Mengonfigurasi sertifikat HTTPS untuk nama domain yang dipercepat pada CDN mengenkripsi komunikasi antara klien dan titik keberadaan (POPs) CDN, mencegah data dicegat atau dimanipulasi selama transmisi sehingga meningkatkan keamanan bisnis Anda.
Anda dapat menerapkan sertifikat yang dibeli dari Alibaba Cloud Certificate Management Service ke platform CDN secara batch. Untuk informasi selengkapnya, lihat Terapkan sertifikat HTTPS secara batch.
Sebelum Memulai
Untuk memastikan penerapan berhasil, tinjau persyaratan dan batasan berikut:
Beli sertifikat: Jika Anda belum memiliki sertifikat, buka Konsol SSL Certificates Service untuk membeli sertifikat komersial.
Persyaratan kunci privat: Jika Anda mengunggah sertifikat kustom, kunci privat tidak boleh dilindungi kata sandi. Anda harus terlebih dahulu memverifikasi bahwa perlindungan kata sandi telah dihapus dari file kunci privat.
Prosedur
Login ke Konsol CDN.
Di panel navigasi kiri, klik Domain Names.
Pada halaman Domain Names, temukan nama domain target dan klik Manage di kolom Actions.
Di panel navigasi domain, klik HTTPS.
Di bagian HTTPS Certificate, klik Modify.
Pada halaman Modify HTTPS Settings, aktifkan sakelar HTTPS Secure Acceleration, lalu konfigurasi parameter sertifikat.
Jika Anda membeli sertifikat dari Certificate Management Service (sebelumnya SSL Certificates Service), pilih SSL Certificates Service. Lalu, di bidang Certificate Name, pilih sertifikat yang telah Anda beli.
CatatanJika Anda tidak dapat memilih sertifikat yang telah dibeli, periksa apakah nama domain yang terikat pada sertifikat sama dengan nama domain yang dipercepat.
Jika Anda menggunakan sertifikat yang dikeluarkan oleh penyedia layanan pihak ketiga, pilih Custom Certificate (Certificate+Private Key). Tentukan Certificate Name, lalu unggah Certificate (Public Key) dan Private Key. Sertifikat akan disimpan ke Alibaba Cloud Certificate Management Service. Anda dapat melihatnya di halaman My Certificates.
Mengunggah sertifikat kustom memiliki persyaratan format ketat untuk Certificate (Public Key) dan Private Key. Jika terjadi kesalahan konfigurasi atau Anda tidak memahami contoh konfigurasi, lihat Unggah sertifikat kustom untuk petunjuk cara menyiapkan Certificate (Public Key) dan Private Key untuk diunggah.
Parameter
Deskripsi
Certificate Name
Tentukan nama untuk sertifikat yang akan diunggah.
Nama hanya boleh berisi huruf, titik, angka, garis bawah (
_), dan tanda hubung (-), serta harus unik.Certificate (Public Key)
Masukkan konten file sertifikat yang dikodekan dalam format PEM.
Private Key
Masukkan konten kunci privat yang dikodekan dalam format PEM. Karena kunci privat merupakan informasi sensitif, Anda tidak dapat melihat atau mengekspornya dari konsol setelah diunggah. Simpan kunci privat di lokasi yang aman.
Klik OK.
Verifikasi Konfigurasi HTTPS
Melalui browser: Di browser, akses
https://your-accelerated-domain-name. Konfigurasi berhasil jika ikon gembok keamanan muncul di bilah alamat dan Anda dapat melihat informasi sertifikat yang benar setelah mengklik ikon tersebut.
Melalui command-line: Jalankan perintah
curl -I https://your-accelerated-domain-name. Layanan HTTPS aktif jika kode status200dikembalikan.
Nonaktifkan Percepatan Aman HTTPS
Jika Anda tidak lagi memerlukan percepatan aman HTTPS, Anda dapat menonaktifkan fitur tersebut di konsol CDN atau . Perubahan berlaku segera. Setelah Anda menonaktifkan fitur tersebut, klien tidak dapat lagi mengakses resource melalui HTTPS, dan sertifikat serta kunci privat tidak disimpan.
Untuk mengaktifkan kembali percepatan aman HTTPS, Anda harus memilih ulang sertifikat.
Unggah Sertifikat Kustom
Jika Anda memiliki sertifikat yang dikeluarkan oleh penyedia layanan pihak ketiga atau yang ditandatangani sendiri, Anda harus terlebih dahulu menyiapkan sertifikat dan kunci privat dalam format yang didukung CDN, lalu mengunggahnya.
Sertifikat (kunci publik)
CDN hanya mendukung sertifikat dalam format PEM. Jika sertifikat Anda dalam format lain, konversikan ke format PEM. Untuk informasi selengkapnya, lihat Mengonversi format sertifikat. Persyaratan untuk mengunggah konten sertifikat bervariasi tergantung pada otoritas sertifikasi:
Sertifikat yang dikeluarkan oleh otoritas sertifikat root (satu file sertifikat)
Buka file sertifikat PEM dengan editor teks. Unggah seluruh konten, termasuk baris yang dimulai dengan
-----BEGIN CERTIFICATE-----dan diakhiri dengan-----END CERTIFICATE-----.-----BEGIN CERTIFICATE----- [Certificate content] -----END CERTIFICATE-----Sertifikat yang dikeluarkan oleh otoritas perantara (beberapa file sertifikat)
Gabungkan sertifikat server dan semua sertifikat CA perantara secara berurutan menjadi satu file rantai sertifikat. Konten file harus mengikuti format berikut:-----BEGIN CERTIFICATE----- [Server certificate content] -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- [Intermediate CA certificate content] -----END CERTIFICATE-----
Kunci privat
Ekstensi file kunci privat biasanya.keyatau.pem. Buka file kunci privat dengan editor teks. Persyaratan pengunggahan berbeda untuk berbagai format kunci privat:Unggah kunci privat RSA secara langsung
Jika kunci privat dimulai dengan
-----BEGIN RSA PRIVATE KEY-----dan diakhiri dengan-----END RSA PRIVATE KEY-----, unggah konten kunci privat secara langsung.-----BEGIN RSA PRIVATE KEY----- [Private key content] -----END RSA PRIVATE KEY-----Konversi format kunci privat lain sebelum mengunggah
Jika kunci privat Anda dimulai dengan
-----BEGIN PRIVATE KEY-----dan diakhiri dengan-----END PRIVATE KEY-----, konversikan terlebih dahulu menggunakan perintah OpenSSL. Lalu, unggah konten kunci privat yang telah dikonversi. Dalam perintah tersebut,old_server_key.pemadalah kunci privat asli dannew_server_key.pemadalah kunci privat yang telah dikonversi.# Private key to be converted -----BEGIN PRIVATE KEY----- [Private key content] -----END PRIVATE KEY-----# Conversion command openssl rsa -in old_server_key.pem -out new_server_key.pem
Penagihan
Mengaktifkan fitur percepatan aman HTTPS akan menimbulkan biaya tambahan.
Item yang ditagih: Permintaan HTTPS untuk konten statis. Biaya ini dikenakan secara terpisah dari biaya transfer data CDN. Anda dikenai biaya berdasarkan jumlah total permintaan HTTPS untuk konten statis yang diajukan dari semua nama domain yang dipercepat di bawah akun Anda.
Metode penagihan: Keduanya pay-as-you-go
Catatan penagihan: Paket transfer data keluar CDN tidak mencakup biaya untuk permintaan HTTPS.
Referensi
Dokumen | Deskripsi |
Anda dapat mengonfigurasi fitur pengalihan paksa ke HTTPS untuk mengalihkan permintaan HTTP dari klien ke POPs menjadi permintaan HTTPS yang lebih aman. | |
Aktifkan fitur HTTP Strict Transport Security (HSTS) untuk memaksa klien, seperti browser, menggunakan HTTPS saat terhubung ke POPs. Hal ini meningkatkan keamanan. | |
POPs menyimpan cache hasil validasi sertifikat online terlebih dahulu dan mengirimkannya ke klien. Dengan cara ini, browser tidak perlu melakukan kueri status sertifikat dari situs web CA, sehingga mengurangi waktu verifikasi bagi pengguna. |
FAQ
API Terkait
API | Deskripsi |
Membuat file CSR. | |
Menanyakan informasi sertifikat untuk nama domain yang dipercepat tertentu. | |
Mengaktifkan atau menonaktifkan fitur sertifikat untuk nama domain dan memperbarui informasi sertifikat. | |
Mengonfigurasi sertifikat HTTPS untuk nama domain tertentu. | |
Menanyakan nama domain yang dipercepat berdasarkan informasi sertifikat. | |
Menanyakan detail sertifikat CDN. | |
Menanyakan daftar sertifikat. | |
Menanyakan informasi sertifikat tertentu. | |
Menanyakan semua informasi sertifikat pengguna. | |
Menanyakan jumlah nama domain yang sertifikatnya telah kedaluwarsa. | |
Mengaktifkan atau menonaktifkan fitur sertifikat SM untuk nama domain. | |
Menanyakan daftar sertifikat SM untuk nama domain yang dipercepat tertentu. | |
Menanyakan detail sertifikat SM. |