All Products
Search

This Product

    Server Load Balancer:Buat sertifikat

    Document Center

    Server Load Balancer:Buat sertifikat

    Last Updated:Apr 22, 2026

    Untuk mengonfigurasi pendengar HTTPS pada instans CLB, Anda harus terlebih dahulu menambahkan sertifikat.

    Ikhtisar sertifikat

    CLB mendukung dua mode otentikasi:

    • otentikasi satu arah: CLB hanya memerlukan sertifikat server. Dalam mode ini, klien memverifikasi identitas server.

    • mTLS: CLB memerlukan sertifikat server dan sertifikat CA. Dalam mode ini, klien dan server saling mengotentikasi satu sama lain.

    CLB mendukung sertifikat dari dua sumber:

    • Layanan Manajemen Sertifikat Alibaba Cloud: Anda dapat langsung memilih sertifikat yang telah dibeli atau diunggah ke Layanan Manajemen Sertifikat Alibaba Cloud. Metode ini memungkinkan manajemen terpusat, pengingat masa berlaku, serta perpanjangan dengan satu klik. Sumber ini hanya mendukung sertifikat server dan tidak mendukung sertifikat CA.

    • sertifikat pihak ketiga: Anda dapat mengunggah sertifikat yang dikeluarkan oleh penyedia lain atau sertifikat tanda tangan sendiri. Dengan metode ini, Anda harus secara manual menyediakan kunci publik dan kunci privat sertifikat tersebut. Sumber ini mendukung baik sertifikat server maupun sertifikat CA.

    Setelah Anda mengunggah sertifikat ke CLB, CLB akan mengelola sertifikat tersebut. Anda tidak perlu melakukan bind sertifikat ke server backend Anda.

    Buat sertifikat

    Sertifikat Alibaba Cloud

    1. Pastikan Anda telah membeli atau mengunggah sertifikat yang diperlukan di Konsol Layanan Manajemen Sertifikat.

    2. Masuk ke Konsol CLB.

    3. Di panel navigasi, pilih CLB > Certificates.

    4. Di halaman Certificates, klik Add Certificate.

    5. Di panel Add Certificate, pilih Alibaba Cloud Certificates, pilih sertifikat SSL Anda dari daftar, lalu pilih wilayah penerapan.

      Sertifikat bersifat spesifik per wilayah. Jika Anda ingin menggunakan sertifikat di beberapa wilayah, pilih semua wilayah yang diperlukan.

    6. Klik Create. Setelah sertifikat dibuat, sertifikat tersebut akan muncul di halaman Certificates.

    Sertifikat pihak ketiga

    1. Sebelum memulai:

      • Siapkan file kunci publik dan file kunci privat sertifikat server dalam format PEM.

      • Untuk mTLS, Anda juga harus menyiapkan file kunci publik sertifikat CA dalam format PEM.

    2. Masuk ke Konsol CLB.

    3. Di panel navigasi, pilih CLB > Certificates.

    4. Di halaman Certificates, klik Add Certificate.

    5. Di panel Add Certificate, pilih Third-party Certificates, konfigurasikan parameter berikut, lalu klik Create.

      Parameter

      Deskripsi

      Certificate Type

      Pilih jenis sertifikat yang akan diunggah:

      • Server Certificate: Untuk mengonfigurasi otentikasi satu arah, unggah hanya sertifikat server dan kunci privatnya.

      • CA Certificate: Untuk mengonfigurasi mTLS, Anda harus mengunggah sertifikat CA selain sertifikat server.

      Public Key Certificate:

      Tempel konten sertifikat server atau sertifikat CA. Sertifikat kunci publik berisi kunci publik, signature, dan informasi lainnya.

      CLB menggunakan sertifikat dalam format Nginx. File sertifikat dalam format Nginx yang Anda peroleh dari penyedia sertifikat biasanya memiliki ekstensi .pem, tetapi juga dapat memiliki ekstensi lain seperti .crt.

      Klik View Sample untuk melihat format sertifikat yang benar. Untuk informasi lebih lanjut, lihat Persyaratan sertifikat.

      Private Key:

      Tempel kunci privat sertifikat server. File kunci privat dalam format Nginx yang Anda peroleh dari penyedia sertifikat biasanya memiliki ekstensi .key.

      Klik View Sample untuk melihat format kunci yang benar. Untuk informasi lebih lanjut, lihat Persyaratan format kunci privat.

      Penting

      Kunci privat hanya diperlukan saat Anda mengunggah sertifikat server.

      Region

      Pilih wilayah tempat Anda ingin menerapkan sertifikat.

      Sertifikat hanya dapat digunakan di wilayah tempat sertifikat tersebut diterapkan. Jika Anda perlu menggunakan sertifikat di beberapa wilayah, pilih semua wilayah yang diperlukan.

    Informasi tambahan

    Batasan

    • Sertifikat dapat digunakan di beberapa wilayah. Setiap wilayah dibatasi hingga 100 sertifikat server dan 100 sertifikat CA.

    • CLB mendukung algoritma kunci publik berikut: RSA 1024, RSA 2048, dan RSA 4096.

    • Sertifikat yang diunggah harus dalam format PEM. File PEM yang berisi string BEGIN DH PARAMETERS tidak didukung. Hal ini karena pendengar HTTPS menggunakan paket sandi ECDHE yang mendukung kerahasiaan maju sempurna dan tidak mendukung file parameter peningkatan keamanan yang diperlukan oleh paket sandi DHE.

    • Sertifikat tidak dapat dibagikan antar akun. Untuk menggunakan sertifikat di akun lain, Anda harus terlebih dahulu mengunduhnya dalam format Nginx dari akun asalnya, lalu mengimpornya ke akun tujuan.

    Referensi API