. Jika $ /etc/init.d/apache2 restart tidak berhasil, dan memberikan pesan :
* Restarting web server apache2
(13)Permission denied: make_sock: could not bind to address 0.0.0.0:80 no
listening sockets available, shutting down
Unable to open logs
Action 'start' failed.
Artinya anda harus melakukan /etc/init.d/apache2 restart ketika anda berlaku sebagai
root. Untuk itu jangan lupa lakukan sudo, seperti : $ sudo /etc/init.d/apache2
2. Jika pesan yang diberikan :
* Restarting web server apache2
(98)Address already in use: make_sock: could not bind to address
0.0.0.0:80 no listening sockets available, shutting down
Unable to open logs
Action 'start' failed.
12
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
Artinya Apache2 sudah berjalan sebagai proses. Untuk itu coba cek no PID dan kill PID
tersebut.
13
Pertemuan 12: Konfigurasi Keamanan Layanan Web (SSL/TLS)
DAFTAR PUSTAKA
14