Cara Memohon dan Menggunakan Sijil SSL untuk Nama Domain

Dalam pembangunan web moden, mengaktifkan HTTPS untuk laman web anda (melalui perlindungan sijil SSL/TLS) menjadi semakin penting, walaupun di persekitaran pembangunan tempatan. ServBay menyediakan cara yang mudah untuk mengurus dan menggunakan sijil SSL, membantu anda mensimulasikan persekitaran produksi, menguji ciri keselamatan, serta memastikan pengalaman pembangunan yang lancar di mesin anda.

Dokumen ini akan membimbing anda tentang cara memohon, mengagihkan, dan mengurus sijil SSL/TLS dalam ServBay.

Pengenalan Sijil SSL/TLS untuk Nama Domain

Sijil SSL/TLS merupakan sijil digital yang digunakan untuk mengesahkan identiti pelayan serta menyulitkan pemindahan data antara klien (seperti pelayar web) dan pelayan. Selepas sijil SSL dipasang, alamat laman web anda akan berubah daripada http:// kepada https:// dan ikon kunci keselamatan akan muncul di bar alamat pelayar menandakan sambungan anda selamat dan dienkripsi.

Mengapa Menggunakan HTTPS dalam Pembangunan Tempatan?

• Simulasi Persekitaran Produksi: Kebanyakan persekitaran produksi mewajibkan penggunaan HTTPS. Mengamalkan HTTPS di persekitaran pembangunan tempatan membolehkan anda mensimulasikan pengalaman produksi dengan lebih tepat, sekaligus mengurangkan risiko masalah semasa deployment.
• Menguji Fungsi Keselamatan: Antara muka pelayar moden (seperti Service Workers, Web Authentication, Geolocation API dan lain-lain) hanya berjalan di konteks selamat (HTTPS). Menggunakan HTTPS secara tempatan membantu anda menguji ciri-ciri ini dengan mudah.
• Elak Amaran Kandungan Campuran: Jika laman web anda beroperasi melalui HTTPS tapi memuat sumber dari HTTP (imej, skrip, CSS), pelayar akan mengeluarkan amaran kandungan campuran. Penggunaan HTTPS di pembangunan tempatan membolehkan anda mengesan dan membetulkan isu ini awal-awal.
• HTTP/2 dan QUIC: Protokol moden ini biasanya memerlukan sambungan HTTPS.

Memohon Sijil SSL Melalui ServBay

ServBay menyokong dua kaedah utama untuk permohonan sijil SSL: menerbitkan sijil kepercayaan tempatan menggunakan CA (Certificate Authority) terbina-dalam ServBay, serta memohon sijil dipercayai awam menggunakan protokol ACME (contohnya Let's Encrypt).

Prasyarat

• Pastikan ServBay telah dipasang dan berjalan.
• Telah mencipta dan mengkonfigurasi laman web yang ingin digunakan dengan sijil SSL di dalam ServBay.
• Untuk permohonan sijil awam melalui ACME, anda perlu menjalankan pengesahan DNS.

Langkah: Masuk ke Panel Pengurusan Sijil SSL

Di bar sisi aplikasi ServBay, klik pada "SSL Certificates" untuk masuk ke antara muka pengurusan sijil.

Kaedah 1: Menerbitkan Sijil Kepercayaan Tempatan dengan ServBay CA

ServBay CA ialah Certificate Authority yang dibekalkan bersama ServBay. Sijil yang diterbitkan oleh ServBay CA hanya dipercayai pada peranti yang telah mempercayai ServBay CA. Ini sangat sesuai untuk pembangunan tempatan kerana anda boleh mudah menambah kepercayaan pada CA ini di peranti pembangunan anda.

1. Klik Butang Tambah: Di halaman "SSL Certificates", klik butang "+" di penjuru kanan atas.
2. Isi Maklumat Sijil: Dalam halaman "Request Certificate":
   • Common Name (Nama Am): Berikan nama deskriptif untuk sijil ini, agar mudah dikenal pasti. Contoh: ServBay Demo Website Cert.
   • Usage Purpose (Tujuan): Pilih penggunaan sijil, biasanya TLS/SSL.
   • Request Method (Kaedah Permohonan): Pilih ServBay CA.
   • Issuer (Penerbit): Pilih ServBay User CA. ServBay menyediakan CA pada aras pengguna untuk menerbitkan sijil tempatan.
   • Algorithm (Algoritma): Pilih algoritma penyulitan. Disarankan guna ECC untuk prestasi dan keselamatan moden. Pilih RSA jika perlukan keserasian dengan sistem lama.
   • Key Length (Panjang Kunci): Pilih panjang kunci. Bagi ECC, disarankan 384; bagi RSA, disarankan 2048 atau 4096. Panjang kunci lebih tinggi menawarkan keselamatan lebih baik tetapi memerlukan lebih banyak sumber komputer.
   • Domain (Nama Domain): [Penting] Masukkan senarai domain yang ingin dilindungi. Domain ini akan dimasukkan ke dalam medan Subject Alternative Names (SANs) pada sijil. Untuk pembangunan tempatan, anda boleh menggunakan domain .servbay.demo (seperti servbay.demo, myproject.servbay.demo) atau domain lain yang telah dikonfigurasi dalam fail hosts tempatan atau ServBay. Wildcard domain juga disokong, contohnya *.servbay.demo. Pisahkan domain dengan koma.
3. Klik Butang "Request": Sahkan maklumat, kemudian klik "Request" di bahagian bawah halaman.

ServBay akan serta-merta menerbitkan sijil menggunakan ServBay User CA dan memasukkannya ke dalam senarai sijil.

(Contoh antaramuka permohonan melalui ServBay CA)

Bagaimana Mempercayai ServBay User CA?

Agar pelayar dan aplikasi lain mempercayai sijil yang diterbitkan oleh ServBay CA, anda perlu pasang dan percayai sijil akar ServBay User CA pada sistem operasi anda. ServBay biasanya akan membuat pemasangan dan kepercayaan ini secara automatik semasa pemasangan, atau anda boleh cari opsyen pemasangan dalam tetapan ServBay. Selepas memasang, sijil diterbitkan untuk domain seperti .servbay.demo tidak lagi akan memaparkan amaran "tidak dipercayai" pada peranti anda.

Kaedah 2: Memohon Sijil Kepercayaan Awam melalui ACME (Let's Encrypt)

ACME (Automated Certificate Management Environment) ialah protokol automasi yang digunakan untuk berinteraksi dengan CA awam (seperti Let's Encrypt), membolehkan permohonan dan pengurusan sijil SSL dipercayai awam secara automatik. Sijil yang diperoleh akan dipercayai secara lalai oleh semua pelayar dan peranti utama.

1. Klik Butang Tambah: Pada halaman "SSL Certificates", klik butang "+" di penjuru kanan atas.
2. Isi Maklumat Sijil: Dalam laman "Request Certificate":
   • Common Name (Nama Am): Masukkan nama deskriptif.
   • Usage Purpose (Tujuan): Pilih TLS/SSL.
   • Request Method (Kaedah Permohonan): Pilih ACME.
   • Issuer (Penerbit): Pilih Let's Encrypt, ZeroSSL atau Google Trust Services (menandakan interaksi dengan CA awam melalui ServBay).
   • Algorithm (Algoritma): Pilih algoritma, disarankan ECC.
   • Key Length (Panjang Kunci): Pilih panjang kunci.
   • Domain (Nama Domain): [Penting] Masukkan senarai domain untuk memohon sijil kepercayaan awam. Domain mesti berupa domain awam yang anda miliki dan kawal. ServBay akan mengesahkan pemilikan domain melalui protokol ACME. Pisahkan domain dengan koma, wildcard domain turut disokong (Nota: permohonan wildcard kebanyakannya memerlukan pengesahan melalui DNS).
   • Email (Emel): Masukkan alamat emel yang sah. Diperlukan untuk menerima notifikasi tamat tempoh sijil dan maklumat penting lain.
   • DNS Provider (Pembekal DNS): Pilih penyedia DNS domain awam anda untuk pengesahan DNS secara automatik dalam proses permohonan sijil.
3. Klik Butang "Request": Sahkan maklumat, kemudian klik "Request" di bahagian bawah halaman.

ServBay akan memulakan proses ACME, berinteraksi dengan CA yang anda pilih, mengesahkan pemilikan domain, dan akhirnya memohon sijil. Proses ini mungkin mengambil masa bergantung pada kaedah pengesahan dan rangkaian. Setelah berjaya, sijil akan tersedia dalam senarai sijil anda.

Pembaharuan Sijil ACME Secara Automatik:

Sijil ACME mempunyai tempoh sah yang pendek (misalnya sijil Let's Encrypt sah selama 90 hari). ServBay akan mengurus pembaharuan sijil secara automatik untuk anda, memastikan tiada keperluan pengurusan manual.

Pengagihan dan Penggunaan Sijil

Selepas sijil SSL diperoleh, anda perlu mengagihkannya kepada laman web tertentu dalam ServBay untuk mengaktifkan akses HTTPS.

1. Masuk ke Pengurusan Laman Web: Dalam bar sisi ServBay, klik "Websites" untuk melihat senarai laman web.
2. Edit Laman Sasaran: Cari laman yang ingin dikonfigurasi dengan sijil SSL dan klik untuk sunting.
3. Konfigurasi SSL: Di halaman konfigurasi laman, cari bahagian tetapan berkaitan SSL/HTTPS.
4. Aktifkan HTTPS dan Pilih Sijil: Pilih pilihan untuk mengaktifkan HTTPS. Dalam senarai pilihan sijil (jika menggunakan ACME), pilih sijil yang baru anda mohon, beserta nama am dan domain berkaitan.
5. Simpan Tetapan: Simpan konfigurasi laman web anda.

Selepas disimpan, ServBay akan memuat semula konfigurasi pelayan web (seperti Caddy, Apache atau Nginx) berkaitan, memastikan sijil SSL baru aktif. Kini, anda boleh mengakses laman web anda melalui https://domain-anda.

Pengurusan Sijil

Dalam panel "SSL Certificates", anda boleh mengurus sijil yang telah dimohon.

Pembaharuan Sijil

• Sijil ServBay CA: Sijil yang diterbitkan oleh ServBay CA biasanya sah sehingga 800 hari. Sebelum tarikh tamat, cari sijil berkenaan dalam senarai dan klik butang pembaharuan (ikon refresh atau kitar semula) untuk memperbaharui secara manual. Setiap pembaharuan akan melanjutkan tempoh sah bagi 800 hari lagi dari tarikh semasa.
• Sijil ACME: (contohnya Let's Encrypt) akan diurus pembaharuan secara automatik oleh ServBay, tanpa keperluan campur tangan manual.

Eksport Sijil

Anda boleh eksport sijil SSL yang telah dimohon sekiranya diperlukan (contohnya untuk digunakan di peranti atau perkhidmatan lain yang turut mempercayai ServBay CA).

1. Masuk ke panel pengurusan sijil SSL.
2. Cari sijil yang ingin dieksport.
3. Klik butang operasi: Klik ikon eksport di sebelah sijil (biasanya ikon anak panah ke kanan ➡️).
4. Pilih direktori eksport: Dalam dialog simpan fail yang muncul, pilih lokasi untuk menyimpan sijil yang dieksport.
5. Agihkan Sijil: Fail yang dieksport biasanya dalam bentuk ZIP, mengandungi fail sijil (.crt atau .cer), fail kunci peribadi (.key), serta fail rantai CA yang berkaitan. Anda boleh mengagihkan dan memasang fail ini ke sistem lain mengikut keperluan.

Padam Sijil

Jika sesebuah sijil tidak diperlukan lagi, anda boleh memadamkannya.

1. Masuk ke panel pengurusan sijil SSL.
2. Cari sijil yang ingin dipadam.
3. Klik butang operasi: Klik ikon padam di sebelah sijil (biasanya ikon tong sampah).
4. Sahkan pemadaman: Dalam kotak dialog pengesahan, sahkan pemadaman. Perhatian: Pemadaman sijil adalah tindakan tidak boleh dipulihkan. Jika sijil masih digunakan oleh mana-mana laman web, tukar dahulu ke sijil lain atau nyahaktifkan HTTPS untuk laman berkenaan supaya laman anda kekal boleh diakses.

Soalan Lazim (FAQ)

S: Kenapa sijil yang diterbitkan dengan ServBay CA masih dianggap “tidak dipercayai” oleh pelayar saya?

J: Secara lalai, sijil yang diterbitkan oleh ServBay CA tidak dipercayai oleh sistem operasi atau pelayar. Anda perlu pasang dan percayai sijil akar ServBay User CA pada peranti pembangunan anda. Sila rujuk tetapan atau dokumentasi ServBay untuk panduan pemasangan.

S: Apa saya perlu buat jika permohonan sijil ACME (Let's Encrypt) gagal?

J: Kegagalan permohonan ACME selalunya disebabkan isu pengesahan domain.

• Jika anda menggunakan kaedah dns-01, semak sama ada rekod TXT telah ditambah dengan betul pada penyedia DNS anda, dan pastikan perubahan DNS sudah berkuatkuasa (proses propagasi DNS memerlukan masa). Semak log ServBay untuk maklumat ralat yang lebih terperinci.

S: Bolehkan saya mohon satu sijil untuk beberapa domain dalam ServBay?

J: Ya, semasa memohon, masukkan beberapa domain di medan "Domain" dan pisahkan dengan koma. Ini akan menghasilkan sijil SANs yang merangkumi semua domain tersebut.

S: ServBay menyokong pelayan web apa dan adakah konfigurasi sijil seragam?

J: ServBay menyokong pelayan Caddy, Apache serta Nginx. Antaramuka pengurusan sijil SSL di ServBay adalah seragam dan sijil yang dimohon boleh digunakan pada mana-mana laman yang dikendalikan ServBay. Konfigurasi pelayan web akan diuruskan secara automatik oleh ServBay.

Rumusan

ServBay menyediakan fungsi pengurusan sijil SSL yang berkuasa dan mesra pengguna untuk persekitaran pembangunan tempatan. Dengan ServBay CA, anda boleh dengan pantas menerbitkan sijil kepercayaan untuk domain tempatan, memudahkan pembangunan dan pengujian HTTPS. Melalui integrasi ACME, anda boleh terus memohon serta mengurus sijil kepercayaan awam seperti Let's Encrypt, ZeroSSL dan Google Trust Services pada domain awam. Menguasai fungsi-fungsi ini membantu anda membina aplikasi web yang lebih selamat dan mengikut piawaian moden.

Jika anda menghadapi sebarang masalah semasa proses permohonan atau penggunaan sijil, sila rujuk dokumentasi rasmi atau komuniti ServBay untuk bantuan lanjut.