Cara Mengatasi SSL Tidak Berfungsi Atau SSL issues di CyberPanel

CyberPanel dilengkapi dengan mekanisme penerbitan sertifikat keamanan bawaan. Ini menggunakan otoritas Sertifikat Let's Encrypt untuk mendapatkan sertifikat SSL untuk situs web Anda. Kami memiliki tutorial yang bagus tentang cara membuat/menerbitkan sertifikat SSL untuk domain Anda di sini.

Namun, jika CyberPanel tidak dapat memperoleh sertifikat untuk domain Anda, itu akan menghasilkan sertifikat yang ditandatangani sendiri. Namun, sertifikat ini tidak dapat diterima oleh browser dan memberikan peringatan layar merah bahwa koneksi mungkin tidak aman.

Dalam tutorial ini, kita akan melihat beberapa kesalahan umum yang terjadi dan cara memperbaikinya.

Masalah Sertifikat SSL utama di CyberPanel

Masalah Catatan atau Alamat IP

CyberPanel hanya bisa memberi Anda sertifikat untuk situs web yang ada di server dan domain yang terhubung ke server juga. Untuk memverifikasi ini, Anda dapat menggunakan Whats My DNS untuk memverifikasi bahwa catatan A untuk domain Anda menunjuk ke IP server yang ditampilkan di kiri atas dasbor CyberPanel tepat di bawah logo CyberPanel.

Jika itu tidak cocok, ubah catatan A menjadi IP ini di pengaturan DNS manajer domain Anda. Jika Anda menggunakan Cloudflare, Anda mungkin melihat IP yang berbeda di Whats My DNS tetapi Anda harus memastikan bahwa IP dalam pengaturan DNS sama dengan IP server.

Verifikasi Klien ACME

CyberPanel menggunakan acme-client untuk penerbitan dan regenerasi sertifikat SSL setiap 90 hari. Terkadang klien sudah usang atau dihapus dari server yang membuat seluruh proses tidak mungkin.

Untuk memeriksa dan memperbarui klien ACME ke versi terbaru jalankan perintah berikut

wget -O - https://get.acme.sh | sh

Sekarang Anda dapat kembali ke menu dan memilih Kelola SSL dari menu SSL untuk mengeluarkan SSL lagi.

Folder permissions

Let's Encrypt Authority memverifikasi bahwa Anda memang pemilik dan mengendalikan domain yang ingin Anda dapatkan sertifikatnya sehingga mereka menawarkan beberapa bentuk verifikasi.

HTTP-01 Challenge (atau tantangan berbasis file): Ini adalah jenis tantangan yang paling umum saat ini. Let's Encrypt memberikan token kepada klien ACME Anda, dan klien ACME Anda menempatkan file di server web Anda di http://<YOUR_DOMAIN> / .terkenal / acme-challenge / <TOKEN>.
Tantangan DNS-01: Tantangan ini meminta Anda untuk membuktikan bahwa Anda mengontrol DNS untuk nama domain Anda dengan menempatkan nilai tertentu dalam catatan TXT di bawah nama domain tersebut. Let's Encrypt memberi klien ACME Anda token, klien Anda akan membuat catatan TXT yang berasal dari token dan kunci akun Anda, dan menempatkan catatan itu di _acme-challenge. <YOUR_DOMAIN>

CyberPanel menggunakan verifikasi berbasis file karena lebih mudah dan catatan DNS dapat memakan waktu yang sangat lama untuk disebarkan.

Terkadang, pengguna mengubah file dan izin folder yang membuatnya tidak mungkin CyberPanel menambahkan file yang diperlukan untuk verifikasi dan verifikasi gagal.

Untuk memperbaiki masalah ini, buka Situs Web >List di mana Anda akan melihat sesuatu seperti ini.

Klik tombol Kelola di samping situs web tempat Anda ingin mengeluarkan SSL dan Anda akan disambut dengan layar seperti ini

Gunakan opsi File Manager untuk membuka pengelola file untuk situs web tersebut. Setelah pengelola file terbuka, klik tombol Perbaiki Izin di kanan atas.

CyberPanel akan memperbaiki izin untuk Anda dan kemudian Anda dapat mengeluarkan sertifikat SSL dari SSL->Manage SSL seperti yang ditunjukkan pada edisi pertama.

ModSecurity Blocking

CyberPanel dilengkapi dengan ModSecurity yang membuat server dan situs web Anda aman dari berbagai upaya peretasan dan konten spam, namun kadang-kadang sebagai positif palsu, ia dapat memblokir lalu lintas yang sah mengingat spam atau serangan.

Lets Encrypt memverifikasi identitas domain dengan memeriksa apakah file yang disediakannya tersedia di domain Anda atau tidak. Ia melakukannya dengan mengakses file itu dari beberapa server untuk mengonfirmasi bahwa Anda memang pemilik atau orang yang berwenang untuk domain itu. Ketika mereka mengeluarkan jutaan sertifikat per hari, server mereka menghasilkan banyak lalu lintas dan kadang-kadang perusahaan yang memerangi spam melihat banyak lalu lintas yang sama seperti spam dan mereka memasukkan IP server Lets Encrypt di daftar hitam mereka.

Akibatnya, ModSecurity memblokir semua koneksi dari IP tersebut dan Let's Encrypt tidak dapat memverifikasi domain yang menyebabkan kegagalan untuk mengeluarkan sertifikat SSL.

Ada solusi sederhana untuk dapat mengeluarkan sertifikat SSL dalam kasus ini.

Buka Security-> ModSecurity Conf dan Anda akan disambut dengan layar ini

Matikan ModSecurity lalu buka SSL -> Kelola SSL dan keluarkan sertifikat SSL untuk situs web Anda. Setelah selesai, nyalakan ModSecurity kembali.

Debugging with command line

Jika tidak ada yang di atas bekerja untuk Anda, itu berarti Anda memiliki masalah yang berbeda yang perlu debugged dan diperbaiki. Untuk melakukan itu, pergi ke terminal Anda dan ketik yang berikut.

/root/.acme.sh/acme.sh --issue -d <YOUR_DOMAIN> -d www.<YOUR_DOMAIN> --cert-file /etc/letsencrypt/live/<YOUR_DOMAIN>/cert.pem --key-file /etc/letsencrypt/live/<YOUR_DOMAIN>/privkey.pem --fullchain-file /etc/letsencrypt/live/<YOUR_DOMAIN>/fullchain.pem -w /home/<YOUR_DOMAIN>/public_html --force --debug

Perintah ini akan memberi Anda informasi terperinci tentang di mana dan mengapa masalah terjadi sehingga Anda dapat memperbaikinya.