All Products
Search
Document Center

Alibaba Cloud Service Mesh:Mengelola sertifikat TLS di ASM

Last Updated:Jun 21, 2026

Fitur manajemen sertifikat ASM menyinkronkan sertifikat di seluruh kluster dalam sebuah mesh—pendekatan ideal untuk skenario multi-kluster—dan menyederhanakan pemeliharaan sertifikat dengan menampilkan informasi serta peringatan kedaluwarsa. Topik ini menjelaskan cara menggunakan fitur manajemen sertifikat di ASM.

Prasyarat

Langkah 1: Siapkan sertifikat server dan kunci privat

  1. Jalankan perintah berikut untuk membuat sertifikat root dan kunci privat.

    openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -subj '/O=myexample Inc./CN=aliyun.com' -keyout aliyun.root.key -out aliyun.root.crt 
  2. Jalankan perintah berikut untuk menghasilkan sertifikat dan kunci privat untuk server aliyun.com. Sertifikat ini berlaku selama 365 hari.

    openssl req -out aliyun.com.csr -newkey rsa:2048 -nodes -keyout aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
    openssl x509 -req -days 365 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in aliyun.com.csr -out aliyun.com.crt
  3. Jalankan perintah berikut untuk menghasilkan sertifikat yang segera kedaluwarsa dan kunci privat untuk server aliyun.com. Sertifikat ini berlaku hanya satu hari.

    Sertifikat satu hari ini digunakan untuk menguji fitur peringatan kedaluwarsa sertifikat ASM.

    openssl req -out expiring.aliyun.com.csr -newkey rsa:2048 -nodes -keyout expiring.aliyun.com.key -subj "/CN=aliyun.com/O=myexample organization"
    openssl x509 -req -days 1 -CA aliyun.root.crt -CAkey aliyun.root.key -set_serial 0 -in expiring.aliyun.com.csr -out expiring.aliyun.com.crt

(Opsional) Langkah 2: Aktifkan pengumpulan log control-plane dan peringatan sertifikat

Anda dapat mengaktifkan pengumpulan log control-plane serta menyiapkan peringatan untuk sertifikat yang telah kedaluwarsa maupun yang akan segera kedaluwarsa. ASM menganggap sertifikat "akan segera kedaluwarsa" jika periode validitasnya kurang dari 30 hari.

Pada halaman Control-plane Log Alert Settings, temukan kebijakan peringatan terkait sertifikat (Expired certificate exists in certificate management dan Certificate that is about to expire exists in certificate management), klik Enable Alert di sebelah kanan setiap kebijakan, lalu pilih Service Mesh ASM Built-in Action Policy (Recommended).

Langkah 3: Buat sertifikat

  1. Buat sertifikat standar.

    1. Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.

    2. Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih ASM Gateways > Certificate Management.

    3. Pada halaman Certificate Management, klik Create. Pada panel Certificate Information, konfigurasikan parameter dan klik OK.

      Parameter

      Deskripsi

      Name

      Nama kustom untuk sertifikat.

      Namespaces

      Bawaan: istio-system.

      Public Key Certificate

      Konten file aliyun.com.crt yang dihasilkan pada Langkah 2 di Langkah 1.

      Private Key

      Konten file aliyun.com.key yang dihasilkan pada Langkah 2 di Langkah 1.

      Enable mTLS

      Untuk komunikasi mTLS, aktifkan opsi ini dan masukkan konten sertifikat CA Anda di kotak teks CA Certificate.

  2. Lihat Langkah 1 dan buat sertifikat yang akan segera kedaluwarsa.

    Untuk Public Key Certificate dan Private Key, gunakan konten dari file expiring.aliyun.com.crt dan expiring.aliyun.com.key yang dihasilkan pada Langkah 3 di Langkah 1, secara berurutan. Setelah sertifikat dibuat, halaman Certificate Management menampilkan dua catatan sertifikat baru: expiring-cert dengan status Normal dan test-cert dengan status Expiring soon. Nama domain untuk kedua sertifikat tersebut adalah aliyun.com, dan jenisnya adalah TLS. Di kolom Operation, Anda dapat mengklik Details untuk melihat detail sertifikat atau mengklik Edit untuk mengubah kontennya.

  3. (Opsional) Lihat log peringatan sertifikat.

    Sebelum versi 1.17.2.35

    1. Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.

    2. Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih ASM Instance > Base Information.

    3. Di bagian Config Info, di sebelah kanan Control-plane log collection, klik View log. Di daftar Logstores di sebelah kiri, klik internal-alert-history. Pada halaman internal-alert-history, cari log peringatan certificate dengan memasukkan kata kunci certificate, memilih rentang waktu 30 Days (Relative), lalu mengklik Query/Analyze. Hasil kueri menunjukkan total 28 log peringatan, termasuk catatan peringatan dengan AlertDisplayName berupa "certificate about to expire".

    Versi 1.17.2.35 dan lebih baru

    1. Masuk ke Konsol ASM. Di panel navigasi kiri, pilih Service Mesh > Mesh Management.

    2. Pada halaman Mesh Management, klik nama instans ASM. Di panel navigasi kiri, pilih Observability Management Center > Log Center.

    3. Pada halaman Log Center, klik tab Control-Plane Logs. Masukkan Certificate di kotak pencarian dan klik Query/Analysis untuk melihat log peringatan.

    Catatan

    ASM memeriksa peringatan kedaluwarsa sertifikat setiap 6 jam. Jika tidak ada log peringatan yang muncul, tunggu 6 jam lalu periksa kembali.

  4. Gunakan sertifikat dari manajemen sertifikat.

    Setelah Anda membuat sertifikat pada halaman Certificate Management, Anda dapat mereferensikannya langsung dalam skenario berikut:

    • Saat membuat atau mengubah resource Gateway menggunakan YAML, Anda dapat mengatur bidang credentialName ke nama sertifikat untuk mengonfigurasi TLS. Untuk informasi lebih lanjut, lihat Manage a Gateway.

    • Saat membuat resource Gateway menggunakan antarmuka GUI di Konsol ASM, Anda dapat memilih sertifikat dari Certificate Management. Untuk informasi lebih lanjut, lihat Manage a Gateway.

    • Saat membuat domain pada halaman Domain/Certificate di ikhtisar gateway, Anda dapat langsung mereferensikan sertifikat dari Certificate Management untuk konfigurasi TLS. Untuk informasi lebih lanjut, lihat Add a Certificate for a Domain.

Langkah 4: Migrasi sertifikat

Mulai dari versi 1.17, ASM mendukung manajemen sertifikat pada halaman ASM Gateway > Certificate Management. Jika Anda telah membuat sertifikat pada halaman Domain/Certificate di ikhtisar gateway, migrasikan sertifikat tersebut ke halaman Certificate Management.

Pada halaman Certificate Management, buat sertifikat dengan nama yang sama dan tempel informasi dari sertifikat aslinya. Tindakan ini memindahkan pengelolaan sertifikat ke halaman Certificate Management.