All Products
Search

This Product

    Server Load Balancer:Kelola sertifikat

    Document Center

    Server Load Balancer:Kelola sertifikat

    Last Updated:Jun 21, 2026

    Untuk mengaktifkan transmisi terenkripsi menggunakan Pendengar TCP/SSL, konfigurasikan sertifikat pada NLB. Semua sertifikat NLB disimpan dan dikelola oleh Alibaba Cloud Certificate Management Service. Beli sertifikat atau unggah sertifikat yang sudah ada ke Certificate Management Service sebelum menggunakannya pada NLB.

    Cara kerja

    Jenis sertifikat

    • CA certificate: Certification authority (CA) adalah pihak ketiga tepercaya yang memverifikasi dan menerbitkan sertifikat. Sertifikat CA memvalidasi legitimasi sertifikat lain—misalnya, dengan memeriksa apakah sertifikat tersebut diterbitkan oleh CA tepercaya.

    • Server certificate: Juga dikenal sebagai SSL Certificate, ini diterbitkan oleh CA dan berisi kunci publik server serta informasi identitasnya (seperti nama domain). Sertifikat ini membuktikan identitas server kepada klien.

    • Client certificate: Diterbitkan oleh CA, ini berisi kunci publik klien serta informasi identitasnya. Sertifikat ini membuktikan identitas klien kepada server.

    Apa itu root CA, intermediate CA, dan certificate chain?

    Root CA adalah tingkat tertinggi dalam hierarki sertifikat. Sertifikatnya merupakan titik awal seluruh rantai kepercayaan. Sertifikat root CA biasanya self-signed dan telah dipercaya sebelumnya oleh sistem operasi, browser, dan aplikasi untuk memverifikasi legitimasi sertifikat lain (seperti intermediate CA dan sertifikat entitas akhir). Dalam praktiknya, root CA jarang menerbitkan sertifikat entitas akhir (seperti server certificate atau client certificate) secara langsung. Sebaliknya, mereka menerbitkan sertifikat intermediate CA.

    Intermediate CA berada di antara root CA dan sertifikat entitas akhir. Sertifikatnya ditandatangani oleh root CA dan digunakan untuk menerbitkan server certificate, client certificate, dan sertifikat entitas akhir lainnya. Penggunaan intermediate CA menjaga keamanan kunci privat root CA sekaligus memperluas cakupan kepercayaan.

    Saat memverifikasi sertifikat satu sama lain, klien dan server mengikuti certificate chain, memvalidasi tanda tangan langkah demi langkah dari sertifikat yang diajukan hingga mencapai sertifikat root CA yang dipercaya.

    Misalnya, jika certificate chain-nya adalah server certificate → intermediate CA certificate → root CA certificate, klien memeriksa:

    1. Apakah server certificate diterbitkan oleh intermediate CA?

    2. Apakah intermediate CA certificate diterbitkan oleh root CA?

    3. Apakah sertifikat root CA ada dalam daftar kepercayaan klien?

    Server hanya dipercaya jika semua pemeriksaan berhasil. Jika server tidak menyediakan certificate chain lengkap (misalnya, intermediate CA certificate tidak tersedia), klien akan melaporkan sertifikat tersebut sebagai tidak tepercaya.

    Mode otentikasi

    NLB mendukung otentikasi satu arah dan otentikasi timbal balik.

    • Otentikasi satu arah: NLB hanya memerlukan server certificate. Klien memverifikasi identitas server. Ini adalah mode paling umum, cocok untuk sebagian besar aplikasi web dan layanan API.

    • Otentikasi timbal balik: NLB memerlukan server certificate dan CA certificate. Server dan klien saling mengotentikasi satu sama lain. Mode ini digunakan dalam skenario keamanan tinggi seperti bidang keuangan, Internet of Things (IoT), dan sistem internal perusahaan.

    Proses handshake otentikasi satu arah

    Proses handshake otentikasi timbal balik

    Prasyarat

    Siapkan sertifikat yang diperlukan berdasarkan mode otentikasi Anda (satu arah atau timbal balik). Untuk membeli sertifikat dari Alibaba Cloud, lihat:

    Konfigurasikan sertifikat untuk otentikasi satu arah

    Konsol

    Saat mengonfigurasi Pendengar TCP/SSL, pada halaman Configure SSL Certificate, pilih server certificate dan konfigurasikan TLS security policy.

    Untuk tutorial langkah demi langkah, lihat: Offload TCP/SSL dengan NLB (otentikasi satu arah).

    API

    Panggil operasi CreateListener:

    • Atur bidang ListenerProtocol ke TCPSSL untuk membuat Pendengar TCP/SSL.

    • Konfigurasikan server certificate pada bidang CertificateIds.

    • Konfigurasikan TLS security policy pada bidang SecurityPolicyId.

    Konfigurasikan sertifikat untuk otentikasi timbal balik

    Konsol

    Saat mengonfigurasi Pendengar TCP/SSL, pada halaman Configure SSL Certificate, pilih server certificate, aktifkan otentikasi timbal balik, dan konfigurasikan CA certificate. Konfigurasikan juga TLS security policy.

    Untuk tutorial langkah demi langkah, lihat: Offload TCP/SSL dengan NLB (otentikasi timbal balik).

    API

    Panggil operasi CreateListener:

    • Atur bidang ListenerProtocol ke TCPSSL untuk membuat Pendengar TCP/SSL.

    • Konfigurasikan server certificate pada bidang CertificateIds.

    • Atur bidang CaEnabled ke true untuk mengaktifkan otentikasi timbal balik.

    • Konfigurasikan CA certificate pada bidang CaCertificateIds.

    • Konfigurasikan TLS security policy pada bidang SecurityPolicyId.

    Beralih antara otentikasi satu arah dan otentikasi timbal balik

    Untuk Pendengar TCP/SSL yang sudah ada, Anda dapat mengaktifkan atau menonaktifkan otentikasi timbal balik untuk beralih antara otentikasi satu arah dan otentikasi timbal balik.

    Konsol

    1. Di Konsol NLB, temukan instans NLB Anda dan klik ID instans-nya.

    2. Pada tab Listener, temukan Pendengar TCP/SSL Anda dan klik ActionsManage Certificates.

    3. Pada tab CA Certificate, alihkan sakelar Mutual Authentication di pojok kiri atas untuk mengaktifkan atau menonaktifkan otentikasi timbal balik. Pilih CA certificate dan klik OK.

    API

    Panggil operasi UpdateListenerAttribute. Gunakan bidang ListenerId untuk memilih Pendengar TCP/SSL Anda. Atur bidang CaEnabled untuk mengaktifkan atau menonaktifkan otentikasi timbal balik. Perbarui bidang CaCertificateIds untuk memilih CA certificate.

    Kelola server certificate

    Ganti server certificate default

    Server certificate yang dipilih saat mengonfigurasi Pendengar TCP/SSL menjadi server certificate default pendengar tersebut. Ganti secara mulus saat sertifikat akan kedaluwarsa atau saat persyaratan bisnis berubah.

    Koneksi baru mungkin terganggu selama pembaruan server certificate default. Koneksi yang sudah ada tidak terpengaruh. Lakukan perubahan ini selama jam sepi.

    Konsol

    1. Di Konsol NLB, temukan instans NLB Anda dan klik ID instans-nya.

    2. Pada tab Listener, temukan Pendengar TCP/SSL Anda dan klik ActionsManage Certificates.

    3. Pada tab Server Certificate, klik Default Server CertificateChange, lalu pilih sertifikat baru.

    4. Klik OK.

    API

    Panggil operasi UpdateListenerAttribute. Gunakan bidang ListenerId untuk memilih Pendengar TCP/SSL Anda. Perbarui bidang CertificateIds untuk mengganti server certificate default.

    Konfigurasikan extended certificate untuk multiple domain

    Jika satu port listening harus melayani traffic HTTPS untuk multiple domain, masing-masing dengan sertifikat sendiri, gunakan fitur extended certificate NLB.

    Setelah dikonfigurasi, NLB secara otomatis memilih sertifikat yang tepat berdasarkan domain dalam permintaan klien.

    • Jika domain yang diminta sesuai dengan extended certificate, NLB menggunakan sertifikat tersebut.

    • Jika tidak ditemukan kecocokan, NLB menggunakan server certificate default.

    1. Setiap instans NLB mendukung hingga 25 extended certificate.
    2. Anda dapat menambah atau menghapus hingga 15 extended certificate dalam satu operasi.

    Konsol

    1. Di Konsol NLB, temukan instans NLB Anda dan klik ID instans-nya.

    2. Pada tab Listener, temukan Pendengar TCP/SSL Anda dan klik ActionsManage Certificates.

    3. Pada tab Server Certificate, klik Add Additional Certificate dan pilih sertifikat untuk domain tambahan.

    4. Klik OK.

    Untuk menghapus extended certificate, klik ActionsDelete di sebelah sertifikat tersebut.

    API

    Mengelola Sertifikat CA

    Ganti CA certificate

    Konsol

    1. Di Konsol NLB, temukan instans NLB Anda dan klik ID instans-nya.

    2. Pada tab Listener, temukan Pendengar TCP/SSL Anda dan klik ActionsManage Certificates.

    3. Pada tab CA Certificate, jika otentikasi timbal balik diaktifkan, klik ActionsChange di sebelah CA certificate. Pilih CA certificate baru dan klik OK.

    API

    Panggil operasi UpdateListenerAttribute. Gunakan bidang ListenerId untuk memilih Pendengar TCP/SSL Anda. Perbarui bidang CaCertificateIds untuk mengganti CA certificate.

    Detail penagihan

    Menggunakan fitur sertifikat dengan Pendengar TCP/SSL tidak dikenai biaya tambahan. Namun, Anda harus membayar sertifikat itu sendiri. Untuk detailnya, lihat: Detail penagihan SSL Certificate, Detail penagihan sertifikat PCA.

    Peluncuran

    • Praktik terbaik

      • Manajemen sertifikat: Gunakan Alibaba Cloud Certificate Management Service untuk mengelola semua sertifikat secara terpusat. Hal ini menyederhanakan proses melihat, perpanjangan, dan penerapan.

      • Kebijakan TLS: Untuk aplikasi yang menghadap publik tanpa persyaratan kompatibilitas khusus, gunakan tls_cipher_policy_1_2 atau lebih tinggi.

      • Otomatisasi: Gabungkan API atau Terraform dengan Certificate Management Service untuk mengotomatiskan perpanjangan dan penerapan sertifikat. Hal ini mencegah gangguan layanan akibat sertifikat kedaluwarsa.

    • Mitigasi risiko dan toleransi kesalahan

      • Keamanan traffic internal: Traffic antara klien dan NLB dienkripsi dengan TCP/SSL, tetapi traffic antara NLB dan server backend secara default berupa teks biasa. Untuk memastikan keamanan ujung ke ujung, terapkan NLB dan server backend dalam VPC yang sama dan batasi akses secara ketat menggunakan grup keamanan.

      • Pemantauan kedaluwarsa sertifikat: Konfigurasikan aturan alert kedaluwarsa untuk sertifikat di Cloud Monitor. Atur alert pada 30 hari, 7 hari, dan 1 hari sebelum kedaluwarsa agar memiliki cukup waktu untuk penggantian.

      • Rollback: Jika terjadi masalah setelah mengganti sertifikat atau mengubah kebijakan TLS, segera lakukan rollback dengan memperbarui konfigurasi listener. Lakukan perubahan selama jam sepi.