BAB IV ANALISIS DAN PEMBAHASAN
4.3 Fase Simulasi Prototyping
4.3.2 Penerapan Perangkat Lunak
Pada bagian ini, perangkat lunak openSSL dan strongSwan akan diterapkan pada sistem Linux. Perangkat lunak openSSL digunakan dalam membangun sistem Public Key Certificate X.509 berbasis signature ECDSA. Sedangkan perangkat lunak strongSwan berperan sebagai penyedia layanan protokol IKEv2.
4.3.2.1 Pembuatan X.509 Certificate berbasis Signature ECDSA
Untuk membuat sistem PKI (Public Key Infrastructure) X.509, digunakan
toolkit OpenSSL. OpenSSL merupakan perangkat lunak open source dan free
yang mengimplementasikan protokol SSLv2/v3(Secure Socket Layer
version2/version3) dan TLSv1(Transport Layer Security version 1) serta standar
kriptografi yang berkaitan dengan protokol tersebut. OpenSSL dapat diperoleh melalui situs http://www.openssl.org. OpenSSL yang dipakai disini adalah versi 1.0.0.
Untuk menginstal OpenSSL dari source(format tar.gz), pertama-tama paket yang berbentuk archive terkompresi harus diekstrak ke suatu direktori tertentu seperti /home.
# mv openssl-1.0.0.tar.gz /home # cd /home
# tar –xzvf strongswan-4.2.5.tar.gz
Kemudian lakukan kompilasi pada paket yang telah diekstrak. # cd /home/ openssl-1.0.0
# ./config # make # make test # make install
OpenSSL akan diinstall pada default direktori /usr/ssl. Lakukan pengecekan apakah OpenSSL telah terinstal dengan benar atau tidak dengan perintah berikut.
# openssl version
Konfigurasi terhadap OpenSSL dilakukan melalui file /usr/ssl/openssl.cnf.
4.3.2.2 Pembuatan Sertifikat CA
Untuk membuat sertifikat CA X.509 berbasis signature ECDSA (Elliptic
Curve Digital Signature Algorithm), terlebih dahulu kita membuat private key
berbasis Elliptic Curve berukuran 521bit baru kemudian membuat sertifikat X.509
CA dari key tersebut.
# openssl ecparam -genkey -name secp521r1 -out cakey.pem
# openssl req –x509 –new –key cakey.pem -days 3650 -out cacert.pem
Isi data untuk sertifikat x509 CA. Data tersebut adalah “Country Name”, “State or Province Name”, “Locality”, “Organization Name”, “Common Name”, dan “Email Address”. Akan ada dua file hasil dari pembuatan CA yaitu cakey.pem yang merupakan private key dan cacert.pem yang merupakan sertifikat dari CA beserta public key.
4.3.2.3 Pembuatan Sertifikat untuk End Entity
Setelah membuat self-signed certificate CA maka tugas selanjutnya adalah
membuat sertifikat x509 untuk setiap komputer (end entity certificate) yang akan
membuat koneksi IPsec. Pertama kita membuat private key elliptic curve
berukuran 384bit untuk peer IPsec, setelah itu dari private key itu dibuat
certificate request untuk setiap peer IPsec , dan certificate request itu kemudian
di-sign oleh CA certificate yang sebelumnya telah dibuat. Berikut adalah
# openssl ecparam -genkey -name secp384r1 -out xxxkey.pem
# openssl req –new –key xxxkey.pem -out xxxreq.pem
Nama xxx diganti dengan nama host komputer dimana sertifikat itu
diperuntukkan. Misalnya, untuk pembuatan key dan certificate request untuk host
A, maka xxxkey.pem diganti menjadi akey.pem dan xxxreq.pem diganti menjadi
areq.pem. Begitu pula pembuatan untuk host lainnya B, Z, GW1, GW2, GW3
sehingga didapatkan file private key akey.pem, bkey.pem, zkey.pem,
gw1key.pem, gw2key.pem, gw3key.pem, dan file certificate request areq.pem,
breq.pem, zreq.pem, gw1req.pem, gw2req.pem, gw3req.pem,
Format isian certificate request pada dasarnya sama seperti membuat CA,
tetapi kali ini data isian disesuaikan untuk host IPsec. Kemudian request sertifikat yang telah dibuat harus disign oleh sertifikat CA yang sebelumnya telah dibuat.
# openssl x509 –req –in xxxreq.pem –CA cacert.pem -CAkey cakey.pem -days 365
–extfile openssl.cnf –extension usr_cert -CAcreateserial -out xxxcert.pem
Ganti xxx dengan nama host komputer dimana sertifikat itu diperuntukkan.
Misalnya, untuk penandatanganan certificate request untuk host A, maka
xxxreq.pem diganti menjadi areq.pem. xxxcert.pem diganti menjadi acert.pem dan
Begitu pula penandatanganan untuk host lainnya B, Z, GW1, GW2, GW3 sehingga didapatkan file sertifikat publik x.509 acert.pem, bcert.pem, zcert.pem, gw1cert.pem, gw2cert.pem, gw3cert.pem.
4.3.2.4 Instalasi Certificate
Untuk skema pendistribusian file sertifikat X.509 dapat dilihat pada lampiran 1 Skema Jaringan Komputer dan Sertifikat X.509. Pada setiap komputer atau host IPsec yang terlibat dalam pembuatan tunnel IPsec, tempatkan file sertifikat dan private key di direktori /etc/ipsec.d/ dengan aturan sebagai berikut.
• Direktori /etc/ipsec.d/private/ sebagai tempat untuk private key host IPsec yang sesuai. Contohnya hanya host A yang memiliki akey.pem dan host B memiliki bkey.pem, dan seterusnya.
• Direktori /etc/ipsec.d/certs/ sebagai tempat untuk end entity atau public
certificate. Berisi seluruh file end entity certificate X.509 yaitu acert.pem,
bcert.pem, zcert.pem, gw1cert.pem, gw2cert.pem, gw3cert.pem.
• Direktori /etc/ipsec.d/ cacerts/ sebagai tempat untuk CA certificate yang
mengeluarkan dan men-sign end entity certificate. Berisi file cacert.pem.
4.3.2.5 Instalasi Perangkat Lunak IKEv2 strongSwan
StrongSwan merupakan solusi perangkat lunak IPsec open source untuk
lingkungan sistem operasi berbasis kernel Linux. Aplikasi Strongswan yang
dipakai dalam skripsi ini adalah versi 4.4.0 yang menggunakan daemon charon
sebagai penyedia fungsi IKEv2. Strongswan bersifat open source berlisensi GPLv2 (GNU GENERAL PUBLIC LICENSE) dan dapat didownload gratis di
situs resminya http://www.strongswan.org.
Untuk menginstal Strongswan dari source(format tar.gz), pertama-tama
paket yang berbentuk archive terkompresi harus diekstrak ke suatu direktori
tertentu seperti /home.
# mv strongswan-4.4.0.tar.gz /home # cd /home
# tar –xzvf strongswan-4.4.0.tar.gz
Kemudian lakukan kompilasi pada paket yang telah diekstrak.
# cd /home/strongswan-4.4.0
# ./configure
# make
StrongSwan akan diinstall pada default direktori /usr/local. Lakukan pengecekan apakah strongSwan telah terinstal dengan benar atau tidak dengan perintah berikut. Dan jika tidak ada error yang muncul maka strongSwan sudah bisa digunakan.
# ipsec version
Konfigurasi terhadap strongSwan terutama dilakukan melalui file /etc/ipsec.conf, file secret key /etc/ipsec.secrets. File ipsec.conf digunakan sebagai
konfigurasi koneksi tunnel VPN IPsec (Security Association Database) dan
konfigurasi policy pengamanan traffic (Security Policy Database). File
ipsec.secrets berisi data rahasia data credential private key yang nantinya
digunakan dalam proses autentikasi peer IPsec. Proses autentikasi yang digunakan adalah sertifikat x.509 berbasis signature ECDSA.