Mengonfigurasi sertifikat SSL untuk akses HTTPS aman - Edge Security Acceleration

Edge Security Acceleration (ESA) mendukung Percepatan aman HTTPS. Untuk mengenkripsi permintaan antara klien dan node tepi ESA, Anda dapat menerapkan sertifikat SSL/TLS ke platform ESA dan mengaktifkan fitur SSL/TLS.

Konfigurasi sertifikat

Jenis sertifikat

ESA mendukung dua jenis sertifikat: gratis dan kustom. Sistem secara otomatis menerbitkan dan memperbarui sertifikat gratis dari otoritas sertifikasi (CA) tepercaya, seperti Let's Encrypt, yang ideal untuk mengaktifkan HTTPS dengan cepat. Dengan sertifikat kustom, Anda dapat mengunggah sertifikat perusahaan sendiri—misalnya yang dikeluarkan oleh GlobalSign—untuk keperluan branding dan kepatuhan. Anda bertanggung jawab atas pengelolaan perpanjangan sertifikat kustom tersebut.

Jika bisnis Anda berupa situs usaha kecil dan menengah (UKM) atau blog pribadi dengan satu nama domain yang cocok persis, minta sertifikat gratis.
Jika Anda memerlukan sertifikat dari otoritas sertifikasi yang lebih tepercaya atau sudah memiliki sertifikat nama domain, unggah sertifikat kustom.

Jenis sertifikat	Sertifikat gratis Let's Encrypt	Sertifikat gratis Digicert	Sertifikat kustom
Metode perpanjangan	Otomatis	Otomatis	Manual
Jenis sertifikat	DV	DV	DV, OV, EV
Algoritma sertifikat	RSA	RSA	RSA, ECC
Jenis nama domain	Nama domain yang cocok persis, Nama domain wildcard	Nama domain tunggal yang cocok persis	Nama domain tunggal yang cocok persis, Nama domain wildcard

Catatan

Anda dapat mengonfigurasi sertifikat gratis dan kustom untuk situs yang sama. Semua sertifikat membentuk kumpulan sertifikat. Saat node tepi menerima permintaan klien, sistem akan secara otomatis memilih sertifikat optimal dari kumpulan tersebut untuk dikembalikan ke klien.

Minta sertifikat gratis

Fitur sertifikat gratis menyediakan cara praktis untuk menerbitkan dan mengelola sertifikat. Anda cukup memasukkan nama domain untuk secara otomatis meminta, memvalidasi, memperbarui, dan menerapkan sertifikat.

Catatan

Sertifikat gratis tidak dapat diunduh.
Selama proses permintaan sertifikat, ESA secara otomatis menyelesaikan validasi kendali domain tanpa perlu konfirmasi manual. Untuk informasi selengkapnya, lihat Validasi kendali domain otomatis untuk sertifikat gratis.
ESA secara otomatis memperbarui sertifikat gratis 15 hari sebelum masa berlakunya habis. Jika pembaruan gagal, Anda akan diberi tahu melalui pesan teks dan email. Anda kemudian harus mengunggah sertifikat kustom secara manual untuk menghindari gangguan layanan.

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih SSL/TLS > Edge Certificates.
Di area Certificate Management, klik Apply for Free Certificate. Pilih Certificate Authority dan masukkan Domain Name:
- Let's Encrypt (No SLA): Setiap sertifikat gratis dapat mencakup hingga 50 nama domain. Anda dapat memasukkan nama domain tunggal dan nama domain wildcard (yang harus diawali dengan *). Nama domain tersebut harus sesuai dengan situs. Sertifikat untuk example.com hanya mencakup nama domain tersebut dan tidak mencakup subdomain seperti www.example.com. Untuk mencakup subdomain seperti www.example.com, Anda harus menambahkan subdomain tersebut secara terpisah atau meminta sertifikat wildcard terpisah (*.example.com).
- Digicert: Untuk sertifikat domain tunggal Digicert, Anda hanya dapat memilih satu nama domain situs. Setelah Anda meminta sertifikat untuk example.com, sertifikat yang diterbitkan akan mencakup example.com dan www.example.com.
Klik OK dan tunggu hingga permintaan selesai. Setelah sertifikat diterbitkan, kolom Status akan menampilkan Normal.

Unggah sertifikat kustom

Anda dapat meminta sertifikat dari Layanan Manajemen Sertifikat Alibaba Cloud (sebelumnya Keamanan Alibaba Cloud) atau penyedia pihak ketiga, lalu menerapkannya ke ESA.

Catatan

Untuk membeli sertifikat, Anda dapat membeli sertifikat tingkat lanjut di Konsol SSL Certificate.
Jika sertifikat Anda dikeluarkan oleh penyedia pihak ketiga, sertifikat tersebut harus memenuhi persyaratan format. Untuk informasi selengkapnya, lihat Persyaratan format sertifikat.
Anda dapat melihat detail sertifikat, tetapi tidak dapat melihat kunci privat karena merupakan informasi sensitif. Anda harus menjaga keamanan kunci privat Anda.

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih SSL/TLS > Edge Certificates.

Di area Certificate Management, klik Upload Custom Certificate.

Jika Anda telah membeli sertifikat dari Layanan Manajemen Sertifikat Alibaba Cloud, atur Certificate Source ke Alibaba Cloud Security Certificate dan pilih sertifikat yang telah Anda beli dari daftar Certificate Name.
Catatan
Jika Anda tidak dapat memilih sertifikat yang telah dibeli, periksa apakah nama domain yang terlampir pada sertifikat sama dengan nama domain yang dipercepat.

Jika Anda menggunakan sertifikat dari penyedia pihak ketiga, atur Certificate Source ke Custom Certificate. Setelah mengatur Certificate Name, unggah Certificate (Public Key) dan Private Key. Sertifikat tersebut kemudian akan disimpan di Layanan Manajemen Sertifikat Alibaba Cloud. Anda dapat melihatnya di Manajemen Sertifikat SSL.

Parameter	Deskripsi
Certificate Name	Tetapkan nama untuk sertifikat yang ingin Anda unggah. Nama dapat berisi huruf, titik (.), angka, garis bawah (`_`), dan tanda hubung (`-`). Catatan Nama sertifikat harus unik. Anda dapat melihat sertifikat yang ada di Manajemen Sertifikat SSL. Jika sistem menunjukkan bahwa sertifikat tersebut duplikat, ubah nama sertifikat dan unggah kembali.
Certificate (Public Key)	Masukkan konten file sertifikat dalam format PEM. Anda dapat menggunakan editor teks untuk membuka file sertifikat berformat PEM, menyalin isinya, lalu menempelkannya ke kotak teks ini.
Private Key	Masukkan konten file kunci privat dalam format PEM. Anda dapat menggunakan editor teks untuk membuka file kunci privat berformat PEM, menyalin isinya, lalu menempelkannya ke kotak teks ini.

Klik OK untuk mengunggah sertifikat.

Aktifkan SSL/TLS

Setelah menerapkan sertifikat SSL/TLS, Anda harus mengaktifkan fitur SSL/TLS agar klien dapat menjalin komunikasi terenkripsi dengan node tepi melalui HTTPS. Sistem juga secara otomatis mencegat permintaan HTTP teks biasa dan mengalihkannya ke HTTPS. Proses ini menjamin enkripsi data ujung-ke-ujung dan proteksi anti-pemalsuan, membantu memenuhi persyaratan kepatuhan keamanan, serta meningkatkan kredibilitas situs Anda.

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih SSL/TLS > Edge Certificates.
Nyalakan sakelar Enable SSL/TLS.
Catatan
Konfigurasi ini berlaku untuk semua nama domain di bawah situs tersebut. Jika Anda ingin mengaktifkan enkripsi SSL/TLS hanya untuk nama domain tertentu, Anda dapat menambahkan aturan. Untuk informasi selengkapnya, lihat Aturan SSL/TLS.

Verifikasi konfigurasi HTTPS

Setelah mengonfigurasi sertifikat dan mengaktifkan SSL/TLS, Anda dapat memverifikasi konfigurasi tersebut dengan mengakses sumber daya melalui HTTPS di browser. Jika ikon gembok muncul di sebelah URL, hal ini menunjukkan bahwa Percepatan aman HTTPS sedang aktif.

p3701

Perbarui sertifikat kustom

ESA tidak mendukung perpanjangan otomatis untuk sertifikat kustom. Untuk mencegah gangguan layanan akibat sertifikat kedaluwarsa, Anda harus memperbaruinya di konsol sebelum masa berlakunya habis. Anda akan menerima pengingat melalui email 30 hari sebelum tanggal kedaluwarsa. Sediakan waktu yang cukup untuk pembaruan guna memastikan kelangsungan bisnis.

Perbarui sertifikat yang ada

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih SSL/TLS > Edge Certificates.
Di area Certificate Management, temukan sertifikat yang ingin diperbarui dan klik Modify di kolom Tindakan.
Ubah konten sertifikat sesuai kebutuhan, lalu klik OK.

Konfigurasi sertifikat baru

Di Konsol ESA, pilih Websites. Di kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih SSL/TLS > Edge Certificates.
Di area Certificate Management, klik Upload Custom Certificate. Berikan informasi yang diperlukan berdasarkan Certificate Source Anda, lalu klik OK.
Setelah sertifikat baru diunggah, temukan sertifikat yang akan kedaluwarsa dan klik Delete di kolom Tindakan. Ikuti petunjuk di layar untuk menghapus sertifikat tersebut.

Topik terkait

Validasi kendali domain otomatis untuk sertifikat gratis

Untuk memastikan legalitas kepemilikan nama domain, otoritas sertifikasi (CA) mengharuskan pelamar menyelesaikan validasi dengan salah satu cara berikut:

Validasi DNS (untuk situs yang terhubung melalui record NS): Setelah Anda meminta sertifikat gratis, ESA secara otomatis menambahkan record DNS TXT ke situs untuk validasi kendali domain.
Validasi HTTP (untuk situs yang terhubung melalui record CNAME): Setelah Anda meminta sertifikat gratis, sistem memvalidasi kendali Anda atas nama domain dengan memeriksa apakah Anda dapat menempatkan file tertentu di server web domain yang ditentukan.

Saat Anda meminta sertifikat gratis untuk situs yang telah berhasil terhubung dan diaktifkan, ESA menghosting DCV untuk situs Anda.

Prioritas pemilihan sertifikat

Anda dapat mengonfigurasi sertifikat gratis dan kustom untuk situs yang sama. Semua sertifikat membentuk kumpulan sertifikat. Saat node tepi menerima permintaan klien, sistem secara otomatis memilih sertifikat optimal dari kumpulan tersebut untuk dikembalikan ke klien. Prioritas pemilihan adalah sebagai berikut:

Sertifikat dalam status aktif (misalnya, masih dalam periode validitas dan memiliki Indikasi Nama Server (SNI) yang cocok) diprioritaskan.
Sertifikat domain tunggal diprioritaskan daripada sertifikat domain wildcard.
Sertifikat yang dikonfigurasi lebih baru diprioritaskan daripada yang lama.

Dukungan berdasarkan paket langganan

Jenis sertifikat	Entrance	Pro	Premium	Enterprise
Sertifikat gratis Let's Encrypt	10	50	70	100
Sertifikat gratis Digicert	Tidak didukung	10	20	50
Sertifikat kustom	5	10	20	50