All Products
Search

This Product

    Server Load Balancer:Kelola sertifikat

    Document Center

    Server Load Balancer:Kelola sertifikat

    Last Updated:Oct 11, 2025

    Untuk menggunakan Pendengar TCPSSL untuk transmisi data terenkripsi, Anda harus mengonfigurasi sertifikat pada instans Network Load Balancer (NLB). Sebelum konfigurasi, beli sertifikat atau unggah yang sudah ada ke Layanan Manajemen Sertifikat Alibaba Cloud, di mana sertifikat dikelola secara terpusat.

    Cara kerjanya

    Jenis-jenis sertifikat

    • Sertifikat CA: Otoritas Sertifikat (CA) adalah organisasi pihak ketiga tepercaya yang menerbitkan sertifikat digital. Sertifikat CA digunakan untuk memverifikasi keaslian sertifikat lainnya, memastikan bahwa sertifikat tersebut diterbitkan oleh sumber yang tepercaya.

    • Sertifikat Server: Juga dikenal sebagai Sertifikat SSL, ini diterbitkan oleh CA dan berisi kunci publik server serta informasi identitas seperti nama domain. Ini digunakan untuk membuktikan identitas server kepada klien.

    • Sertifikat Klien: Diterbitkan oleh CA, sertifikat ini berisi kunci publik klien dan informasi identitas. Ini digunakan untuk membuktikan identitas klien kepada server.

    Apa Itu Root CA, Intermediate CA, dan Rantai Sertifikat?

    Root CA adalah otoritas tertinggi dalam hierarki sertifikat, dan sertifikatnya merupakan titik awal dari seluruh rantai kepercayaan. Sertifikat Root CA biasanya ditandatangani sendiri dan dipra-instal serta secara implisit dipercaya oleh sistem operasi, browser, dan aplikasi lainnya. Mereka digunakan untuk memvalidasi keaslian sertifikat lainnya, seperti sertifikat intermediate CA dan sertifikat entitas akhir.

    Intermediate CA berfungsi sebagai penghubung antara root CA dan sertifikat entitas akhir. Sertifikat intermediate CA diterbitkan oleh root CA, dan kemudian digunakan untuk menerbitkan sertifikat entitas akhir seperti sertifikat server dan sertifikat klien. Menggunakan intermediate CA meningkatkan keamanan dengan memungkinkan kunci privat root CA disimpan secara offline dan dilindungi dengan aman, sambil juga memperpanjang rantai kepercayaan.

    Saat klien atau server memvalidasi sertifikat, ia mengikuti rantai sertifikat kepercayaan. Proses ini dimulai dari sertifikat entitas akhir (seperti sertifikat server) dan bergerak naik melalui intermediate CA apa pun hingga mencapai sertifikat root CA yang tepercaya.

    Untuk rantai tipikal, seperti Sertifikat Server → Sertifikat Intermediate CA → Sertifikat Root CA, klien melakukan pemeriksaan berikut:

    1. Apakah sertifikat server diterbitkan oleh intermediate CA?

    2. Apakah sertifikat intermediate CA diterbitkan oleh root CA?

    3. Apakah sertifikat root CA ada di toko sertifikat tepercaya klien?

    Server dianggap tepercaya hanya jika semua pemeriksaan berhasil. Jika server gagal menyediakan rantai sertifikat lengkap (misalnya, sertifikat intermediate CA hilang), klien akan melaporkan sertifikat server sebagai tidak tepercaya.

    Mode otentikasi

    NLB mendukung otentikasi satu arah dan otentikasi timbal balik.

    • Otentikasi Satu Arah: Klien memverifikasi identitas server. Dalam mode ini, hanya sertifikat server yang diperlukan untuk pendengar NLB. Ini adalah mode otentikasi yang paling umum dan cocok untuk sebagian besar aplikasi web dan layanan API.

    • Otentikasi Timbal Balik (mTLS): Server dan klien saling memverifikasi identitas satu sama lain. Ini memerlukan pendengar NLB dikonfigurasi dengan sertifikat server dan sertifikat CA untuk memvalidasi sertifikat klien. Mode ini ideal untuk skenario keamanan tinggi, seperti dalam keuangan, IoT, atau lingkungan intranet.

    Jabat tangan otentikasi satu arah

    Handshake Otentikasi Saling

    Prasyarat

    Pastikan Anda telah menyiapkan sertifikat yang diperlukan berdasarkan apakah Anda membutuhkan otentikasi satu arah atau otentikasi timbal balik. Untuk informasi tentang pembelian sertifikat dari Alibaba Cloud, lihat dokumen berikut:

    Konfigurasikan sertifikat untuk otentikasi satu arah

    Konsol

    Saat Anda mengonfigurasi pendengar TCPSSL, dalam langkah Configure SSL Certificate, pilih sertifikat server Anda dan konfigurasikan Kebijakan Keamanan TLS.

    image

    Untuk tutorial langkah demi langkah, lihat Gunakan NLB untuk Mengaktifkan SSL Offloading melalui TCP (Otentikasi Satu Arah).

    API

    Panggil operasi CreateListener dengan parameter berikut:

    • Setel ListenerProtocol ke TCPSSL untuk membuat pendengar TCPSSL.

    • Gunakan CertificateIds untuk menentukan sertifikat server.

    • Gunakan SecurityPolicyId untuk menentukan kebijakan keamanan TLS.

    Konfigurasikan sertifikat untuk otentikasi timbal balik

    Konsol

    Saat Anda mengonfigurasi pendengar TCPSSL, dalam langkah Configure SSL Certificate, pilih sertifikat server Anda, aktifkan otentikasi timbal balik, lalu tentukan sertifikat CA. Selain itu, konfigurasikan Kebijakan Keamanan TLS.

    image

    Untuk tutorial langkah demi langkah, lihat Gunakan NLB untuk Mengaktifkan SSL Offloading melalui TCP (Otentikasi Timbal Balik).

    API

    Panggil operasi CreateListener dengan parameter berikut:

    • Setel ListenerProtocol ke TCPSSL.

    • Gunakan CertificateIds untuk menentukan sertifikat server.

    • Setel CaEnabled ke true untuk mengaktifkan otentikasi timbal balik.

    • Gunakan CaCertificateIds untuk menentukan sertifikat CA.

    • Gunakan SecurityPolicyId untuk menentukan kebijakan keamanan TLS.

    Beralih antara otentikasi satu arah dan otentikasi timbal balik

    Untuk pendengar TCPSSL yang sudah ada, Anda dapat mengaktifkan atau menonaktifkan otentikasi timbal balik kapan saja untuk beralih antara mode otentikasi.

    Konsol

    1. Di Konsol NLB, temukan instans NLB target dan klik ID instans.

    2. Di tab Listeners, temukan pendengar TCPSSL target, dan di kolom Actions, klik Manage Certificates.

    3. Di tab CA Certificate, klik tombol toggle Mutual Authentication untuk mengaktifkan atau menonaktifkan fitur tersebut. Jika mengaktifkan, pilih sertifikat CA dan klik OK.

    API

    Panggil operasi UpdateListenerAttribute. Gunakan parameter ListenerId untuk menentukan pendengar. Setel parameter CaEnabled untuk mengaktifkan atau menonaktifkan otentikasi timbal balik, dan gunakan parameter CaCertificateIds untuk menentukan sertifikat CA.

    Kelola sertifikat server

    Ganti sertifikat server default

    Sertifikat server yang Anda pilih saat membuat pendengar TCPSSL menjadi sertifikat defaultnya. Ganti sertifikat ini saat akan kedaluwarsa atau saat kebutuhan bisnis Anda berubah.

    Selama penggantian sertifikat server default, koneksi baru mungkin terputus. Koneksi yang ada tidak terpengaruh. Lakukan operasi ini selama jam non-puncak.

    Konsol

    1. Di Konsol NLB, temukan instans NLB target dan klik ID instans.

    2. Di tab Listeners, temukan pendengar TCPSSL target, dan di kolom Actions, klik Manage Certificates.

    3. Di tab Server Certificate, klik Change di kolom Actions untuk Default Server Certificate dan pilih sertifikat baru.

    4. Klik OK.

    API

    Panggil operasi UpdateListenerAttribute. Gunakan parameter ListenerId untuk menentukan pendengar dan gunakan parameter CertificateIds untuk menentukan sertifikat baru.

    Tambahkan sertifikat tambahan untuk dukungan multi-domain

    Jika satu pendengar perlu melayani lalu lintas untuk beberapa domain, dan setiap domain memerlukan sertifikat yang berbeda, tambahkan sertifikat tambahan ke pendengar NLB.

    Setelah Anda menambahkan sertifikat tambahan, NLB secara otomatis mencocokkan dan melayani sertifikat yang sesuai berdasarkan nama domain yang diminta oleh klien.

    • Jika permintaan klien cocok dengan domain sertifikat tambahan, sertifikat tersebut digunakan.

    • Jika tidak ada kecocokan yang ditemukan, sertifikat server default digunakan.

    1. Setiap instans NLB mendukung maksimal 25 sertifikat tambahan.
    2. Anda dapat menambahkan atau menghapus maksimal 15 sertifikat tambahan sekaligus.

    Konsol

    1. Di Konsol NLB, temukan instans NLB target dan klik ID instans.

    2. Di tab Listeners, temukan pendengar TCPSSL target, dan di kolom Actions, klik Manage Certificates.

    3. Di tab Server Certificate, klik Add Additional Certificate dan pilih sertifikat untuk domain lain Anda.

    4. Klik OK.

    Untuk menghapus sertifikat tambahan, klik Delete di kolom Actions untuk sertifikat tersebut.

    API

    • Untuk menambahkan sertifikat, panggil operasi AssociateAdditionalCertificatesWithListener. Gunakan parameter ListenerId untuk menentukan pendengar dan parameter AdditionalCertificateIds untuk menentukan sertifikat yang akan ditambahkan.

    • Untuk menghapus sertifikat, panggil operasi DisassociateAdditionalCertificatesWithListener. Gunakan parameter ListenerId untuk menentukan pendengar dan parameter AdditionalCertificateIds untuk menentukan sertifikat yang akan dihapus.

    Kelola sertifikat CA

    Ganti sertifikat CA

    Konsol

    1. Di Konsol NLB, temukan instans NLB target dan klik ID instans.

    2. Di tab Listeners, temukan pendengar TCPSSL target, dan di kolom Actions, klik Manage Certificates.

    3. Di tab CA Certificate, jika otentikasi timbal balik diaktifkan, klik Change di kolom Actions. Pilih sertifikat CA baru dan klik OK.

    API

    Panggil operasi UpdateListenerAttribute. Gunakan parameter ListenerId untuk menentukan pendengar dan gunakan parameter CaCertificateIds untuk mengganti sertifikat CA.

    Penagihan

    Mengonfigurasi sertifikat untuk pendengar TCPSSL tidak menimbulkan biaya tambahan. Namun, Anda akan dikenakan biaya untuk sertifikat itu sendiri. Untuk informasi lebih lanjut, lihat Penagihan Sertifikat SSL dan Penagihan PCA.

    Terapkan dalam produksi

    • Pertimbangan

      • Manajemen Sertifikat: Gunakan Layanan Manajemen Sertifikat untuk mengelola semua sertifikat Anda. Ini memungkinkan untuk melihat, memperbarui, dan menerapkan secara terpusat.

      • Kebijakan TLS Modern: Untuk aplikasi yang menghadap publik tanpa persyaratan kompatibilitas khusus, gunakan tls_cipher_policy_1_2 atau versi yang lebih tinggi.

      • Otomatisasi: Gunakan API atau Terraform bersama dengan Layanan Manajemen Sertifikat untuk mengotomatiskan pembaruan dan penerapan sertifikat, mencegah gangguan layanan yang disebabkan oleh sertifikat yang kedaluwarsa.

    • Pencegahan Risiko dan Toleransi Kesalahan

      • Amankan Lalu Lintas Internal: Meskipun TCPSSL mengenkripsi lalu lintas antara klien dan NLB, lalu lintas antara NLB dan server backend tidak dienkripsi secara default. Untuk keamanan ujung ke ujung, terapkan NLB dan server backend Anda di Virtual Private Cloud (VPC) yang sama dan gunakan grup keamanan untuk memberlakukan kontrol akses yang ketat.

      • Pemantauan Kedaluwarsa Proaktif: Konfigurasikan aturan peringatan di CloudMonitor untuk diberi tahu tentang kedaluwarsa sertifikat. Kami merekomendasikan untuk menyetel peringatan untuk 30, 7, dan 1 hari sebelum kedaluwarsa untuk memastikan Anda memiliki waktu yang cukup untuk penggantian.

      • Manajemen Perubahan dan Rollback: Jika masalah terjadi setelah Anda mengganti sertifikat atau memodifikasi kebijakan TLS, segera batalkan perubahan dengan memperbarui konfigurasi pendengar. Lakukan perubahan ini selama jam non-puncak.