Deploy batch sertifikat SSL ke SLB, CDN & WAF - Certificate Management Service

Topik ini menjelaskan cara menyebarkan satu atau beberapa Sertifikat SSL ke produk Alibaba Cloud, baik secara individual, dalam batch, maupun pada waktu yang dijadwalkan.

Prasyarat

Topik ini tidak mencakup penyebaran sertifikat ke Elastic Compute Service (ECS) atau Simple Application Server. Untuk menyebarkan sertifikat ke instance ECS atau Simple Application Server, lihat Perbarui sertifikat yang ada pada instance ECS Alibaba Cloud atau instance Simple Application Server.
Anda telah membeli dan mengajukan sertifikat di Certificate Management Service, dan statusnya adalah Status Issued. Untuk membeli dan mengajukan sertifikat, lihat Beli sertifikat komersial dan Ajukan sertifikat.
Alias dari Sertifikat SSL yang diterbitkan tidak boleh mengandung karakter Tionghoa. Lihat gambar berikut:
Konfirmasi status sertifikat dan kesesuaiannya dengan nama domain target.
Konfirmasi status sertifikat dan kesesuaian nama domain
Pada halaman SSL Certificate Management, temukan sertifikat target dan konfirmasi hal berikut:
1. Certificate Status: Pastikan statusnya adalah Issued. Jika statusnya About to Expire atau Expired, Anda harus memperpanjang Sertifikat SSL.
2. Bound Domains: Pastikan sesuai dengan nama domain yang ingin Anda lindungi. Jika tidak, peringatan keamanan akan muncul ketika pengguna mengakses nama domain yang tidak cocok melalui HTTPS. Untuk menambah atau mengganti nama domain, lihat Tambah dan ganti nama domain.
  Konfirmasi apakah sertifikat cocok dengan nama domain target
  Bound Domains suatu sertifikat dapat mencakup nama domain eksak dan wildcard. Aturan pencocokannya sebagai berikut:
  Nama domain eksak: Hanya berlaku untuk nama domain yang ditentukan.
  example.com hanya berlaku untuk example.com.
  www.example.com hanya berlaku untuk www.example.com.
  Nama domain wildcard: Hanya berlaku untuk subdomain tingkat pertama.
  *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.
  *.example.com tidak berlaku untuk nama domain root example.com atau subdomain multi-level seperti a.b.example.com.
  Catatan
  Untuk mencocokkan subdomain multi-level, Bound Domains harus mencakup nama domain spesifik tersebut (misalnya a.b.example.com) atau nama domain wildcard yang sesuai (misalnya *.b.example.com).

Batasan

Sebarkan sertifikat internasional

Catatan

Jika fitur penyebaran produk cloud tidak mendukung produk Anda, Anda harus menyebarkan sertifikat mengikuti dokumentasi produk tersebut.
Pada tabel berikut, Update existing certificate mengacu pada skenario di mana produk cloud sudah memiliki sertifikat yang disebarkan dan Anda perlu menggantinya.

Produk cloud	Skenario tugas penyebaran	Skenario konfigurasi sertifikat
Container Service for Kubernetes (ACK)	Perbarui sertifikat yang ada	Klaster managed dan khusus ACK: Perbarui konfigurasi sertifikat AlbConfig, perbarui sertifikat Secret Penting Saat menyebarkan ke Secret, jangan ubah secara manual di Konsol ACK.
Serverless App Engine - Gateway routing	Perbarui sertifikat yang ada	Gateway routing dengan protokol forwarding HTTPS (ALB dan CLB)
Function Compute (FC)	Perbarui sertifikat yang ada	Fungsi yang dipicu HTTP
Microservices Engine - cloud-native gateway	Perbarui sertifikat yang ada	Routing gateway cloud-native
API Gateway	Perbarui sertifikat yang ada	Akses API melalui nama domain HTTPS
Global Accelerator (GA)	Perbarui sertifikat yang ada	Nama domain HTTPS dengan akselerasi aman
Application Load Balancer (ALB) Network Load Balancer (NLB)	Perbarui sertifikat yang ada	Pendengar HTTPS meneruskan permintaan dari skenario protokol HTTPS (sertifikat server) Catatan Untuk menyebarkan sertifikat klien, lihat Konfigurasi HTTPS end-to-end untuk mengenkripsi komunikasi.
Application Load Balancer (ALB) Network Load Balancer (NLB)	Perbarui sertifikat yang ada
Content Delivery Network (CDN)	Penyebaran awal Perbarui sertifikat yang ada	Percepatan aman HTTPS
Dynamic Content Delivery Network (DCDN)	Penyebaran awal Perbarui sertifikat yang ada	Percepatan aman HTTPS
Edge Security Acceleration (ESA)	Perbarui sertifikat yang ada	Percepatan aman HTTPS
Object Storage Service (OSS)	Perbarui sertifikat yang ada	Mengakses layanan OSS melalui HTTPS Catatan Jika nama domain akselerasi CDN terikat, Anda harus mengganti sertifikat di Konsol CDN.
Web Application Firewall (WAF)	Perbarui sertifikat yang ada	Onboarding melalui modus proxy
Anti-DDoS Proxy	Perbarui sertifikat yang ada	Akses nama domain Anti-DDoS Proxy
Platform for AI (PAI)	Perbarui sertifikat yang ada	Elastic Algorithm Service (EAS) untuk layanan model online: gateway khusus menggunakan nama domain kustom

Prosedur

Langkah 1: Beli kuota penyebaran

Catatan

Hanya penyebaran Sertifikat Uploaded yang mengonsumsi kuota. Untuk jenis lainnya, lanjutkan ke Langkah 2: Periksa otorisasi.

Jika kuota penyebaran Anda tidak mencukupi, beli paket penyebaran. .
Kuota penyebaran tidak dikonsumsi untuk sertifikat selain jenis Sertifikat Uploaded, atau untuk sertifikat yang dibagikan antar Akun Alibaba Cloud milik individu atau perusahaan yang sama yang telah menyelesaikan verifikasi identitas. Jika penyebaran gagal, kuota penyebaran yang sesuai akan dikembalikan.

Langkah 2: Periksa otorisasi

Catatan

Untuk tugas penyebaran yang tidak melibatkan ACK, lanjutkan ke Langkah 3: Sebarkan sertifikat ke sumber daya cloud.

Sebelum menyebarkan sertifikat ke ACK, login ke Konsol ACK dengan Akun Alibaba Cloud Anda dan berikan izin role AliyunCASDefaultRole untuk mengelola klaster tujuan. Jika tidak, Konsol Layanan Manajemen Sertifikat tidak dapat mendeteksi namespace klaster.

Buka halaman Manajemen Otorisasi ACK. Pada tab RAM Roles, masukkan AliyunCASDefaultRole lalu klik Modify Permissions.
Pada tab Permission Management, berikan izin O&M Engineer ke klaster tujuan.

Langkah 3: Sebarkan sertifikat ke sumber daya cloud

Sebarkan satu sertifikat ke sumber daya cloud

Jika menggunakan layanan penyebaran untuk pertama kali, berikan akses seperti diminta untuk membuat tugas penyebaran. Untuk informasi lebih lanjut tentang otorisasi, lihat Berikan izin untuk mengakses sumber daya cloud.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi kiri, pilih Certificate Management > SSL Certificate Management.
Pada halaman SSL Certificate Management, klik tab sertifikat yang sesuai. Di daftar sertifikat, temukan sertifikat tersebut lalu klik Deploy di kolom Actions.
Sertifikat yang diterbitkan oleh Private CA disinkronkan ke tab Uploaded Certificates, tempat Anda dapat mengelolanya.
Pada langkah Select Resource halaman Create Task, pilih atau sesuaikan produk dan sumber daya cloud, lalu klik Preview and Submit.
- Sistem secara otomatis mencocokkan sumber daya produk cloud yang telah dikonfigurasi dengan Sertifikat SSL. Di kotak dialog pencocokan otomatis, klik OK. Sistem menambahkan sumber daya yang cocok ke area Selected Resources, yang dapat Anda sesuaikan sesuai kebutuhan.
- Sistem secara otomatis menemukan dan mengambil semua sumber daya dari produk cloud Anda. Jika Anda tidak menemukan sumber daya target, periksa hal berikut:
  - Di bagian Total Resources, periksa apakah sinkronisasi sumber daya telah selesai. Jika sumber daya masih dalam proses sinkronisasi (ditandai dengan status abu-abu), tunggu hingga proses selesai. Waktu sinkronisasi tergantung pada jumlah sumber daya di produk cloud Anda.
  - Jika Anda masih tidak menemukan sumber daya setelah sinkronisasi selesai, konfirmasi bahwa Anda telah memenuhi prasyarat penyebaran sertifikat.
Di panel Task Preview, konfirmasi instance sertifikat dan informasi sumber daya produk cloud. Jika semuanya benar, klik Submit.
Halaman pratinjau menampilkan jumlah sertifikat yang cocok untuk setiap produk cloud dan kuota penyebaran yang akan dikonsumsi. Jumlah kecocokan 0 menunjukkan bahwa sertifikat yang dipilih tidak cocok dengan sumber daya produk cloud, yang akan menyebabkan penyebaran gagal. Verifikasi pilihan Anda dengan cermat.

Sebarkan beberapa sertifikat ke sumber daya cloud

Jika menggunakan layanan penyebaran untuk pertama kali, berikan akses seperti diminta untuk membuat tugas penyebaran. Untuk informasi lebih lanjut tentang otorisasi, lihat Berikan izin untuk mengakses sumber daya cloud.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi kiri, pilih Deployment and Resource Management > Deployment to Cloud Services.

Pada halaman Deployment to Cloud Services, klik Create Task dan ikuti langkah-langkah berikut untuk menyebarkan Sertifikat SSL.

Pada langkah Configure Basic Information, konfigurasikan nama tugas, kontak, dan waktu penyebaran. Lalu, klik Next.

Parameter	Deskripsi
Task Name	Masukkan nama kustom untuk tugas penyebaran.
Contact	Pilih kontak untuk menerima notifikasi tugas penyebaran. Anda dapat menambahkan hingga 10 kontak.
Deployment Time	Deploy Now: Menyebarkan sertifikat ke produk cloud segera. Custom Time: Menjadwalkan tugas penyebaran untuk dimulai pada waktu tertentu.

Pada langkah Select Certificate, pilih Sertifikat SSL yang sesuai dengan sumber daya cloud. Lalu, klik Next.
- Sertifikat yang diterbitkan oleh Private CA disinkronkan ke tab Uploaded Certificates, tempat Anda dapat memilihnya.
- Satu tugas penyebaran hanya dapat mencakup sertifikat dari satu jenis.
Pada langkah Select Resource, pilih atau sesuaikan produk dan sumber daya cloud, lalu klik Preview and Submit.
Catatan
Penyebaran massal tidak didukung untuk pendengar SLB dengan beberapa sertifikat server.
- Sistem secara otomatis mencocokkan sumber daya produk cloud yang telah dikonfigurasi dengan Sertifikat SSL. Di kotak dialog pencocokan otomatis, klik OK. Sistem menambahkan sumber daya yang cocok ke area Selected Resources, yang dapat Anda sesuaikan sesuai kebutuhan.
- Sistem secara otomatis menemukan dan mengambil semua sumber daya dari produk cloud Anda. Jika Anda tidak menemukan sumber daya target, periksa hal berikut:
  - Di bagian Total Resources, periksa apakah sinkronisasi sumber daya telah selesai. Jika sumber daya masih dalam proses sinkronisasi (ditandai dengan status abu-abu), tunggu hingga proses selesai. Waktu sinkronisasi tergantung pada jumlah sumber daya.
  - Jika Anda masih tidak menemukan sumber daya setelah sinkronisasi selesai, konfirmasi apakah skenario Anda mendukung penyebaran awal. Untuk instruksi penyebaran, lihat Prasyarat.
Di panel Task Preview, konfirmasi instance sertifikat dan informasi sumber daya produk cloud. Jika semuanya benar, klik Submit.
Halaman pratinjau menampilkan jumlah sertifikat yang cocok untuk setiap produk cloud dan kuota penyebaran yang akan dikonsumsi. Jumlah kecocokan 0 menunjukkan bahwa sertifikat yang dipilih tidak cocok dengan sumber daya, yang akan menyebabkan penyebaran gagal. Verifikasi pilihan Anda dengan cermat.

Operasi tambahan

Lihat detail tugas penyebaran

Di halaman Deployment to Cloud Services, temukan tugas penyebaran lalu klik Details di kolom Actions.
Di halaman detail tugas, Anda dapat melihat status penyebaran untuk setiap sumber daya instance. Jika penyebaran sumber daya gagal, Anda dapat melihat alasan kegagalannya di kolom Actions dan mengambil tindakan lebih lanjut.
Jika Anda tidak dapat menentukan alasan kegagalan secara spesifik, hubungi account manager Anda untuk bantuan.

Kembalikan tugas penyebaran

Penting

Kuota penyebaran tidak dikembalikan setelah rollback berhasil.

Untuk mengembalikan penyebaran karena sertifikat salah atau alasan lain, Anda dapat mengembalikan ke kondisi sebelum penyebaran dimulai:

Di halaman Deployment to Cloud Services, temukan tugas penyebaran lalu klik Details di kolom Actions.
Di halaman detail tugas, klik produk cloud, temukan sumber daya instance, lalu klik Roll Back di kolom Actions.
Setelah rollback berhasil, status tugas berubah menjadi Rolled Back.

Hapus tugas penyebaran

Penting

Tugas yang dihapus tidak dapat dipulihkan. Lakukan dengan hati-hati.

Pada halaman Deployment to Cloud Services, temukan tugas penyebaran, lalu klik Delete di kolom Actions. Anda juga dapat memilih beberapa tugas penyebaran, kemudian klik Delete di bagian bawah daftar.

FAQ

Apakah Sertifikat SSL dapat disebarkan ke produk cloud di akun Alibaba Cloud yang berbeda?

Sertifikat SSL tidak dapat langsung disebarkan lintas akun yang berbeda.

Jika akun-akun tersebut dimiliki oleh entitas yang sama yang telah menyelesaikan verifikasi identitas, Anda dapat menggunakan fitur berbagi sertifikat untuk penyebaran lintas akun secara gratis. Untuk informasi selengkapnya, lihat Unggah, sinkronkan, dan bagikan Sertifikat SSL.
Jika akun-akun tersebut dimiliki oleh entitas yang berbeda, Anda harus mengunduh sertifikat dari akun asal, lalu mengunggah dan menyebarkannya secara manual di akun target.

Setelah sertifikat berhasil disebarkan, apakah HTTPS diaktifkan secara otomatis pada produk cloud?

Tidak. Penyebaran yang berhasil di Konsol Layanan Manajemen Sertifikat hanya berarti sertifikat telah dikirimkan ke produk cloud yang sesuai. Anda tetap harus membuka Konsol produk tersebut untuk mengaktifkan dan mengonfigurasinya agar menerima lalu lintas HTTPS.

Mengapa jumlah sumber daya cloud ditampilkan sebagai 0 selama penyebaran?

Saat Anda membuat tugas penyebaran, sistem secara otomatis mendeteksi sumber daya. Jika Anda tidak menemukan sumber daya target, periksa hal berikut:

Di area Total Resources, pastikan bahwa sinkronisasi sumber daya telah selesai. Jika sumber daya masih dalam proses sinkronisasi (ditandai dengan status abu-abu), tunggu hingga selesai. Waktu sinkronisasi tergantung pada jumlah sumber daya Anda.
Jika Anda masih tidak menemukan sumber daya setelah sinkronisasi selesai, pastikan apakah skenario Anda mendukung penyebaran awal. Jika tidak, Anda mungkin perlu menyebarkannya terlebih dahulu di Konsol produk cloud yang sesuai. Untuk informasi selengkapnya, lihat konfigurasi awal.