Memohon dan Mengurus Sijil SSL Secara Automatik dengan Let's Encrypt di ServBay

Dalam dunia pembangunan web moden, mensimulasikan persekitaran produksi secara tempatan adalah amat penting — ini termasuk penggunaan HTTPS. ServBay telah mengintegrasikan sokongan untuk protokol ACME (Automated Certificate Management Environment), membolehkan anda memohon, memasang, dan mengurus sijil SSL/TLS percuma secara automatik melalui CA (Certificate Authority) seperti Let's Encrypt. Panduan ini menerangkan langkah demi langkah cara menggunakan Let's Encrypt untuk memohon sijil dalam ServBay dan mengaplikasikannya pada laman pembangunan tempatan anda.

Manfaat menggunakan sijil Let's Encrypt termasuk: percuma, automatik, dipercayai secara meluas, dan membolehkan anda menguji ciri HTTPS, Service Workers, HSTS dan banyak lagi dalam persekitaran tempatan.

Prasyarat

Pastikan anda memenuhi syarat berikut sebelum memohon sijil Let's Encrypt:

1. Memiliki nama domain awam: Anda mesti mempunyai nama domain yang sah dan berdaftar (contoh: servbay.demo atau yourdomain.com). Let's Encrypt tidak boleh mengeluarkan sijil untuk alamat IP tempatan atau domain tidak awam seperti .local.
2. Boleh mengurus rekod DNS domain: ServBay menggunakan pengesahan melalui DNS API bagi membuktikan pemilikan domain. Anda perlu akses ke panel kawalan pendaftar domain atau penyedia perkhidmatan DNS anda (contoh: Cloudflare, GoDaddy, AWS Route 53) dan boleh menjana kunci API untuk automasi.
3. Peroleh kunci API DNS: Menurut arahan dari penyedia DNS anda, hasilkan kunci API atau token yang berkaitan. Cara peroleh kunci API berbeza mengikut penyedia. Biasanya, anda perlu menjana kunci API dengan keizinan untuk mengurus rekod DNS. Rujuk halaman DNS API WIKI projek acme.sh untuk melihat cara mendapatkan kunci API dan nama pemboleh ubah persekitaran bagi penyedia anda.

Langkah Permohonan

Berikut adalah langkah permohonan sijil SSL melalui Let's Encrypt dalam ServBay:

1. Buka Panel Pengurusan ServBay: Selepas lancarkan aplikasi ServBay, klik ikon bar menu dan pilih "Panel Pengurusan" (Manager Panel) untuk membuka antara muka web pengurusan.

2. Navigasi ke Pengurusan Sijil SSL: Dalam panel pengurusan ServBay, cari dan klik pada pilihan Sijil SSL (SSL Certificates) di bar sisi.

3. Mulakan Permohonan Sijil Baharu: Pada halaman senarai sijil SSL, klik butang bulat “+” di kanan atas untuk membuka tetingkap permohonan sijil.

4. Isi Maklumat Sijil: Dalam tetingkap “Request Certificate” (Memohon Sijil) yang muncul, isikan maklumat berikut:

   • Common Name (Nama Biasa): Masukkan nama ringkas untuk mengenal pasti sijil, misalnya servbay-demo-cert atau mydomain-wildcard-cert.
   • Usage Purpose (Tujuan): Pilih TLS/SSL.
   • Request Method (Kaedah Permohonan): Pilih ACME.
   • Issuer (Penerbit): Pilih Let's Encrypt.
   • DNS API Provider (Penyedia DNS API): Pilih penyedia domain atau DNS anda dari senarai pilihan (contoh: cloudflare untuk Cloudflare, godaddy untuk GoDaddy).
   • Algorithm (Algoritma): Disyorkan memilih algoritma ECC (Elliptic Curve Cryptography) dengan panjang kunci 384. Sijil ECC biasanya memberikan prestasi dan keselamatan yang lebih baik dengan saiz kunci lebih kecil berbanding RSA.
   • E-Mail Address (Alamat E-mel): Masukkan alamat e-mel yang sah. Let's Encrypt akan menghantar notis penting berkaitan tamat tempoh dan pembaharuan ke e-mel ini.
   • DNS API Tokens (Token DNS API): Masukkan kunci API atau token seperti yang dikehendaki penyedia DNS anda. Biasanya, token diberikan dalam bentuk pemboleh ubah persekitaran untuk klien ACME. Sila rujuk dokumentasi penyedia DNS anda atau Wiki DNS API acme.sh untuk mendapatkan nama dan nilai pemboleh ubah yang betul. Nota Penting: Jangan tambah export di hadapan maklumat API. Contohnya, untuk Cloudflare, anda mungkin perlu masukkan CF_Key=sdfsdfsdffgfdg\[email protected] (gunakan \n untuk memisahkan pemboleh ubah berlainan).
   • Domain (Domain): Masukkan domain yang ingin anda mohon sijilnya. Untuk sijil berbilang domain atau wildcard (contoh, *.servbay.demo), pisahkan dengan koma (contoh: servbay.demo, www.servbay.demo, *.servbay.demo). Untuk permohonan sijil wildcard, anda mesti gunakan pengesahan DNS API.

   Perhatian: Common Name dalam tangkapan layar hanyalah contoh. Sila gunakan nama yang lebih deskriptif dalam penggunaan sebenar.

5. Hantar Permohonan: Sahkan semua maklumat adalah betul, kemudian klik butang “Request” (Mohon) di bahagian bawah tetingkap.

6. Tunggu Proses Selesai: ServBay akan melancarkan klien ACME di latar belakang, menggunakan maklumat DNS API untuk pengesahan hak milik domain dan memohon sijil dari Let's Encrypt. Proses ini mungkin mengambil sedikit masa bergantung pada kelajuan penyebaran DNS dan respons pelayan Let's Encrypt. Apabila selesai, sijil baru akan ditambah ke senarai sijil SSL anda.

Menggunakan Sijil

Setelah sijil berjaya diperoleh dan tersenarai, anda boleh menggunakannya pada laman web tempatan anda:

1. Pergi ke Konfigurasi Laman Web: Dalam panel pengurusan ServBay, klik pilihan Laman Web (Websites) di bar sisi.
2. Edit Konfigurasi Laman Web: Cari laman web yang anda ingin gunakan sijil, dan klik ikon pensel di sebelah kanannya untuk mengedit.
3. Konfigurasi HTTPS/SSL: Di halaman konfigurasi laman web, cari dan tetapkan pilihan berkaitan SSL/HTTPS. Biasanya ada pilihan sumber sijil SSL di sini.
4. Pilih Sijil ACME: Di pilihan sumber sijil, pilih ACME, kemudian pilih sijil yang anda mohon tadi berdasarkan Common Name yang ditetapkan.
5. Simpan Konfigurasi: Simpan perubahan konfigurasi laman web. ServBay akan memuat semula konfigurasi anda, dan sijil SSL baru akan berkuatkuasa. Kini anda boleh akses laman web tempatan melalui HTTPS.

Gambar menunjukkan antara muka pemilihan sijil ACME dalam konfigurasi laman web.

Pembaharuan Sijil

Sijil Let's Encrypt sah untuk 90 hari. ServBay telah mengintegrasikan mekanisme pembaharuan automatik. Apabila sijil ACME anda hampir tamat (biasanya dalam 30 hari sebelum tamat tempoh), ServBay akan cuba memperbaharui secara automatik menggunakan konfigurasi yang sama. Anda tidak perlu melakukan apa-apa secara manual. Pastikan kunci API DNS anda aktif untuk pembaharuan berjalan lancar. Jika berlaku masalah sewaktu pembaharuan, notis akan dihantar ke e-mel yang anda masukkan semasa permohonan.

Mengenai Protokol ACME dan Pengesahan DNS API

• Protokol ACME: ACME ialah piawai terbuka untuk pengautomatan proses pengesahan domain dan pengeluaran sijil. Let's Encrypt dan CA lain menggunakan protokol ini untuk berinteraksi dengan perisian klien seperti klien ACME yang diintegrasikan dalam ServBay bagi permohonan dan pengurusan sijil secara automatik.
• Pengesahan DNS API: Salah satu kaedah yang disokong ACME untuk membuktikan pemilikan domain. Klien menambah rekod TXT tertentu ke DNS domain anda melalui API. CA akan memeriksa rekod tersebut untuk mengesahkan kawalan anda terhadap domain tersebut. Pengesahan DNS API sangat berguna untuk:
  • Permohonan sijil wildcard (contoh: *.servbay.demo).
  • Apabila instans ServBay tidak boleh diakses secara terus dari Internet (contoh: di rangkaian dalaman, atau ISP anda menyekat port 80/443).

Pilihan Algoritma Sijil: ECC vs RSA

Sewaktu permohonan sijil, anda boleh memilih antara algoritma ECC atau RSA.

• RSA: Algoritma penyulitan utama yang tradisional, sangat serasi dan disokong hampir kesemua pelayar dan klien. Kekunci lazim: 2048-bit dan 4096-bit.
• ECC: Algoritma berasaskan lengkung eliptik yang menawarkan kekunci lebih pendek untuk tahap keselamatan sama (contoh: ECC 256-bit bersamaan RSA 3072-bit). Proses handshake TLS menjadi lebih cepat, dan beban pada pelayan serta klien berkurang. Disokong secara meluas oleh pelayar dan sistem operasi moden.

Cadangan: Untuk permohonan sijil baru, gunakan algoritma ECC dengan kekunci 384-bit bagi prestasi dan keselamatan optimum. Jika anda perlukan keserasian maksimum (misalnya untuk klien lama), gunakan sijil RSA.

Perkara Penting

• Masa penyebaran DNS: Selepas permohonan, perubahan rekod TXT mungkin mengambil masa untuk tersebar di seluruh dunia (beberapa minit ke beberapa jam). Jika permohonan gagal serta-merta, cuba beberapa minit kemudian.
• Keselamatan Kunci API: Kunci API DNS anda memberi hak mengurus rekod DNS domain. Simpan dengan selamat dan jangan dedahkan.
• Had kadar Let's Encrypt: Permohonan sijil dihadkan oleh had kadar Let's Encrypt. Jika anda terlalu kerap memohon atau memperbaharui untuk domain sama, anda mungkin terkena had ini. Penggunaan pembaharuan automatik ServBay secara normal biasanya tidak menjadi masalah.

Soalan Lazim (FAQ)

• S: Domain saya menunjuk ke IP tempatan. Bolehkah saya guna sijil Let's Encrypt?
  • J: Ya, selagi anda menggunakan kaedah pengesahan DNS API. Let's Encrypt mengesahkan kawalan anda terhadap rekod DNS, bukan di mana domain itu dirakam.
• S: Permohonan sijil gagal, apa perlu buat?
  • J: Semak sama ada kunci API DNS diisi dengan betul dan mempunyai kebenaran cukup. Pastikan juga penyedia DNS API yang betul dipilih. Kadangkala, rekod DNS belum tersebar sepenuhnya — cuba semula selepas beberapa minit. Periksa log ServBay untuk maklumat ralat lanjut.
• S: Berapa awal sebelum tamat tempoh ServBay akan perbaharui sijil?
  • J: Lazimnya, ServBay cuba memperbaharui sijil dalam tempoh 30 hari sebelum tarikh luput.
• S: Bolehkan saya mohon sijil untuk domain .local bagi pembangunan tempatan?
  • J: Tidak boleh. Let's Encrypt hanya mengeluarkan sijil untuk domain awam yang berdaftar. Untuk domain .local atau alamat IP tempatan, gunakan ciri ServBay User CA atau ServBay Public CA untuk menjana sijil self-signed atau CA tiruan bagi ujian tempatan.
• S: Jika penyedia DNS tidak tersenarai dalam ServBay, apa patut saya lakukan?
  • J: Klien ACME dalam ServBay menyokong kebanyakan penyedia DNS utama. Jika penyedia anda jarang ditemui, anda mungkin perlu tetapkan secara manual. Sila rujuk Wiki DNS API acme.sh untuk melihat sokongan dan cara konfigurasi. Jika tidak tersenarai dalam antaramuka ServBay UI, hubungi sokongan ServBay.

Kesimpulan

Dengan integrasi protokol ACME, ServBay secara drastik memudahkan permohonan dan pengurusan sijil SSL Let's Encrypt dalam persekitaran pembangunan tempatan. Melalui pengesahan DNS API, anda boleh memohon sijil percuma dengan pembaharuan automatik untuk domain awam (termasuk wildcard), sekaligus mensimulasikan konfigurasi HTTPS produksi secara tepat dan efisien. Ikuti panduan ini untuk mempercepatkan pengaktifan sambungan selamat di laman ServBay anda dan meningkatkan ketepatan serta kecekapan pembangunan.