All Products
Search

This Product

    Cloud Firewall:[Pratinjau publik] Inspeksi TLS

    Document Center

    Cloud Firewall:[Pratinjau publik] Inspeksi TLS

    Last Updated:Apr 02, 2026

    Serangan lanjutan dalam lalu lintas terenkripsi, seperti HTTPS, sulit dideteksi karena kontennya tidak dapat didekripsi. Fitur TLS inspection Cloud Firewall melindungi lalu lintas keluar terenkripsi dengan menggunakan CA root pribadi untuk menggantikan sertifikat TLS asli, sehingga firewall dapat mendekripsi lalu lintas guna diperiksa oleh mesin IPS, lalu mengenkripsinya kembali demi menjaga komunikasi yang aman. Pendekatan ini menyeimbangkan kebutuhan inspeksi keamanan dan privasi data.

    Catatan

    Fitur inspeksi TLS saat ini berada dalam pratinjau publik dan dapat berubah sebelum dirilis secara umum. Jika Anda memiliki pertanyaan atau masukan, hubungi manajer akun Anda.

    Mengapa Anda memerlukan inspeksi TLS

    Protokol terenkripsi seperti HTTPS telah menjadi standar komunikasi internet. Namun, karena muatan permintaannya dienkripsi, mesin IPS Cloud Firewall tidak dapat membaca isinya sehingga tidak mampu menganalisis lalu lintas tersebut untuk mendeteksi ancaman.

    Anda dapat mengonfigurasi kebijakan inspeksi TLS untuk melindungi lalu lintas keluar tertentu. Fitur ini bekerja dengan menggantikan sertifikat TLS asli antara klien dan Cloud Firewall menggunakan sertifikat pribadi yang telah ditentukan.

    Setelah Cloud Firewall memperoleh sertifikat server, lalu lintas dapat didekripsi. Hal ini memungkinkan mesin IPS mendeteksi dan melindungi dari serangan serta risiko lanjutan seperti kebocoran data sensitif.

    Catatan penggunaan

    • Batasan metode penagihan: Fitur ini tidak mendukung instans Cloud Firewall yang menggunakan metode penagihan legacy pay-as-you-go 1.0.

    • Batasan wilayah: Fitur ini hanya tersedia di wilayah berikut: Tiongkok (Beijing), Tiongkok (Shanghai), Tiongkok (Hangzhou), dan Tiongkok (Zhangjiakou).

    • Batasan versi protokol TLS:

      • Hanya TLS 1.0, 1.1, dan 1.2 yang didukung.

      • Lalu lintas TLS 1.3 tanpa Encrypted Client Hello (ECH) diteruskan secara normal, tetapi tidak dapat didekripsi atau diperiksa.

      • Versi SSL lama dan TLS 1.3 dengan ECH aktif tidak didukung untuk inspeksi TLS dan akan mengganggu lalu lintas.

    • Batasan jenis protokol: Permintaan non-TCP, seperti lalu lintas QUIC yang menggunakan UDP, diteruskan tetapi tidak diperiksa.

    • Dampak pada diagnostik jaringan: Setelah Anda mengaktifkan inspeksi TLS, TCP MTR (My Traceroute) tidak dapat melacak jalur ke server origin.

    • Batasan mode autentikasi: Fitur ini tidak mendukung mutual TLS (mTLS). Fitur ini hanya mendukung TLS standar, di mana klien memvalidasi sertifikat server.

    • Persyaratan SNI: Indikasi Nama Server TLS (SNI) harus sesuai dengan nama domain dalam sertifikat yang dikonfigurasi agar inspeksi TLS berlaku.

    Prosedur

    Masuk ke Konsol Cloud Firewall. Di panel navigasi kiri, pilih Prevention Configuration > TLS Inspection untuk membuka halaman TLS Inspection.

    Langkah 1: Konfigurasi kebijakan inspeksi TLS

    Di halaman TLS Inspection, klik Create TLS Inspection Policy di atas daftar kebijakan. Panel Create TLS Inspection Policy muncul di sebelah kanan.

    1. Associate Certificate.

      Parameter

      Deskripsi

      Policy Name

      Masukkan nama deskriptif untuk kebijakan.

      Associate TLS Certificate

      Pilih sertifikat yang sudah ada.

      Catatan

      Saat membuat kebijakan pertama kali, menu dropdown sertifikat menyertakan opsi Apply for a Trial Certificate. Klik opsi ini untuk menghasilkan sertifikat uji secara otomatis guna mengevaluasi fitur inspeksi TLS dengan cepat. Sertifikat uji hanya dapat digunakan sekali. Di lingkungan produksi, beli dan gunakan sertifikat Anda sendiri.

      Saat ini, hanya sertifikat PCA yang didukung. Sertifikat harus memenuhi persyaratan berikut: 

      • Tujuan sertifikat harus diatur sebagai "Internal enterprise use".

      • Sertifikat algoritma kriptografi Tiongkok tidak didukung.

      • Jika Anda menggunakan algoritma kunci privat RSA, panjang kunci minimal 2048 bit.

      • Jika Anda menggunakan algoritma kunci privat ECC, pilih P-256.

      Jika tidak tersedia sertifikat, klik Buy Certificate untuk membuka Konsol Layanan Manajemen Sertifikat. Saat membeli sertifikat, pastikan tujuan sertifikat PCA diatur sebagai "Internal enterprise use". Untuk informasi lebih lanjut tentang sertifikat PCA, lihat What is a PCA certificate?.

      Certificate Validity

      Setelah memilih sertifikat, periode validitasnya akan ditampilkan. Pengingat akan muncul jika sisa periode validitas kurang dari satu tahun. Kami menyarankan Anda memeriksa sertifikat secara berkala untuk memastikan sisa periode validitas minimal satu tahun.

      Description

      Masukkan deskripsi untuk kebijakan.

      Setelah mengonfigurasi parameter, klik Next untuk melanjutkan ke langkah Configure Inspection Range. Kebijakan dibuat dan disimpan saat Anda melanjutkan ke langkah berikutnya.

    2. Configure Inspection Range.

      Penting

      • Kuota total untuk semua rentang inspeksi adalah 20.000.

      • Kuota yang dikonsumsi oleh satu kebijakan inspeksi TLS adalah jumlah kuota dari semua rentang inspeksinya.

      • Satu rentang inspeksi mengonsumsi kuota yang dihitung sebagai: jumlah alamat IP sumber × jumlah range port sumber × jumlah alamat IP tujuan × jumlah range port tujuan.

      Parameter

      Deskripsi

      Protocol Type

      Saat ini, hanya protokol TCP yang didukung.

      Source IP Address

      Pilih alamat IP host yang lalu lintas keluarnya ingin Anda periksa. Anda dapat memilih hingga 1.000 alamat IP.

      Catatan

      Jenis aset yang didukung: ECS EIP, ECS public IP, NAT EIP, EIP, dan ENI EIP.

      Source Port

      Tentukan port pemeriksaan untuk aset yang dipilih dalam format start port/end port. Rentang port yang valid adalah 0-65535. Pisahkan beberapa range port dengan koma. Maksimal 100 range didukung.

      Catatan

      • Semua port ditentukan sebagai range, bahkan untuk satu port tunggal. Misalnya, 8080/8080 berarti hanya port 8080 yang diperiksa.

      • Untuk memeriksa semua port, gunakan 0/65535.

      Destination IP Address

      Alamat IP tujuan layanan yang diakses oleh alamat IP sumber.

      Catatan

      • Anda harus menggunakan alamat IPv4 atau rentang alamat dalam Notasi CIDR. Contoh: 192.0.2.0/24,8.8.8.8/32.

      • Anda dapat memasukkan hingga 100 objek alamat IP. Pisahkan beberapa objek dengan koma (,).

      • Untuk merepresentasikan semua alamat, gunakan 0.0.0.0/0.

      Destination Port

      Port layanan tujuan yang diakses oleh aset IP sumber. Formatnya adalah start port/end port, dan rentang port yang valid adalah 0-65535. Beberapa range port dipisahkan dengan koma, dan maksimal 100 range didukung.

      Description

      Masukkan deskripsi untuk rentang inspeksi.

      Operasi lainnya

      • Save: Klik Save di bawah bagian Inspection Scope untuk menyimpan rentang inspeksi tanpa mengklik Next. Setelah ruang lingkup disimpan, Saved muncul di pojok kanan atas bagian tersebut.

      • Add: Klik Add an inspection range untuk menambahkan rentang inspeksi lain. Satu kebijakan mendukung hingga 10 rentang inspeksi.

      • Delete: Klik ikon image di pojok kanan atas bagian Inspection Scope untuk menghapus rentang inspeksi saat ini. Setelah konfirmasi penghapusan, rentang tersebut langsung dihapus tanpa perlu mengklik Next. Gunakan opsi ini dengan hati-hati.

      Setelah mengonfigurasi parameter, klik Next untuk menyelesaikan konfigurasi kebijakan.

    3. Tinjau informasi kebijakan.

      Setelah kebijakan dikonfigurasi, detail kebijakan dan rentang inspeksinya akan ditampilkan. Policy ID termasuk dalam log.

    Langkah 2: Instal sertifikat TLS

    Setelah membuat kebijakan inspeksi TLS, instal sertifikat terkait pada host yang ditentukan dalam ruang lingkup inspeksi.

    Penting

    Jika aset yang diperiksa adalah NAT EIP, Anda harus menginstal sertifikat pada semua instans ECS yang mengakses internet melalui gerbang NAT internet tersebut. Jika tidak, lalu lintas dapat terganggu.

    1. Unduh sertifikat.

      image

      Di daftar Configure TLS Inspection Policy, temukan kebijakan yang telah Anda buat dan klik Download Certificate di kolom Actions di sebelah kanan. Sertifikat diunduh ke mesin lokal Anda. Ekstrak paket tersebut untuk mendapatkan file sertifikat (.crt).

    2. Masuk ke host IP sumber.

      Masuk ke host yang Anda tentukan sebagai Source IP Address saat membuat Inspection Scope. Unggah sertifikat ke direktori apa pun pada host tersebut. Untuk informasi cara mengunggah file ke instans ECS, lihat Methods for transferring files.

    3. Instal sertifikat.

      Buka direktori tempat Anda mengunggah sertifikat. Salin sertifikat ke trust store sistem operasi dan jalankan perintah pembaruan. Langkah-langkahnya berbeda-beda tergantung sistem operasi.

      Catatan

      • Jika kebijakan TLS Anda menggunakan sertifikat CA tingkat bawah, Anda harus menginstal CA root dan CA tingkat bawah.

      • Contoh berikut berlaku untuk skenario di mana trust store adalah trust store sistem. Jika aplikasi Anda menggunakan trust store berbeda, instal sertifikat di trust store yang benar.

      CentOS/Alibaba Cloud Linux/Anolis/Red Hat

      1. Salin file sertifikat: cp <certificate_file_name> /etc/pki/ca-trust/source/anchors/

      2. Perbarui sertifikat: sudo update-ca-trust

      3. Lihat sertifikat yang diperbarui: cat /etc/ssl/certs/ca-bundle.crt

        Jika output menampilkan konten sertifikat, instalasi berhasil.

        image

      Ubuntu

      1. Salin file sertifikat: cp <certificate_file_name> /usr/local/share/ca-certificates/

      2. Perbarui sertifikat: sudo update-ca-certificates

      3. Lihat sertifikat yang diperbarui:cat /etc/ssl/certs/ca-certificates.crt

        Jika output menampilkan konten sertifikat, instalasi berhasil.

        image

      Windows

      Penting

      • Jika Anda menggunakan sertifikat yang merujuk pada CA tingkat bawah (intermediate CA), Certificate Manager bawaan Windows tidak menginstal semua CA dalam satu file rantai sertifikat sekaligus. Hanya CA pertama dalam file yang diinstal. Dalam skenario ini, Anda harus memisahkan setiap blok konten CA ke file terpisah, lalu menginstal setiap file tersebut.

      • Pisahkan sertifikat dengan membuka file sertifikat yang telah diunduh dan diekstrak di editor teks, potong blok konten dari -----BEGIN CERTIFICATE----- hingga -----END CERTIFICATE-----, lalu simpan sebagai file baru dengan ekstensi .crt.

        image

        Setelah dipisah: image

      1. Instal sertifikat: Klik kanan file sertifikat dan klik Install Certificate. Lalu, ikuti langkah-langkah berikut:

        1

        2

        3

        image

        image

        image

        Klik Next untuk menyelesaikan impor sertifikat.

      2. Lihat sertifikat yang diimpor: Masukkan certmgr.msc di Command Prompt untuk membuka Certificate Manager.

        image

      SUSE

      1. Salin file sertifikat: cp <certificate_file_name> /etc/pki/trust/anchors

      2. Perbarui sertifikat: sudo c_rehash .

      3. Lihat sertifikat yang diperbarui: sudo trust list --filter=ca-anchors |grep -C 2 <Certificate CN>

        Jika informasi sertifikat ditampilkan, sertifikat berhasil diinstal.

        image

      Fedora dan Fedora CoreOS

      1. Salin file sertifikat: sudo cp <certificate-file-name> /etc/pki/ca-trust/source/anchors/

      2. Perbarui sertifikat: sudo update-ca-trust extract

      3. Lihat sertifikat yang diperbarui: sudo trust list --filter=ca-anchors |grep -C 2 <certificate_CN>

        Jika informasi sertifikat ditampilkan, sertifikat berhasil diinstal.

        image

      Container Service (ACK)

      Saat lalu lintas keluar berasal dari pod dalam kluster Alibaba Cloud ACK, Anda harus menginstal sertifikat PCA di dalam setiap pod karena lingkungan kontainer terisolasi dari host. Jika node juga melakukan permintaan HTTPS, seperti menarik gambar dari repositori publik, Anda juga harus menginstal sertifikat pada node tersebut.

      Catatan

      • Langkah-langkah berikut berlaku untuk Alibaba Cloud Linux 3.2104 LTS 64-bit (container-optimized) dan hanya sebagai referensi. Sesuaikan perintah berdasarkan sistem operasi dan kebutuhan bisnis Anda.

      • Beberapa perintah berikut me-restart sumber daya. Untuk menghindari gangguan bisnis, kami sarankan Anda melakukan operasi ini selama jam sepi.

      Instal sertifikat pada node

      Masuk ke setiap node dan jalankan perintah berikut.

      1. Salin file sertifikat: cp <certificate_file_name> /etc/pki/ca-trust/source/anchors/

      2. Perbarui sertifikat: sudo update-ca-trust

      3. Lihat sertifikat yang diperbarui:cat /etc/ssl/certs/ca-bundle.crt

        Jika konten sertifikat ditampilkan, sertifikat berhasil diinstal.

      4. Restart layanan kontainer agar perubahan berlaku: sudo systemctl restart containerd.

      Instal sertifikat di dalam pod

      1. Buat Secret di konsol kluster target. Berikut contoh konfigurasinya. Nilai kunci adalah konten file sertifikat. Untuk detail cara membuat Secret, lihat Manage Secrets.imageAtau, Anda dapat menjalankan perintah kubectl berikut untuk membuat Secret dengan efek yang sama. Ganti ca_chain.crt dalam perintah dengan nama file sertifikat aktual.

        kubectl create secret generic cfw-pca-cert \
  --from-file=ca_chain.crt=./ca_chain.crt \
  -n default

      2. Untuk contoh Deployment, tambahkan konten berikut ke file YAML-nya:

        1. Arahkan ke bidang spec.template.spec.containers dan tambahkan konten berikut untuk memasang sertifikat dan memperbarui truststore. Dalam konten tersebut, secretName adalah nama Secret yang Anda buat pada langkah sebelumnya, misalnya cfw-pca-cert.

          volumes:
        - name: custom-ca-volume
          secret:
            secretName: cfw-pca-cert   
volumeMounts:
        - name: custom-ca-volume
          mountPath: /etc/ssl/custom
          readOnly: true

        2. Lanjutkan dengan menambahkan perintah startup di bawah bidang spec.template.spec.containers.

          Catatan

          Contoh berikut berbasis sistem kontainer CentOS dan hanya sebagai referensi. Sesuaikan perintah berdasarkan sistem operasi dan kebutuhan bisnis Anda.

          command:
          - "/bin/sh"
          - "-c"
          - |
            # 1. Install curl.
            echo "Installing curl......"
            yum install -y curl

            # 2. Verify that the certificate is mounted. Replace ca_chain.crt with the actual certificate filename.
            if [ ! -f /etc/ssl/custom/ca_chain.crt ]; then
              echo "ERROR: Certificate file not found!"
              exit 1
            fi

            # 3. Inject the certificate based on the steps for CentOS.
            echo "Copying certificate to anchors directory..."
            cp /etc/ssl/custom/ca_chain.crt /etc/pki/ca-trust/source/anchors/

            echo "Updating CA trust store..."
            update-ca-trust        

            # 4. Keep the pod running.
            echo "Pod ready for manual testing. Use 'kubectl exec' to test further."
            sleep infinity

    Trust store browser

    Beberapa browser, seperti Firefox, tidak menggunakan trust store CA sistem dan malah memelihara basis data kepercayaan sertifikatnya sendiri. Akibatnya, browser mungkin tetap menunjukkan bahwa sertifikat tidak tepercaya meskipun sertifikat sistem telah diperbarui menggunakan perintah update-ca-certificates. Dalam kasus ini, Anda dapat mengikuti langkah-langkah berikut untuk mengimpor sertifikat ke basis data kepercayaan browser.

    Catatan

    Langkah-langkah mengimpor sertifikat ke browser ini sama di Linux dan Windows.

    1

    2

    image

    image

    Langkah 3: Aktifkan inspeksi dan kueri log lalu lintas

    1. Setelah menginstal sertifikat pada host, Anda dapat mengaktifkan kebijakan.

      Penting

      Saat Anda mengaktifkan inspeksi TLS, perlindungan untuk koneksi baru berlaku dalam waktu sekitar satu menit. Koneksi persisten yang sudah ada tidak terpengaruh dan tidak akan dilindungi.

      Untuk EIP yang sudah dilindungi dan memiliki inspeksi TLS aktif, menonaktifkan inspeksi TLS akan mengganggu koneksi persisten. Durasi gangguan tergantung pada waktu rekoneksi aplikasi Anda.

      image

      Di halaman TLS Inspection, Anda dapat melihat daftar kebijakan yang telah dibuat. Alihkan sakelar status untuk mengaktifkan kebijakan inspeksi TLS. Setelah kebijakan diaktifkan, Cloud Firewall memeriksa konten lalu lintas keluar terenkripsi berdasarkan konfigurasi Anda.

      Catatan

      Anda hanya dapat menghapus kebijakan saat statusnya dinonaktifkan.

    2. Kueri log lalu lintas.

      Setelah host yang diperiksa menghasilkan lalu lintas, di panel navigasi kiri Konsol Cloud Firewall, pilih Detection & Response > Log Audit.

      Di Traffic Logs > Internet Firewall tab, kueri lalu lintas yang dihasilkan oleh host, termasuk kebijakan inspeksi TLS dan rentang inspeksi yang sesuai.

      Log menampilkan ID kebijakan dan rentang inspeksi.

      image