Saat mengonfigurasi otentikasi satu arah atau otentikasi timbal balik (mTLS), Anda harus membeli sertifikat dari Layanan Manajemen Sertifikat Alibaba Cloud atau mengunggah sertifikat server pihak ketiga dan sertifikat CA, lalu mengaitkannya dengan listener Anda.
Latar Belakang
ALB mendukung otentikasi satu arah dan otentikasi timbal balik (mTLS). Pilih metode yang paling sesuai dengan kebutuhan Anda.
Otentikasi satu arah: Klien mengotentikasi server, tetapi server tidak mengotentikasi klien. Saat mengonfigurasi listener HTTPS atau QUIC, Anda harus mengaitkan sertifikat server dengan listener tersebut.
Otentikasi timbal balik (mTLS): Klien dan server saling mengotentikasi satu sama lain. Hal ini menjamin komunikasi yang aman karena permintaan dan tanggapan hanya dikirim setelah kedua pihak terotentikasi. Untuk mengaktifkan mTLS, Anda harus mengaitkan sertifikat server dan sertifikat CA dengan listener. Sertifikat CA digunakan untuk mengotentikasi klien.
Batasan
Instans ALB Edisi Dasar tidak mendukung otentikasi timbal balik (mTLS).
Listener QUIC tidak mendukung otentikasi timbal balik (mTLS).
Listener HTTP tidak mendukung otentikasi satu arah maupun otentikasi timbal balik (mTLS).
Jenis sertifikat
ALB mendukung sertifikat standar internasional (RSA/ECC) dan Sertifikat SM (SM2).
Sertifikat standar internasional: Sertifikat ini mendukung algoritma RSA dan ECC serta cocok untuk enkripsi HTTPS umum.
Sertifikat SM: Sertifikat ini mendukung rangkaian algoritma kriptografi Tiongkok, yang mencakup SM2 untuk tanda tangan dan pertukaran kunci, SM3 untuk penghashan, dan SM4 untuk enkripsi data. Sertifikat ini cocok untuk industri seperti keuangan dan pemerintahan yang memerlukan kepatuhan terhadap MLPS 2.0 Level 3. Untuk menggunakan Sertifikat SM, Anda juga harus memilih kebijakan keamanan TLS kustom yang mencakup paket sandi
ECC-SM2-WITH-SM4-SM3.
Fitur Sertifikat SM tidak diaktifkan secara default. Untuk menggunakannya, Anda harus mengajukan kuota yang diperlukan di Quota Center.
Sertifikat SM hanya didukung pada instans ALB yang telah ditingkatkan, bukan instans lama. Anda dapat menggunakan kloning instans ALB untuk memigrasikan layanan Anda secara manual dari instans ALB lama ke instans yang telah ditingkatkan.
Hanya instans ALB Edisi Standar dan Edisi dengan WAF yang mendukung Sertifikat SM. Instans Edisi Dasar dan Edisi Extended tidak mendukungnya.
Sertifikat SM tidak mendukung otentikasi timbal balik (mTLS) karena sertifikat CA tidak mendukung algoritma SM2.
Tabel berikut menjelaskan jenis listener, jenis sertifikat, dan metode autentikasi yang didukung.
Jenis listener | Jenis sertifikat | Metode autentikasi | |
Otentikasi satu arah | Otentikasi timbal balik (mTLS) | ||
HTTPS | Sertifikat RSA, ECC, atau SM2 tunggal | Didukung | Didukung (RSA, ECC) |
Sertifikat ganda RSA dan ECC | Didukung | Didukung | |
Sertifikat ganda RSA dan SM2 | Didukung | Tidak didukung | |
Sertifikat ganda ECC dan SM2 | Didukung | Tidak didukung | |
Sertifikat campuran RSA, ECC, dan SM2 | Didukung | Tidak didukung | |
QUIC | Sertifikat RSA atau ECC tunggal | Didukung | Tidak didukung |
Sertifikat ganda RSA dan ECC | Didukung | Tidak didukung | |
HTTP | Konfigurasi sertifikat tidak didukung | ||
Logika pencocokan sertifikat
Saat listener memiliki beberapa sertifikat, ALB menggunakan algoritma pemilihan sertifikat cerdas yang mendukung Server Name Indication (SNI). Jika hostname klien cocok dengan satu sertifikat dalam daftar, ALB memilih sertifikat tersebut. Jika hostname cocok dengan beberapa sertifikat, ALB memilih sertifikat terbaik berdasarkan prioritas berikut:
Pencocokan Nama Domain: Pencocokan eksak lebih diprioritaskan daripada pencocokan wildcard.
Algoritma Kunci Publik: ECDSA (ECC) lebih diprioritaskan daripada RSA.
Algoritma Hash: Keluarga SHA lebih diprioritaskan daripada MD5.
Panjang Kunci: Sertifikat dengan kunci terpanjang lebih diprioritaskan.
Periode Validitas: Sertifikat dengan periode validitas tersisa terpanjang lebih diprioritaskan.
ALB menggunakan versi protokol dalam proses jabat tangan TLS klien untuk menentukan apakah akan menggunakan protokol kriptografi nasional Tiongkok (TLCP).
Jika klien menggunakan protokol TLCP, ALB memprioritaskan Sertifikat SM.
Jika klien menggunakan protokol TLS standar, ALB memprioritaskan sertifikat standar internasional (RSA/ECC).
Prasyarat
Anda telah membuat instans ALB Edisi Standar atau Edisi dengan WAF.
Anda telah membuat kelompok server backend yang tersedia.
Anda telah membeli atau mengunggah sertifikat server di Layanan Manajemen Sertifikat.
Untuk otentikasi timbal balik, Anda juga memerlukan sertifikat CA. Anda dapat membeli dan mengaktifkan sertifikat CA subordinate di Layanan Manajemen Sertifikat (yang memerlukan kuota sertifikat yang tersedia) atau mengunggah sertifikat CA root atau CA subordinate yang ditandatangani sendiri ke layanan tersebut.
Menambahkan sertifikat
Masuk ke Konsol ALB.
Di bilah navigasi atas, pilih wilayah tempat instans ALB dideploy.
Pada halaman Instances, temukan instans target dan klik ID-nya.
Buka wizard konfigurasi listener:
Pada halaman Instances, temukan instans target dan klik Create Listener di kolom Actions.
Pada halaman Instances, klik ID instans target. Di tab Listener, klik Create Listener.
Pada halaman Configure Listener, konfigurasikan pengaturan berikut dan klik Next.
Topik ini hanya menjelaskan parameter yang diperlukan. Untuk informasi selengkapnya, lihat Add an HTTPS listener.
Konfigurasi listener
Deskripsi
Listener Protocol
Pilih protokol listener. Anda dapat memilih HTTPS atau QUIC.
CatatanListener QUIC tidak mendukung otentikasi timbal balik (mTLS).
Listener HTTP tidak mendukung otentikasi satu arah atau otentikasi timbal balik (mTLS).
Dalam contoh ini, HTTPS dipilih.
Listener Port
Tentukan port dari 1 hingga 65535 untuk menerima dan meneruskan permintaan ke server backend. Port 80 adalah port standar untuk HTTP dan 443 adalah port standar untuk HTTPS.
Dalam contoh ini, 443 dimasukkan.
Listener Name
Masukkan nama khusus untuk Pendengar.
Advanced Settings
Klik Modify untuk memperluas pengaturan lanjutan.
Pada langkah SSL Certificate, pilih sertifikat server.
Jika tidak ada sertifikat server yang tersedia, klik Create SSL Certificate dalam daftar drop-down untuk membuka Layanan Manajemen Sertifikat, tempat Anda dapat membeli atau mengunggah sertifikat server.
Opsional: Aktifkan Enable Mutual Authentication, lalu pilih sumber sertifikat CA.
Pilih Alibaba Cloud sebagai sumber sertifikat CA, lalu pilih sertifikat CA dari daftar drop-down Default CA Certificate.
Jika tidak ada sertifikat CA yang tersedia, klik Purchase CA Certificate dalam daftar drop-down untuk membuat sertifikat CA baru.
Pilih Third-party sebagai sumber sertifikat CA, lalu pilih sertifikat CA dari daftar drop-down Default CA Certificate.
Jika tidak ada sertifikat CA yang ditandatangani sendiri yang tersedia, klik Upload Self-signed CA Certificate dalam daftar drop-down. Di halaman Certificate Application Repository, buat repositori dengan Uploaded CA Certificates sebagai sumber data. Kemudian, unggah sertifikat CA root atau CA perantara yang ditandatangani sendiri ke repositori tersebut.
CatatanHanya instans ALB Edisi Standar dan Edisi dengan WAF yang mendukung otentikasi timbal balik. Instans ALB Edisi Dasar tidak mendukungnya.
Setelah Anda mengaktifkan otentikasi timbal balik, jika perlu menonaktifkannya nanti, ikuti langkah-langkah berikut:
Di halaman Instances, klik ID instans target.
Di tab Listener, klik ID listener HTTPS target.
Di tab Listener Details, nonaktifkan sakelar otentikasi timbal balik di bagian SSL Certificate.
Pilih TLS Security Policy lalu klik Next.
Jika tidak ada kebijakan keamanan TLS yang tersedia, klik Create TLS Security Policy dalam daftar drop-down.
Kebijakan keamanan TLS mencakup versi protokol TLS dan paket sandi yang didukung untuk HTTPS.
Di halaman Select Server Group, pilih kelompok server backend, tinjau informasi server backend, lalu klik Next.
Di halaman Configuration Review, tinjau pengaturan lalu klik Submit.
Operasi tambahan
Masuk ke Konsol ALB.
Di bilah navigasi atas, pilih wilayah tempat instans ALB dideploy.
Pada halaman Instances, temukan instans target dan klik ID-nya.
Klik tab Listener. Temukan listener target lalu klik Manage Certificates di kolom Actions.
Di halaman Certificates, Anda dapat melakukan operasi berikut.
CatatanUntuk menghindari gangguan layanan, ganti sertifikat Anda sebelum masa berlakunya habis.
Kategori sertifikat
Aksi
Deskripsi
Sertifikat server
Ganti sertifikat server default
Di tab Server Certificates, temukan sertifikat server default lalu klik Replace di kolom Actions.
Di kotak dialog yang muncul, pilih sertifikat server lalu klik OK.
Jika tidak ada sertifikat server yang tersedia, klik Create SSL Certificate dalam daftar drop-down untuk membuka Layanan Manajemen Sertifikat, tempat Anda dapat membeli atau mengunggah sertifikat server.
Tambahkan sertifikat server tambahan
Anda dapat menambahkan sertifikat tambahan ke listener.
Di tab Server Certificates, klik Add EV Certificate.
Di kotak dialog Add EV Certificate, pilih sertifikat server lalu klik OK.
Jika tidak ada sertifikat server yang tersedia, Anda dapat mengklik Purchase Certificate di pojok kanan atas untuk membuka konsol Layanan Manajemen Sertifikat, tempat Anda dapat membeli atau mengunggah sertifikat server.
Hapus sertifikat server tambahan
Anda dapat menghapus sertifikat server tambahan. Setelah dihapus, sertifikat tersebut tidak dapat lagi digunakan untuk autentikasi.
Di tab Server Certificates, temukan sertifikat tambahan target lalu klik Delete di kolom Actions.
Di kotak dialog yang muncul, klik Delete.
Sertifikat CA
Aktifkan atau nonaktifkan otentikasi timbal balik
Aktifkan otentikasi timbal balik: Jika otentikasi timbal balik belum diaktifkan untuk listener, Anda dapat mengaktifkannya dengan langkah-langkah berikut:
Klik tab CA Certificate lalu aktifkan sakelar Mutual Authentication, atau klik Enable Mutual Authentication.
Di kotak dialog Enable Mutual Authentication, lakukan salah satu langkah berikut:
Tetapkan sumber sertifikat CA ke Alibaba Cloud, pilih sertifikat CA dari daftar drop-down Default CA Certificate, lalu klik OK.
Jika tidak ada sertifikat CA yang tersedia, klik Purchase CA Certificate dalam daftar drop-down untuk membuat sertifikat CA baru.
Tetapkan sumber sertifikat CA ke Third-party, pilih sertifikat CA dari daftar drop-down Default CA Certificate, lalu klik OK.
Jika tidak ada sertifikat CA yang ditandatangani sendiri yang tersedia, klik Upload Self-signed CA Certificate dalam daftar drop-down. Di halaman Certificate Application Repository, buat repositori dengan Uploaded CA Certificates sebagai sumber data. Kemudian, unggah sertifikat CA root atau CA perantara yang ditandatangani sendiri ke repositori tersebut.
Nonaktifkan otentikasi timbal balik: Jika Anda telah mengaktifkan otentikasi timbal balik untuk listener, Anda dapat mengklik tab CA Certificate lalu nonaktifkan sakelar Mutual Authentication. Listener kemudian kembali ke otentikasi satu arah.
Ganti sertifikat CA
Klik tab CA Certificate. Temukan sertifikat CA default lalu klik Replace di kolom Actions.
Di kotak dialog Change Default CA Certificate, lakukan salah satu langkah berikut berdasarkan kebutuhan bisnis Anda:
Tetapkan sumber sertifikat CA ke Alibaba Cloud, pilih sertifikat CA dari daftar drop-down Default CA Certificate, lalu klik OK.
Jika tidak ada sertifikat CA yang tersedia, klik Purchase CA Certificate dalam daftar drop-down untuk membuat sertifikat CA baru.
Tetapkan sumber sertifikat CA ke Third-party, pilih sertifikat CA dari daftar drop-down Default CA Certificate, lalu klik OK.
Jika tidak ada sertifikat CA yang ditandatangani sendiri yang tersedia, klik Upload Self-signed CA Certificate dalam daftar drop-down. Di halaman Certificate Application Repository, buat repositori dengan Uploaded CA Certificates sebagai sumber data. Kemudian, unggah sertifikat CA root atau CA perantara yang ditandatangani sendiri ke repositori tersebut.
Referensi
Tutorial
Konfigurasikan HTTPS end-to-end untuk mengamankan komunikasi: ALB menyediakan enkripsi HTTPS end-to-end, yang mengamankan traffic dari klien ke ALB dan dari ALB ke server backend. Hal ini meningkatkan keamanan layanan sensitif.
Konfigurasikan website HTTPS multi-domain menggunakan satu instans ALB: Jika Anda perlu meneruskan permintaan HTTPS untuk nama domain berbeda ke server backend berbeda, Anda dapat mengaitkan beberapa sertifikat dengan listener HTTPS dan mengonfigurasi aturan pengalihan berbasis domain.
Deploy layanan HTTPS yang menggunakan otentikasi timbal balik: Untuk skenario keamanan tinggi seperti keuangan dan kesehatan, Anda dapat menggunakan fitur otentikasi timbal balik HTTPS ALB untuk memastikan klien dan server saling memverifikasi identitas, sehingga menjamin keamanan transmisi data.
Referensi API
CreateListener: Membuat listener HTTP, HTTPS, atau QUIC.
AssociateAdditionalCertificatesWithListener: Menambahkan sertifikat tambahan ke listener HTTPS atau QUIC.
DissociateAdditionalCertificatesFromListener: Menghapus sertifikat tambahan dari listener HTTPS atau QUIC.
UpdateListenerAttribute: Memodifikasi konfigurasi sertifikat default listener HTTPS atau QUIC, seperti mengganti sertifikat default atau mengaktifkan/menonaktifkan otentikasi timbal balik.