全部产品
Search

搜索本产品

    Server Load Balancer:Menyebarkan layanan HTTPS dengan autentikasi timbal balik menggunakan CLB

    文档中心

    Server Load Balancer:Menyebarkan layanan HTTPS dengan autentikasi timbal balik menggunakan CLB

    更新时间:Dec 09, 2025

    Autentikasi HTTPS satu arah hanya memverifikasi server, sedangkan autentikasi HTTPS timbal balik memverifikasi baik server maupun klien. Autentikasi timbal balik memberikan keamanan yang lebih tinggi untuk layanan kritis Anda. Topik ini menjelaskan cara mengonfigurasi autentikasi timbal balik pada pendengar HTTPS untuk instans Classic Load Balancer (CLB).

    Prosedur konfigurasi

    Panduan ini menggunakan sertifikat otoritas sertifikat (CA) tanda tangan sendiri untuk menandatangani sertifikat klien. Selesaikan langkah-langkah berikut untuk mengonfigurasi pendengar HTTPS dengan autentikasi timbal balik:

    CLB部署Https双向认证

    Prasyarat

    • Anda telah membuat instans Classic Load Balancer (CLB).

    • Anda telah membuat dua server backend, ECS01 dan ECS02, serta menyebarkan aplikasi yang berbeda pada masing-masing server.

    Langkah 1: Beli sertifikat server

    Anda dapat membeli sertifikat server dari Konsol Certificate Management Service Alibaba Cloud atau dari penyedia layanan lain. Browser memeriksa apakah sertifikat yang dikirim oleh server dikeluarkan oleh otoritas sertifikat (CA) tepercaya.

    Topik ini menggunakan contoh sertifikat server yang dibeli dari Konsol Certificate Management Service Alibaba Cloud. Untuk informasi selengkapnya, lihat Beli sertifikat komersial.

    Penting

    Saat membeli Sertifikat SSL, Anda harus mengaitkan nama domain ke sertifikat tersebut. Pastikan Anda memiliki nama domain yang valid dan aktif.

    Langkah 2: Gunakan OpenSSL untuk menghasilkan sertifikat CA

    Masuk ke mesin Linux yang telah menginstal OpenSSL.

    1. Jalankan perintah berikut untuk membuat kunci privat untuk sertifikat root CA.

      openssl genrsa -out root.key 4096

    2. Jalankan perintah berikut untuk membuat file permintaan penandatanganan sertifikat (CSR) untuk root CA.

      openssl req -new -out root.csr -key root.key

      Masukkan nilai untuk parameter berikut sesuai permintaan. Kode berikut memberikan contoh:

      Catatan

      Common Name untuk sertifikat CA harus unik. Tidak boleh sama dengan Common Name sertifikat server atau sertifikat klien.

      Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:alibaba
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:root
Email Address []:a.alibaba.com
A challenge password []:
An optional company name []:

    3. Jalankan perintah berikut untuk membuat sertifikat root CA.

      openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

      Gambar berikut menunjukkan hasilnya.创建根证书

    4. Jalankan perintah ls untuk melihat file sertifikat root CA yang dihasilkan root.crt dan file kunci privat root.key.

    Langkah 3: Hasilkan sertifikat klien

    1. Jalankan perintah berikut untuk menghasilkan kunci privat untuk sertifikat klien.

      2. openssl genrsa -out client.key 4096

    2. Jalankan perintah berikut untuk menghasilkan file CSR untuk sertifikat klien. Atur Common Name ke nama domain Anda.

      3. openssl req -new -out client.csr -key client.key

    3. Jalankan perintah berikut untuk menghasilkan sertifikat klien.

      4. openssl x509 -req -in client.csr -out client.crt -CA root.crt -CAkey root.key -CAcreateserial -days 3650

    4. Jalankan perintah berikut untuk mengonversi sertifikat client.crt yang dihasilkan menjadi file PKCS12 yang kompatibel dengan browser. Saat diminta, masukkan kata sandi untuk mengenkripsi kunci privat klien.

      5. openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

    5. Jalankan perintah ls untuk melihat file sertifikat klien yang dihasilkan: client.key, client.crt, dan client.p12.

    Langkah 4: Instal sertifikat klien

    Instal sertifikat klien yang dihasilkan pada klien Anda.

    Klien Windows

    Klik ganda file sertifikat client.p12. Ikuti panduan impor sertifikat untuk menyelesaikan instalasi.

    Klien Linux

    Unggah file sertifikat client.key, client.crt, dan root.crt yang sebelumnya dihasilkan ke direktori apa pun pada klien Linux.

    Topik ini menggunakan direktori /home/ca sebagai contoh. Jalankan perintah sudo chmod 700 /home/ca untuk mengubah izin direktori.

    Langkah 5: Unggah sertifikat server dan sertifikat CA

    1. Masuk ke Konsol Classic Load Balancer (CLB).

    2. Di panel navigasi sebelah kiri, pilih Classic Load Balancer CLB > Certificate Management. Lalu, klik Create Certificate untuk mengunggah sertifikat server.

    3. Pada panel Create Certificate, klik Upload Third-Party Certificate, lengkapi konfigurasi berikut, lalu klik Create.

      Konfigurasi

      Deskripsi

      Certificate Name

      Masukkan nama untuk sertifikat.

      Certificate Type

      Pada topik ini, pilih Server Certificate.

      Public Key Certificate

      Salin sertifikat server.

      Private Key

      Salin kunci privat untuk sertifikat server.

      Certificate Deployment Region

      Pilih wilayah tempat instans CLB ditempatkan.

    4. Pada halaman Certificate Management, klik Create Certificate untuk mengunggah sertifikat CA.

    5. Pada panel Create Certificate, klik Upload Third-Party Certificate, lengkapi konfigurasi berikut, lalu klik Create.

      Konfigurasi

      Deskripsi

      Certificate Name

      Masukkan nama untuk sertifikat.

      Certificate Type

      Pada topik ini, pilih CA Certificate.

      Client CA Public Key Certificate

      Unggah sertifikat kunci publik CA client.

      Certificate Deployment Region

      Pilih wilayah tempat instans CLB ditempatkan.

    Langkah 6: Konfigurasikan pendengar HTTPS dengan autentikasi timbal balik

    1. Masuk ke Konsol Classic Load Balancer (CLB).

    2. Klik ID instans CLB yang telah Anda buat.

    3. Di tab Listener, klik Add Listener.

    4. Pada tab Protocol & Listener, lengkapi konfigurasi berikut, lalu klik Next.

      • Select Listener Protocol: HTTPS

      • Listener Port: 443

    5. Pada tab SSL Certificate, pilih sertifikat server yang telah Anda unggah.

    6. Klik Edit di samping Advanced Configuration, aktifkan autentikasi timbal balik, pilih sertifikat CA yang telah diunggah, lalu klik Next.

    7. Pilih Default Server Group, klik Add, lalu tambahkan server backend.

    8. Pertahankan nilai default untuk parameter lainnya. Klik Next untuk melanjutkan. Pada langkah terakhir, klik Submit untuk menyelesaikan konfigurasi pendengar.

    Langkah 7: Uji autentikasi timbal balik HTTPS

    Klien Windows

    1. Pada browser, masukkan https://ip:port, dengan ip adalah titik akhir publik instans CLB. Pada kotak dialog yang muncul, pilih dan konfirmasi sertifikat klien sesuai permintaan.

    2. Segarkan browser. Anda dapat melihat bahwa permintaan didistribusikan antara kedua instans ECS.

      ECS01ECS02

    Klien Linux

    Masuk ke klien Linux tempat sertifikat diinstal. Jalankan perintah berikut untuk memverifikasi autentikasi timbal balik CLB.

    sudo curl --cert /home/ca/client.crt --key /home/ca/client.key --cacert /home/ca/ca.crt https://<Nama domain yang diikatkan ke sertifikat server>:<Port>

    Pesan respons yang mirip dengan gambar berikut menunjukkan bahwa klien dan server telah menyelesaikan autentikasi timbal balik dan permintaan didistribusikan antara kedua instans ECS.验证1