Untuk mengonfigurasi Pendengar HTTPS pada instans Classic Load Balancer (CLB), Anda harus terlebih dahulu membuat sertifikat.
Jenis-jenis sertifikat
CLB mendukung dua mode otentikasi:
Otentikasi Satu Arah: Hanya memerlukan sertifikat server di CLB. Klien mengotentikasi server.
Otentikasi Timbal Balik: Memerlukan sertifikat server dan sertifikat CA di CLB. Server dan klien saling mengotentikasi.
CLB mendukung sertifikat dari dua sumber:
Layanan Manajemen Sertifikat Alibaba Cloud: Anda dapat langsung memilih sertifikat yang telah dibeli atau diunggah ke Layanan Manajemen Sertifikat. Metode ini memusatkan manajemen sertifikat dengan fitur seperti pengingat kedaluwarsa dan perpanjangan satu klik. Namun, metode ini saat ini tidak mendukung sertifikat CA klien.
Sertifikat Pihak Ketiga: Anda dapat mengunggah sertifikat yang diterbitkan oleh penyedia lain atau sertifikat tanda tangan sendiri. Metode ini mengharuskan Anda untuk secara manual mengunggah file kunci publik dan privat. Ini mendukung baik sertifikat server maupun sertifikat CA.
Setelah Anda mengunggah sertifikat ke CLB, CLB akan mengelolanya. Anda tidak perlu menerapkan sertifikat tersebut pada server backend Anda.
Buat sertifikat
Sertifikat yang diterbitkan oleh Alibaba Cloud
Pastikan Anda telah membeli atau mengunggah sertifikat yang diperlukan di Konsol Layanan Manajemen Sertifikat.
Masuk ke Konsol CLB.
Di panel navigasi sebelah kiri, pilih .
Di halaman Certificates, klik Add Certificate.
Di panel Add Certificate, pilih Alibaba Cloud Certificates. Dari daftar, pilih sertifikat SSL yang diinginkan dan tentukan Region-nya.
Setelah dibuat, sertifikat tidak dapat digunakan di wilayah-wilayah yang tidak ditentukan untuk Region. Pilih semua wilayah tempat Anda ingin menggunakan sertifikat tersebut.
Klik Create. Anda kemudian dapat melihat sertifikat yang telah dibuat di halaman Certificates.
Sertifikat pihak ketiga
Sebelum Anda mulai:
Siapkan file kunci publik dan privat sertifikat server dalam format PEM.
(Hanya untuk otentikasi timbal balik) Siapkan file kunci publik sertifikat CA dalam format PEM.
Masuk ke Konsol CLB.
Di panel navigasi sebelah kiri, pilih .
Di halaman Certificates, klik Add Certificate.
Di panel Add Certificate, pilih Third-party Certificates, lengkapi konfigurasi berikut, lalu klik Create.
Parameter
Deskripsi
Certificate Type
Pilih jenis sertifikat yang akan diunggah:
Server Certificate: Digunakan untuk otentikasi HTTPS satu arah. Anda perlu menyediakan kunci publik dan privat sertifikat.
CA Certificate: Digunakan untuk otentikasi HTTPS timbal balik. Anda perlu menyediakan kunci publik sertifikat CA. Metode ini juga memerlukan Sertifikat Server terpisah.
Public Key Certificate
Tempelkan isi sertifikat server atau CA Anda. Sertifikat tersebut berisi informasi seperti kunci publik dan tanda tangannya.
CLB menggunakan sertifikat dalam format Nginx. Sertifikat yang diperoleh dari penyedia dalam format Nginx biasanya memiliki ekstensi file .pem tetapi mungkin juga memiliki ekstensi .crt atau lainnya.
Klik View Sample untuk melihat format sertifikat yang benar.
Untuk informasi lebih lanjut, lihat Persyaratan sertifikat.
Private Key
Tempelkan kunci privat untuk Sertifikat Server Anda. File kunci privat yang diperoleh dari penyedia dalam format Nginx biasanya memiliki ekstensi file .key.
Klik View Sample untuk melihat format kunci privat yang benar. Untuk informasi lebih lanjut, lihat Persyaratan format kunci privat.
PentingBidang ini hanya diperlukan untuk Sertifikat Server.
Region
Pilih semua wilayah tempat Anda ingin menggunakan sertifikat. Setelah dibuat, sertifikat tidak dapat digunakan untuk wilayah lain yang tidak ditentukan.
Informasi lebih lanjut
Batasan penggunaan
Anda dapat membuat hingga 100 Sertifikat Server dan 100 Sertifikat CA di setiap wilayah.
CLB mendukung algoritma kunci publik berikut: RSA 1024, RSA 2048, dan RSA 4096.
Sertifikat yang diunggah harus dalam format PEM. File sertifikat PEM yang berisi bidang
BEGIN DH PARAMETERStidak didukung. Hal ini karena pendengar HTTPS menggunakan paket sandi ECDHE untuk kerahasiaan maju sempurna. ECDHE tidak menggunakan parameter keamanan yang diperlukan oleh paket sandi DHE.Sertifikat tidak dapat dibagikan antar akun Alibaba Cloud yang berbeda. Untuk menggunakan sertifikat di akun yang berbeda, Anda harus terlebih dahulu mengunduh sertifikat dalam format Nginx dari akun sumber, lalu mengimpor sertifikat ke akun target.