全部产品
Search

搜索本产品

    Anti-DDoS:Gunakan Proxy Anti-DDoS untuk menerapkan autentikasi bersama

    文档中心

    Anti-DDoS:Gunakan Proxy Anti-DDoS untuk menerapkan autentikasi bersama

    更新时间:Jul 02, 2025

    Untuk skenario keamanan tinggi seperti transaksi keuangan, perawatan kesehatan, perbankan, dan pembayaran online, autentikasi satu arah tradisional (yang hanya memverifikasi identitas server) tidak memenuhi persyaratan keamanan. Secara default, server mempercayai semua klien yang terhubung, yang berpotensi mengeksposnya pada risiko seperti serangan man-in-the-middle dan akses tidak sah. Untuk meningkatkan keamanan, Anda dapat menggunakan fitur autentikasi bersama dari Proxy Anti-DDoS. Proses ini mengharuskan klien dan server untuk saling memverifikasi identitas sebelum membangun koneksi. Hanya setelah kedua pihak diautentikasi, mereka dapat membuat saluran komunikasi aman untuk transmisi data. Topik ini menjelaskan cara mengonfigurasi autentikasi bersama.

    Pengenalan

    Mengapa autentikasi bersama diperlukan

    Sebagian besar aplikasi web Internet menyambut berbagai klien untuk mengakses mereka. Untuk aplikasi ini, hanya autentikasi satu arah HTTPS yang diperlukan: klien memvalidasi identitas server sebelum berinteraksi dengan aplikasi, memastikan bahwa ia terhubung ke server yang valid.

    Namun, dalam skenario yang memerlukan tingkat keamanan lebih tinggi, tidak hanya identitas server yang harus diverifikasi, tetapi juga autentikasi klien. Autentikasi bersama berguna dalam kasus ini. Ini memastikan bahwa hanya klien yang berwenang yang dapat mengakses server, mengurangi risiko keamanan seperti serangan man-in-the-middle dan akses tidak sah.

    Perbandingan antara Autentikasi Satu Arah dan Autentikasi Bersama

    Item Perbandingan

    Autentikasi satu arah

    Autentikasi bersama

    File sertifikat yang terlibat

    Sertifikat server:

    • Sertifikat kunci publik

    • Kunci privat

    • Sertifikat server:

      • Sertifikat kunci publik

      • Kunci privat

    • Sertifikat klien:

      • Sertifikat kunci publik

      • Kunci privat

    • Sertifikat Root CA

    Proses jabat tangan

    Skenario

    Untuk skenario bisnis dengan persyaratan keamanan tinggi, seperti transaksi keuangan, perawatan kesehatan, perbankan, Internet of Things, dan pembayaran online, server perlu memverifikasi identitas klien selain klien memverifikasi identitas server.

    Jika tidak ada kebutuhan untuk autentikasi klien, autentikasi bersama tidak diperlukan.

    Contoh

    Platform layanan e-government yang memanfaatkan Proxy Anti-DDoS untuk pertahanan terhadap serangan DDoS harus mengonfigurasi autentikasi bersama untuk mencegah penyerang menyamar sebagai domain pemerintah atau menggunakan situs phishing untuk menyesatkan pengguna, yang berpotensi menyebabkan kebocoran informasi. Ini juga melindungi terhadap pengguna jahat yang menggunakan alat otomatis untuk merayapi antarmuka publik.

    • Autentikasi server: Klien memverifikasi sertifikat server yang dikonfigurasikan pada Proxy Anti-DDoS untuk memastikan koneksi ke server yang sah.

    • Autentikasi klien: Konfigurasikan sertifikat otoritas sertifikat (CA) pada Proxy Anti-DDoS untuk memverifikasi sertifikat klien, hanya mengizinkan klien yang berwenang untuk mengakses.

    Langkah 1: Buat sertifikat CA dan hasilkan sertifikat klien

    Metode 1: Hasilkan sertifikat klien menggunakan sertifikat CA yang diterbitkan oleh Alibaba Cloud

    Untuk mengajukan sertifikat klien, Anda dapat merujuk ke Ajukan sertifikat pribadi.

    1. Beli dan Aktifkan CA Pribadi.

      Catatan

      Dalam CA pribadi, CA root pribadi dapat mencakup satu atau lebih CA perantara pribadi. Hanya CA perantara pribadi yang dapat menerbitkan sertifikat pribadi, termasuk sertifikat server dan sertifikat klien.

    2. Ajukan sertifikat klien menggunakan CA perantara pribadi.

      1. Masuk ke Konsol Layanan Manajemen Sertifikat, dan di bilah navigasi kiri, pilih Certificate Management > PCA Certificate Management.

      2. Di tab Private CAs, temukan CA perantara target, dan di kolom Actions, klik Apply for Certificate.

        image

      3. Di panel Apply for Certificate, lengkapi konfigurasi sertifikat, dan klik Confirm.

        Dalam skenario ini, pilih Client Certificate untuk Certificate Type, dan masukkan pengenal unik untuk pengguna klien di Personal Name. Anda dapat mempertahankan nilai default untuk parameter lainnya atau memodifikasinya berdasarkan kebutuhan Anda.image

        Setelah Anda mengirimkan aplikasi sertifikat, sertifikat pribadi diterbitkan secara langsung. Kemudian, Anda dapat mengklik Certificates di kolom Actions untuk melihat informasi tentang sertifikat pribadi.

    3. Ekspor sertifikat klien.

      1. Pada tab Private CAs, cari CA perantara privat yang menerbitkan sertifikat privat yang diperlukan, lalu klik Certificates di kolom Actions.

      2. Di halaman Certificates, temukan sertifikat pribadi yang ingin Anda unduh dan klik Download di kolom Actions.

      3. Di kotak dialog Download Certificate, konfigurasikan parameter Format Sertifikat dan klik Confirm and Download. Jika Anda mengaktifkan Include Trust Chain, sertifikat yang diunduh mencakup rantai sertifikat lengkap. Tabel berikut menjelaskan format sertifikat.

        Dalam skenario ini, pilih PFX untuk Format Sertifikat, yang dapat dikenali oleh browser.导出客户端证书

        Seperti yang ditunjukkan pada gambar berikut, file sertifikat yang diunduh mencakup file sertifikat klien dengan ekstensi .pfx dan kata sandi enkripsi kunci privat klien dengan ekstensi .txt.

        安装客户端证书

    Metode 2: Hasilkan sertifikat klien menggunakan sertifikat CA yang tidak diterbitkan oleh Alibaba Cloud

    Sertifikat CA root yang ditandatangani sendiri atau sertifikat CA perantara yang ditandatangani sendiri didukung untuk autentikasi bersama. Topik ini menggunakan sertifikat CA root yang ditandatangani sendiri sebagai contoh.

    1. Gunakan OPENSSL untuk menghasilkan sertifikat CA root yang ditandatangani sendiri.

      1. Gunakan perintah berikut untuk membuat kunci privat sertifikat CA root:

        openssl genrsa -out root.key 4096

      2. Gunakan perintah berikut untuk membuat file untuk permintaan sertifikat CA root:

        openssl req -new -out root.csr -key root.key

        Tetapkan parameter lainnya. Contoh:

        Catatan

        Pastikan nama umum dalam sertifikat CA berbeda dari yang ada di sertifikat klien dan sertifikat server.

        Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:alibaba
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:root
Email Address []:a****@example.com
A challenge password []:
An optional company name []:

      3. Gunakan perintah berikut untuk membuat sertifikat CA root:

        openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

        Contoh output:

        创建根CA证书

      4. Gunakan perintah ls untuk memeriksa sertifikat CA root yang dihasilkan root.crt dan kunci privat sertifikat CA root root.key.

        Unduh file sertifikat CA root ini ke komputer lokal Anda sehingga Anda dapat mengunggahnya ke Layanan Manajemen Sertifikat nanti.

    2. Gunakan sertifikat CA root untuk menghasilkan sertifikat klien.

      1. Gunakan perintah berikut untuk menghasilkan kunci sertifikat klien:

        openssl genrsa -out client.key 4096

      2. Gunakan perintah berikut untuk menghasilkan file untuk permintaan sertifikat klien:

        openssl req -new -out client.csr -key client.key

        Tetapkan parameter lainnya. Contoh:

        Catatan

        Pastikan nama umum dalam sertifikat CA berbeda dari yang ada di sertifikat server, sertifikat root, dan sertifikat klien lainnya.

        Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:alibaba
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:client-alb-user
Email Address []:username@example.com
A challenge password []:
An optional company name []:

      3. Gunakan perintah berikut untuk menghasilkan sertifikat klien.

        openssl x509 -req -in client.csr -out client.crt -CA root.crt -CAkey root.key -CAcreateserial -days 3650

        Contoh output:

        生成客户端证书

      4. Gunakan perintah berikut untuk mengonversi sertifikat klien yang dihasilkan client.crt menjadi file PKCS12 yang dapat dikenali oleh browser. Ikuti petunjuk untuk memasukkan kata sandi enkripsi kunci privat klien yang Anda atur.

        openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

      5. Gunakan perintah ls untuk memeriksa file sertifikat klien yang dihasilkan client.p12.

        Unduh file sertifikat klien ke komputer lokal Anda sehingga Anda dapat mengirimkannya ke klien nanti.

    3. Unggah sertifikat CA root yang ditandatangani sendiri ke Layanan Manajemen Sertifikat Alibaba Cloud.

      1. Masuk ke Konsol Layanan Manajemen Sertifikat.

      2. Di bilah navigasi sisi kiri, pilih Certificate and Domain Application Services > Certificate Application Repository.

      3. Di halaman Certificate Application Repository, klik Create Repository. Di panel, atur Data Source ke Upload CA Certificates, dan klik OK.

        创建证书仓库

      4. Di halaman Certificate Application Repository, klik repositori sertifikat yang dibuat.

      5. Di halaman Official Certificate, klik Uploaded Certificate. Di panel CA Information, unggah file sertifikat CA root root.crt, dan klik Confirm and Enable.

    Langkah 2: Tambahkan domain ke Proxy Anti-DDoS dan aktifkan autentikasi bersama

    1. Masuk ke halaman Konfigurasi Situs Web di konsol Proxy Anti-DDoS.

    2. Di bilah navigasi atas, pilih wilayah instance Anda.

      • Proxy Anti-DDoS (Tiongkok Daratan): Pilih wilayah Tiongkok Daratan.

      • Proxy Anti-DDoS (Luar Tiongkok Daratan): Pilih wilayah Luar Tiongkok Daratan.

    3. Di halaman Website Config, klik Add Website dan ikuti petunjuk untuk menambahkan domain.

      Topik ini hanya menjelaskan cara mengaktifkan autentikasi bersama. Untuk item konfigurasi lainnya, lihat Tambahkan Situs Web.

      Di area konfigurasi terkait protokol HTTPS, pilih Mutual Authentication dan pilih sertifikat CA berdasarkan sumber sertifikat.image

    4. Setelah konfigurasi selesai, salin alamat CNAME dari Proxy Anti-DDoS.image

    Langkah 3: Konfigurasikan resolusi nama domain

    Dalam skenario bisnis, disarankan untuk menggunakan nama domain Anda sendiri dan mengarahkannya ke alamat CNAME dari Proxy Anti-DDoS melalui resolusi CNAME.

    Contoh berikut menggunakan domain dengan DNS yang dihosting di Alibaba Cloud DNS. Ini hanya untuk referensi jika Anda menggunakan layanan resolusi nama domain dari penyedia layanan DNS lainnya.

    1. Masuk ke Konsol Alibaba Cloud DNS.

    2. Di halaman Authoritative DNS Resolution, temukan nama domain target, dan klik DNS Settings di kolom Actions.

    3. Di halaman DNS Settings, temukan catatan DNS yang ingin Anda modifikasi, dan klik Edit di kolom Actions.

      Catatan

      Jika catatan DNS yang ingin Anda operasikan tidak ada dalam daftar rekaman, Anda dapat mengklik Add DNS Record.

      Dalam skenario ini, atur Record Type ke CNAME, dan atur Record Value ke alamat CNAME dari Proxy Anti-DDoS. Anda dapat mempertahankan nilai default untuk parameter lainnya atau memodifikasinya berdasarkan kebutuhan Anda.image

    4. Klik OK dan tunggu pengaturan DNS yang dimodifikasi untuk diterapkan.

    Langkah 4: Uji autentikasi bersama

    Topik ini menggunakan browser Chrome pada klien Windows sebagai contoh untuk pengujian.

    1. Instal sertifikat klien yang dibuat di Langkah 1 pada klien.

      Klik dua kali file sertifikat klien yang diunduh dan ikuti petunjuk impor sertifikat sistem untuk menyelesaikan instalasi sertifikat klien.

    2. Di browser, masukkan https://<nama domain Anda>. Saat kotak dialog muncul, pilih sertifikat untuk verifikasi identitas klien.

    3. Segarkan browser dan verifikasi apakah klien dapat mengakses domain.