All Products
Search

This Product

    Server Load Balancer:Deploy HTTPS services with CLB (mutual authentication)

    Document Center

    Server Load Balancer:Deploy HTTPS services with CLB (mutual authentication)

    Last Updated:May 15, 2026

    Jika otentikasi satu arah dikonfigurasi, koneksi HTTPS dapat dibuat setelah server diautentikasi. Jika otentikasi timbal balik dikonfigurasi, koneksi HTTPS hanya dapat dibuat setelah klien dan server sama-sama diautentikasi. Otentikasi timbal balik memberikan tingkat keamanan yang lebih tinggi dan dapat digunakan untuk melindungi layanan bisnis kritis Anda. Topik ini menjelaskan cara mengonfigurasi otentikasi timbal balik pada Pendengar HTTPS instans CLB.

    Prosedur

    Pada contoh ini, sertifikat Certificate Authority (CA) tanda tangan sendiri digunakan untuk menandatangani Sertifikat klien. Ikuti langkah-langkah berikut untuk mengonfigurasi otentikasi timbal balik pada Pendengar HTTPS.

    Configure mutual authentication on an HTTPS listener of a CLB instance

    Prasyarat

    • Anda telah membuat instans CLB.

    • Anda telah membuat dua server backend, ECS01 dan ECS02, masing-masing menjalankan aplikasi yang berbeda.

    Langkah 1: Beli Sertifikat server

    Anda dapat membeli Sertifikat server dari Konsol Certificate Management Service Alibaba Cloud atau dari penyedia layanan lainnya. Anda dapat menggunakan browser untuk memverifikasi apakah sertifikat yang dikirim oleh server dikeluarkan oleh otoritas tepercaya.

    Topik ini menggunakan Sertifikat server yang dibeli dari Konsol Certificate Management Service Alibaba Cloud sebagai contoh. Untuk informasi selengkapnya, lihat Purchase an SSL certificate.

    Penting

    Pastikan Anda memiliki Nama domain yang valid untuk dikaitkan dengan sertifikat tersebut.

    Langkah 2: Hasilkan Sertifikat CA menggunakan OpenSSL

    Dalam otentikasi timbal balik, Sertifikat server harus dikeluarkan oleh CA otoritatif agar dipercaya oleh browser (Langkah 1). Namun, karena Anda mengelola dan mendistribusikan Sertifikat klien, sertifikat tersebut tidak memerlukan rantai kepercayaan publik. Oleh karena itu, Anda dapat menggunakan Sertifikat CA tanda tangan sendiri untuk menerbitkannya. Ikuti langkah-langkah berikut untuk menghasilkan Sertifikat CA tanda tangan sendiri guna menerbitkan Sertifikat klien.

    Login ke mesin Linux apa pun yang telah terinstal OpenSSL.

    1. Jalankan perintah berikut untuk membuat kunci privat untuk sertifikat root:

      openssl genrsa -out root.key 4096

    2. Jalankan perintah berikut untuk membuat file permintaan penandatanganan sertifikat (CSR) untuk sertifikat root:

      openssl req -new -out root.csr -key root.key

      Masukkan informasi sesuai prompt. Berikut adalah contohnya:

      Catatan

      Common Name untuk Sertifikat CA harus unik. Jangan gunakan Common Name yang sama dengan Sertifikat server atau Sertifikat klien.

      Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:bj
Locality Name (eg, city) [Default City]:bj
Organization Name (eg, company) [Default Company Ltd]:alibaba
Organizational Unit Name (eg, section) []:test
Common Name (eg, your name or your servers hostname) []:root
Email Address []:a.alibaba.com
A challenge password []:
An optional company name []:

    3. Jalankan perintah berikut untuk membuat sertifikat root:

      openssl x509 -req -in root.csr -out root.crt -signkey root.key -CAcreateserial -days 3650

      Output-nya mirip dengan berikut:创建根证书

    4. Jalankan ls untuk melihat Sertifikat root yang dihasilkan root.crt dan kunci privat root.key.

    Langkah 3: Hasilkan Sertifikat klien

    1. Jalankan perintah berikut untuk menghasilkan kunci privat untuk Sertifikat klien:

      2. openssl genrsa -out client.key 4096

    2. Jalankan perintah berikut untuk menghasilkan file CSR untuk Sertifikat klien. Atur Common Name ke Nama domain Anda.

      3. openssl req -new -out client.csr -key client.key

    3. Jalankan perintah berikut untuk menghasilkan Sertifikat klien:

      4. openssl x509 -req -in client.csr -out client.crt -CA root.crt -CAkey root.key -CAcreateserial -days 3650

    4. Jalankan perintah berikut untuk mengonversi Sertifikat klien yang dihasilkan client.crt menjadi file PKCS12 yang dapat dikenali oleh browser. Ikuti prompt untuk memasukkan password enkripsi yang Anda atur untuk kunci privat klien.

      5. openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

    5. Jalankan ls untuk melihat file Sertifikat klien yang dihasilkan: client.key, client.crt, dan client.p12.

    Langkah 4: Instal Sertifikat klien

    Instal Sertifikat klien pada klien.

    Klien Windows

    Klik ganda file client.p12 dan ikuti Certificate Import Wizard untuk menginstalnya.

    Klien Linux

    Unggah file client.key, client.crt, dan root.crt ke direktori apa pun pada klien Linux Anda.

    Pada contoh ini, direktorinya adalah /home/ca. Jalankan sudo chmod 700 /home/ca untuk mengubah izin direktori.

    Langkah 5: Unggah Sertifikat server dan Sertifikat CA

    1. Login ke Konsol CLB.

    2. Di panel navigasi sebelah kiri, pilih CLB > Certificates, lalu klik Add Certificate untuk mengunggah Sertifikat server.

    3. Di panel Add Certificate, klik Third-party Certificates, konfigurasikan parameter berikut, lalu klik Create.

      Parameter

      Deskripsi

      Certificate Name

      Masukkan nama untuk sertifikat tersebut.

      Certificate Type

      Pilih Server Certificate.

      Public key certificate

      Konten Sertifikat server. Tempel kontennya ke editor.

      Private Key

      Kunci privat dari Sertifikat server. Tempel kunci privat ke editor.

      Region

      Pilih wilayah instans CLB.

    4. Di halaman Certificates, klik Add Certificate untuk mengunggah Sertifikat CA.

    5. Di panel Add Certificate, klik Third-party Certificates, konfigurasikan parameter berikut, lalu klik Create.

      Parameter

      Deskripsi

      Certificate Name

      Masukkan nama untuk sertifikat tersebut.

      Certificate Type

      Pilih CA Certificate.

      Client CA Certificate

      Unggah sertifikat kunci publik klien.

      Region

      Pilih wilayah instans CLB.

    Langkah 6: Konfigurasikan otentikasi timbal balik pada Pendengar HTTPS

    Peringatan

    CLB menolak permintaan dari klien yang tidak memiliki sertifikat yang terinstal. Jika instans CLB Anda berada di lingkungan produksi, uji konfigurasi ini terlebih dahulu di lingkungan staging. Atau, gunakan port pendengar baru untuk menghindari gangguan pada layanan yang sudah ada.

    1. Login ke Konsol Classic Load Balancer.

    2. Klik ID instans CLB yang telah Anda buat.

    3. Di tab Listeners, klik Add Listener.

    4. Di tab Protocol & Listener, konfigurasikan parameter berikut, lalu klik Next.

      • Select Listener Protocol: HTTPS

      • Listener Port: 443

    5. Di tab Certificate Management Service, pilih Sertifikat server yang telah Anda unggah.

    6. Klik Modify di samping Advanced Settings, aktifkan otentikasi timbal balik, pilih Sertifikat CA yang telah diunggah, lalu klik Next.

    7. Pilih Default Server Group dan klik Add untuk menambahkan server backend.

    8. Gunakan nilai default untuk parameter yang tersisa, klik Next untuk melanjutkan wizard. Di halaman terakhir, klik Submit untuk membuat pendengar.

    Langkah 7: Uji fitur otentikasi timbal balik

    Klien Windows

    1. Di browser, masukkan https://ip:port, dengan ip adalah Alamat IP publik CLB. Di kotak dialog yang muncul, konfirmasi sertifikat sesuai petunjuk.

    2. Segarkan halaman web. Anda akan melihat bahwa permintaan didistribusikan secara merata ke server backend.

      ECS01ECS02

    Klien Linux

    Login ke klien Linux tempat sertifikat diinstal dan jalankan perintah berikut untuk memverifikasi otentikasi timbal balik CLB:

    sudo curl --cert /home/ca/client.crt --key /home/ca/client.key --cacert /home/ca/root.crt https://<the domain name on the server certificate>:<port>

    Jika paket balasan echo berikut dikembalikan, klien dan server telah menyelesaikan otentikasi timbal balik dan permintaan didistribusikan ke Instance ECS.Verification 1