# iptables -t nat -A POSTROUTING -s [IP local]/[netmask] -o eth0 -j SNAT –to [IP internet]

atau bisa dengan begini:
# iptables -t nat -A POSTROUTING -s [IP local]/[netmask] -j MASQUERADE

dan jangan lupa, di-enable dulu forwarding IP-nya:
# echo 1 > /proc/sys/net/ipv4/ip_forward

it’s so simple..

Pertama yang harus dipastikan adalah konfigurasi web server yang mewajibkan agar komunikasi antar client-server harus dengan menggunakan sertifikat:

port=”8443″ enableLookups=”true”
acceptCount=”100″ connectionTimeout=”20000″
useURIValidationHack=”false” disableUploadTimeout=”true”
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”[path]/server.jks” keystorePass=”keystore pass”
truststoreFile=”[path]/truststore.jks” truststorePass=”truststore pass”
clientAuth=”true” sslProtocol=”TLS”/>

Selanjutnya adalah capture sertifikat dengan mengambil atribut yang ada pada HttpServletRequest dengan cara berikut:

String cipherSuite = (String) req.getAttribute(“javax.servlet.request.cipher_suite”);
if (cipherSuite != null) {
     X509Certificate certChain[] = (X509Certificate[]) req.getAttribute(“javax.servlet.request.X509Certificate”);
     if (certChain != null) {
          for (int i = 0; i < certChain.length; i++) {
               System.out.println (“Client Certificate [" + i + "] = “ + certChain[i].toString());
          }
     }
}

Pada baris pertama req.getAttribute("javax.servlet.request.cipher_suite") digunakan untuk melakukan pengecekan Cipher Suite yang digunakan, kode ini akan menghasilkan nilai null bila koneksi yang dilakukan tidak dengan menggunakan HTTPS Mutual Authentication, namun ketika kode ini memberikan keluaran bukan berupa null, maka langkah selanjutnya dapat dilakukan dengan perintah req.getAttribute("javax.servlet.request.X509Certificate") yang akan memberikan keluaran berupa array of X509Certificate, that’s all

Dengan demikian selain digunakan untuk otentikasi, server bisa saja memanfaatkan data-data yang ada pada sertifikat tersebut untuk digunakan pada keperluan-keperluan lain yang dibutuhkan.

Yang pertama wajib harus ada pada sistem operasi yang akan digunakan adalah JDK, jelas saja karna EJBCA memang dikembangkan dengan menggunakan java, selain itu harus di set juga security provider untuk Bouncycastle sebagaimana yang digunakan oleh EJBCA dan pastikan Java Cryptography Extension (JCE) sudah terinstall pada JRE yang digunakan.

Bouncycastle provider:
Copy-kan library bouncycastle pada direktory extensible library pada JRE, untuk Ubuntu ada di direktori /usr/lib/jvm/java-6-sun/jre/lib/ext/, setelah itu edit file java.security

$ sudo vi /usr/lib/jvm/java-6-sun/jre/lib/security/java.security

dan tambahkan baris ini:

security.provider.9=bouncycastle.jce.provider.BouncyCastleProvider

Java Cryptography Extention (JCE):
Download jce, dan copy n replace file local_policy.jar dan US_export_policy.jar ke direktory /usr/lib/jvm/java-6-sun/jre/lib/security

Selanjutnya adalah setting beberapa path yang dibutuhkan pada saat build dan deploy EJBCA, untuk memudahkan setting path dapat dengan menambahkannya pada file /etc/profile

$ sudo vi /etc/profile

tambahkan baris ini dibagian bawah file:

JAVA_HOME=/usr/lib/jvm/java-6-sun
export JAVA_HOME
APPSRV_HOME=/[some path]/jboss-5.1.0.GA
export APPSRV_HOME
JBOSS_HOME=/[some path]/jboss-5.1.0.GA
export JBOSS_HOME
ANT_OPTS=-Xmx256m
export ANT_OPTS

Untuk penggunaan JBOSS-5.1 seperti yang digunakan pada contoh ini, diperlukan tambahan library bouncycastle (bcmail-jdk15.jar, bcprov-jdk15.jar, bctsp-jdk15.jar) dan commons-httpclient.jar, yang dapat langsung saja dicopy-kan ke direktori $JBOSS_HOME/server/default/lib.

Setelah semuanya siap, lakukan konfigurasi dengan mengedit file *.properties yang dapat dicopy dari *.properties.sample yang sudah disediakan di direktori EJBCA_HOME/conf, pada konfigurasi default EJBCA pun sudah dapat langsung dijalankan dengan melakukan kompilasi dari direktori EJBCA_HOME, beberapa properties seperti yang disebutkan diatas dapat kita manfaaatkan untuk melakukan kustomisasi dari fitur-fitur yang sudah disediakan (moga lain waktu ada kesempatan untuk memberikan contoh kustomisasinya.. ), berikut adalah langkah-langkah untuk build dan running EJBCA:

$ cd EJBCA_HOME

Jalankan perintah ant bootstrap untuk build .jar, .war, .ear dll, yang secara otomatis akan langsung mendeploy ke $JBOSS_HOME.

$ ant bootstrap

Setelah bootstrap selesai, coba jalankan EJBCA hasil build tadi, bisa dengan perintah j2ee:run dari direktori EJBCA_HOME atau:

$APPSRV_HOME/bin/run.sh

Dengan konfigurasi default, “seharusnya” tidak ditemukan error pada EJBCA hingga langkah ini, sehingga dalam kondisi EJBCA sedang running, jalankan perintah ant install untuk menginisiasi CA yang pertama, membuat sertifikat untuk server EJBCA itu sendiri, membuat sertifikat untuk super admin, dll. Perintah ant install ini hanya dapat dilakukan sekali, karna bersifat sebagai inisiator diawal pembentukan CA, ketika CA pertama sudah terbentuk, maka kegagalan akan terjadi jika perintah tersebut dijalankan lagi.

$ ant install

Setelah perintah ant install dijalankan, temukan direktori p12 didalam EJBCA_HOME, disitu terdapat 3 buah file, masing-masing:

superadmin.p12 : adalah sertifikat superadmin dengan format PKCS12, import sertifikat ini pada browser untuk mengakses EJBCA Administration yang menggunakan HTTPS Mutual Authentication.
tomcat.jks : adalah sertifikat server EJBCA dengan format JKS.
truststore.jks : adalah kumpulan dari keystore yang dipercaya, dalam hal ini berisikan sertifikat dari CA (tanpa private key)

Langkah selanjutnya, jalankan perintah ant deploy untuk mendeploy sertifikat-sertifikat dan beberapa konfigurasi yang tadi di-generate saat menjalankan perintah ant install, namun sebelum menjalankan perintah ini, pastikan JBOSS dalam keadaan stop, untuk stop dapat dengan menggunakan Ctrl+C.

$ ant deploy

Setelah deploying selesai, jalankan kembali JBOSS dan kita sudah memiliki sistem CA yang running sekarang.

public static void httpsOpenConnection () {
   try {
      String[][] props = {{"javax.net.ssl.keyStore", KEYSTORE},
               {"javax.net.ssl.keyStorePassword", KEYSTORE_PASS},
               {"javax.net.ssl.trustStore", TRUSTORE},
               {"javax.net.ssl.trustStorePassword", TRUSTORE_PASS}};
      for (int i = 0; i<props.length; i++)
         System.getProperties().setProperty(props[i][0], props[i][1]);

      KeyStore ks = KeyStore.getInstance("PKCS12");
      ks.load(new FileInputStream(KEYSTORE), KEYSTORE_PASS.toCharArray());
      KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
      kmf.init(ks, KEYSTORE_PASS.toCharArray());
      KeyStore ksT = KeyStore.getInstance("JKS");
      ksT.load(new FileInputStream(TRUSTORE), TRUSTORE_PASS.toCharArray());
      TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
      tmf.init(ksT);
      SSLContext sslContext = SSLContext.getInstance("TLSv1");
      sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new java.security.SecureRandom());
      SSLSocketFactory sslsf = sslContext.getSocketFactory();
      SSLSocket sslSocket = (SSLSocket) sslsf.createSocket(HOST, PORT);
      sslSocket.startHandshake();

// String [] arr = sslSocket.getEnabledProtocols();
// for(int i=0;i<arr.length;i++)
// System.out.println(arr[i]);

      URL url = new URL(ENDPOINT);
      HttpsURLConnection.setDefaultSSLSocketFactory(sslsf);
      HttpsURLConnection urlc = (HttpsURLConnection) url.openConnection();

   } catch (KeyManagementException ex) {
      System.err.println(ex);
   } catch (UnrecoverableKeyException ex) {
      System.err.println(ex);
   } catch (IOException ex) {
      System.err.println(ex);
   } catch (NoSuchAlgorithmException ex) {
      System.err.println(ex);
   } catch (CertificateException ex) {
      System.err.println(ex);
   } catch (KeyStoreException ex) {
      System.err.println(ex);
   }
}

Keterangan :

public static String HOST : host server
public static int PORT : port https
public static String KEYSTORE : path keystore (PKCS12/JKS)
public static String KEYSTORE_PASS : password keystore
public static String TRUSTORE : path truststore (PKCS12/JKS)
public static String TRUSTORE_PASS : truststore
public static String ENDPOINT : url yang akan diakses

Pada tomcat, kita dapat menyeting Connector dengan mengedit file konfigurasi server.xml, sesuai dengan koneksi yang akan kita gunakan, misalnya http, AJP13 atau yang lainnya, berikut ini adalah setting connector untuk koneksi https dengan mutual authentication :

<Connector className=”org.apache.coyote.tomcat4.CoyoteConnector”
port=”8443″ enableLookups=”true”
acceptCount=”100″ connectionTimeout=”20000″
useURIValidationHack=”false” disableUploadTimeout=”true”
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”[path]/server.jks” keystorePass=”keystore pass”
truststoreFile=”[path]/truststore.jks” truststorePass=”truststore pass”
clientAuth=”true” sslProtocol=”TLS”/>

Untuk setting clientAuth, terdapat tiga opsi yang dapat digunakan :

true : all connections through this connector require client authentication
want : the web app will ask for authentication but not require it
false : connections do not require client authentication UNLESS the web app specifies it is required via a security constraint with CLIENT-CERT chosen

Berikut keterangan dari option yang dapat digunakan pada konfigurasi SSL :

Untuk eksperimen ini, kita bisa membuat dua buah sertifikat (client dan server) + sebuah sertifikat CA yang menandatangani sertifikat-sertifikat tersebut, dengan demikian tercipta trusted certificate antara client dan server.

Pada contoh ini, otentikasi antar server dan client hanya sebatas kepercayaan yg dimiliki server terhadap sertifikat client dan sebaliknya, sebetulnya bisa lebih dari sekedar itu, seperti yang kutemukan di EJBCA, dalam mutual authentication, server mampu memberikan akses2 tertentu kepada client sesuai dengan sertifikatnya, dengan kata lain, server tidak hanya memiliki kepercayaan terhadap sertifikat client, tapi server juga mampu mengenali dan memanfaatkan data2 pada sertifikat client yang bertransaksi dengannya untuk memberlakukan suatu role pada client tersebut.

Setting HTTPS Mutual Authentication pada apache :
Setelah selesai melakukan instalasi apache2 web server
$sudo apt-get install apache2

Aktifkan module SSL dengan perintah apache2 enable module
$sudo a2enmod ssl

Pastikan port 443 (https) sudah ter-enable
$sudo vi /etc/apache2/ports.conf

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
# SSL name based virtual hosts are not yet supported, therefore no
# NameVirtualHost statement here
Listen 443
</IfModule>

Konfigurasi site SSL, kita dapat menggunakan file /etc/apache2/sites-available/default-ssl dengan mengaktifkannya menggunakan perintah apache2 enable site
$sudo a2ensite default-ssl

Edit file default-sll
$sudo vi /etc/apache2/sites-available/default-ssl

JkMount /production* worker1

<VirtualHost *:443>
JkMount /production*        worker1
SSLEngine On
SSLCertificateFile [path]/server-cert.pem
SSLCertificateKeyFile [path]/server-key.pem
SSLCACertificateFile [path]/AdminCA1.pem
SSLVerifyClient require
SSLVerifyDepth 1
</VirtualHost>

Restart apache
$sudo /etc/init.d/apache2 restart

Setelah restart, coba server https mutual authentication dengan menanamkan sertifikat client pada browser yang kita gunakan, contoh dengan mozilla :
Edit -> Preferences -> Advance -> Encryption -> View Certificates -> Import

Nb:
Keterangan mengenai MOD_JK, lihat post sebelumnya.

Langsung saja, pastikan apache dan library mod_jk buat apache sudah terinstall, karna TS menggunakan ubuntu, instalasi dapat langsung menggunakan apt :

$sudo apt-get install apache2
$sudo apt-get install libapache2-mod-jk

pada ubuntu, direktori instalasi akan otomatis berada pada /etc/apache2, buat file konfigurasi workers.properties pada direktori tersebut :

$sudo vi /etc/apache2/workers.properties

kemudian isikan file tersebut dengan konfigurasi worker untuk setiap koneksi dengan menggunakan protokol ajp versi 1.3 (lebih dikenal dengan istilah ajp13) :

ps=/

#  worker.list=worker1 worker2
worker.list=worker1

worker.worker1.port=7009
worker.worker1.host=localhost
worker.worker1.type=ajp13
worker.worker1.lbfactor=1
worker.worker1.cachesize=10

#  worker.worker2.port=8009
#  worker.worker2.host=localhost
#  worker.worker2.type=ajp13
#  worker.worker2.lbfactor=2
#  worker.worker1.cachesize=10

untuk menambahkan worker, tinggal dihapus saja beberapa line yang di comment (“#”) kemudian configure seperti pada worker1, untuk konfigurasi yang lain, lebih lengkapnya dapat dilihat disini.

pada konfigurasi diatas, TS membuka port 7009 pada localhost untuk digunakan oleh protokol ajp13, konfigurasi mengenai ini terdapat pada file server.xml pada direktori conf pada tomcat, kemudian tambahkan line berikut :

<Connector port=”7009″ protocol=”AJP/1.3″ redirectPort=”8443″ />

setelah itu pada file mods-available/jk.load

$sudo vi /etc/apache2/mods-available/jk.load

tambahkan konfigurasi lokasi dimana file workers.properties dibuat dan beberapa konfigurasi lain jika dibutuhkan :

LoadModule jk_module /usr/lib/apache2/modules/mod_jk.so

JkWorkersFile /etc/apache2/workers.properties
JkLogFile     /var/log/apache2/mod_jk.log
JkLogLevel    info
JkLogStampFormat “[%a %b %d %H:%M:%S %Y] “

kemudian pada file sites-available/default :

$sudo vi /etc/apache2/sites-available/default

lakukan konfigurasi seperti contoh berikut :

JkMount /production*        worker1
# JkMount /training*      worker2

# NameVirtualHost *:80
<VirtualHost *:80>
JkMount /production*        worker1
RedirectMatch ^/$ /production/app
# JkMount /training*        worker2
# RedirectMatch ^/training$ /training/app
</VirtualHost>

setelah semua langkah diatas, kemudian restart apache :

$sudo /etc/init.d/apache2 restart

jika sudah tidak ada error, jalankan tomcat, yang tentunya sudah dengan konfigurasi port 7009 untuk protokol ajp13, setelah itu silakan dicek menggunakan browser andalan anda.. pada contoh diatas TS melakukan redirect ke /production/app jika si pe-request tidak memasukkan full url pada browser, dimana /production adalah context path dari application servernya dan /app adalah url-pattern dari servlet-mappingnya, dengan cara demikian kita bisa saja memasukkan lebih banyak worker yang kemudian bisa diakses dengan memainkan context path dari masing-masing application server.

good luck..

$sudo apt-get install subversion

setelah instalasi selesai, kemudian buat repository database :

$sudo svnadmin create [path tujuan]

untuk create repository ini, sebelumnya pastikan, bahwa space yang tersedia pada hardisk yang akan digunakan cukup, karna komputer yang baru dapet hardisknya lumayan gede untuk partisi /home-nya, ya udah taruh di /home saja, jadi perintahnya seperti ini :

$sudo svnadmin create /home/repository

setelah itu, svn siap untuk digunakan :

$svn co [repository path] [working directory]
$svn co file:///home/repository [working directory]

untuk checkout svn bisa menggunakan beberapa cara, diantarnya :

file:/// untuk akses langsung ke disk tempat repository berada
http:// jika svn ingin diakses melalui http, tapi tidak dibahas di post ini, mudah2an lain kali
https:// sama seperti http, tetapi dengan menggunakan ssl
svn:// jika ingin diakses menggunakan command svn client
svn+ssh:// sama dengan svn, tetapi melalui ssh

karna kepentinganku untuk penggunaan pribadi, ya udah, untuk akses dari laptop aku pake svn+ssh aja, tapi jangan lupa, ssh-nya mesti terinstall dulu, setelah itu :

$svn co svn+ssh://username@komputer/home/repository

udah deh, ke-download tuh semua file yang ada di repository, setiap kali ada perubahan data, baik di komputer maupun di laptop, tinggal commit-update aja..

tambahan, command yang sering dibutuhkan, gunanya untuk meng-copy file yang sudah ada didalam repository ke luar dari repository tanpa mengikut sertakan file konfigurasi svn yang ada di hidden directory .svn pada masing-masing directory :

$svn export [working directory] [destination path]

ada satu lagi yang nggak kalah serunya