Sebelum memperbarui sertifikat SSL pada F5 BIG-IP load balancer Kita, ada beberapa hal yang jadi prasyarat yang perlu Kita penuhi. Pertama, Kita harus punya file sertifikat SSL yang baru dalam format .crt atau PEM, kalau belum pastikan minta dari penyedia/vendor. Kedua, Kita memerlukan file private key yang sesuai dengan sertifikat tersebut, juga dalam format .key atau PEM. Jika Kita memperbarui sertifikat yang sudah ada, sangat disarankan untuk membuat private key yang baru demi keamanan. Ketiga, pastikan Kita memiliki sertifikat intermediate/chain (CA bundle) dari Certificate Authority (CA) Kita. Terakhir, Kita harus memiliki akses ke BIG-IP Configuration Utility (web GUI) dengan hak administratif.
Sebagai catatan penting, langkah-langkah berikut mengasumsikan Kita menggunakan BIG-IP versi 13.x atau yang lebih baru, yang umum digunakan pada deployment tahun 2023 ke atas. Jika Kita menggunakan versi yang lebih lama (misalnya, 9.x–12.x), navigasinya mungkin sedikit berbeda. Oleh karena itu, selalu periksa dokumentasi F5 yang spesifik untuk versi Kita. Selain itu, lakukan tindakan ini selama maintenance window, karena kesalahan konfigurasi dapat mengganggu lalu lintas HTTPS. Dalam pengaturan high-availability (HA), replikasi perubahan ke semua perangkat. Setelah pembaruan, uji konfigurasi menggunakan alat seperti SSL Labs’ Server Test.
Langkah 1: Login ke BIG-IP Configuration Utility
Buka web browser dan navigasikan ke IP manajemen BIG-IP (misalnya, https://<management-ip>). Login dengan kredensial admin Kita.
Langkah 2: Import Sertifikat dan Private Key yang Baru
Navigasikan ke System > Certificate Management > Traffic Certificate Management > SSL Certificate List (atau Local Traffic > SSL Certificates di versi yang lebih lama). Klik Import. Pada dropdown Import Type, pilih Certificate. Untuk Certificate Name, pilih Create New dan masukkan nama yang unik (misalnya, new-domain-cert). Untuk Certificate Source, pilih File (atau Paste Text jika Kita mengunggah melalui teks).
Jika menggunakan File: Klik Browse, pilih file .crt Kita, dan unggah.
Jika menempel: Salin sertifikat berformat PEM (termasuk —–BEGIN CERTIFICATE—– dan —–END CERTIFICATE—–) ke dalam kotak teks.
Klik Import.
Ulangi proses untuk Private Key:
- Import Type: Private Key.
- Name: Gunakan nama yang sama dengan sertifikat (misalnya, new-domain-key).
- Source: Unggah atau tempel konten file .key.
Langkah selanjutnya, kita bisa Import sertifikat chain/intermediate:
- Import Type: Chain.
- Name: misalnya, new-domain-chain.
- Source: Unggah atau tempel CA bundle (intermediate yang digabungkan, dimulai dengan —–BEGIN CERTIFICATE—–).
Sertifikat dan key Kita yang baru sekarang akan muncul di SSL Certificate List.
Langkah 3: Kaitkan Sertifikat yang Baru dengan SSL Profile
SSL profile (Client SSL untuk lalu lintas inbound atau Server SSL untuk outbound) mereferensikan sertifikat. Perbarui profile yang relevan.
Navigasikan ke Local Traffic > Profiles > SSL > Client (untuk terminasi sisi klien) atau Server (untuk sisi server). Pilih profile yang ada yang terikat ke virtual server Kita (misalnya, clientssl) atau buat yang baru dengan mengklik Create.
Di properti profile:
Pergi ke bidang Certificate dan pilih sertifikat Kita yang baru (misalnya, new-domain-cert).
Di bidang Key, pilih private key yang cocok.
Di bidang Chain (di bawah Advanced settings), pilih chain yang diimpor jika berlaku.
Klik Update.
Jika membuat profile baru, konfigurasikan pengaturan lain (misalnya, ciphers, protocols) sesuai kebutuhan, lalu simpan.
Langkah 4: Perbarui Virtual Server
Navigasikan ke Local Traffic > Virtual Servers. Pilih virtual server yang menggunakan sertifikat lama. Di bagian Configuration, di bawah HTTP Profile (Client) atau SSL Profile (Client), pilih SSL profile yang diperbarui atau baru. Klik Update.
Langkah 5: Verifikasi dan Uji
Di SSL Certificate List, konfirmasikan bahwa sertifikat baru ditampilkan sebagai “Valid” dengan tanggal kedaluwarsa yang benar. Simpan konfigurasi: Device > Changes > Save.
Jangan lupa lakukan Uji konektivitas website dengan cara sebagai berikut:
- Akses situs Kita melalui HTTPS dan periksa apakah tidak ada peringatan sertifikat.
- Gunakan perintah openssl s_client -connect <your-domain>:443 -servername <your-domain> untuk memverifikasi chain.
- Jalankan pemindaian eksternal (misalnya, Qualys SSL Labs) untuk memastikan peringkat A+.
- Pantau log: System > Logs > Local Traffic untuk setiap kesalahan.
Tips Pemecahan Masalah
- Kesalahan Sertifikat Tidak Cocok: Pastikan Common Name (CN) atau Subject Alternative Names (SAN) sertifikat sesuai dengan domain Kita.
- Private Key Tidak Cocok: Modulus harus cocok—verifikasi dengan perintah openssl rsa -noout -modulus -in private.key | openssl md5 dan openssl x509 -noout -modulus -in cert.crt | openssl md5.
- Masalah Chain: Gabungkan intermediate dalam urutan yang benar (dari leaf ke root) dalam file chain.
- Otomatisasi: Untuk pembaruan yang sering, pertimbangkan otomatisasi ACME F5 atau skrip melalui tmsh (misalnya, tmsh install sys crypto cert <name> from-local-file <path>).
Jika masalah berlanjut, konsultasikan dukungan F5 atau dokumentasi resmi untuk versi Kita.
Proses ini memastikan pembaruan yang lancar tanpa downtime. Untuk nuansa khusus versi, lihat basis pengetahuan F5.