All Products
Search
Document Center

Certificate Management Service:Instal Sertifikat SSL pada GlassFish (Linux)

Last Updated:May 15, 2026

Topik ini menjelaskan cara menginstal dan mengonfigurasi Sertifikat SSL pada server GlassFish, mencakup pengunduhan dan pengunggahan file sertifikat, konfigurasi sertifikat, rantai sertifikat, dan kunci privat, serta verifikasi instalasi.

Penting

Topik ini menggunakan kontainer domain1 default di GlassFish 4.1.2-web pada Linux sebagai contoh. Langkah-langkahnya dapat berbeda tergantung sistem operasi atau versi GlassFish yang Anda gunakan.

Sebelum memulai

  • Anda telah membeli dan mengajukan sertifikat melalui SSL Certificates Service, dan Status-nya adalah Issued. Untuk membeli dan mengajukan sertifikat, lihat Purchase a paid certificate dan Apply for a certificate.

  • Nama domain Anda telah di-resolve dengan benar ke server saat ini.

  • Anda memiliki izin administratif pada server ini (akun root atau akun dengan izin sudo).

Prosedur

Langkah 1: Unduh Sertifikat SSL

  1. Pada halaman SSL Certificates, temukan sertifikat yang ingin Anda terapkan dan konfirmasi informasi berikut:

    1. Certificate Status: Pastikan statusnya adalah Issued. Jika statusnya About to Expire atau Expired, Anda harus renew the SSL certificate.

    2. Bound Domains: Pastikan sertifikat mencakup semua nama domain yang ingin Anda lindungi. Jika tidak, browser akan menampilkan peringatan keamanan ketika pengguna mengakses nama domain yang tidak sesuai melalui HTTPS. Untuk menambah atau mengubah nama domain, lihat Add and replace domain names.

      Memverifikasi kecocokan nama domain

      Bound Domains suatu sertifikat dapat mencakup beberapa nama domain eksak dan wildcard. Aturan pencocokannya sebagai berikut:

      • Nama domain eksak: Sertifikat nama domain eksak hanya berlaku untuk nama domain yang ditentukan.

        • Sertifikat untuk example.com hanya berlaku untuk example.com.

        • Sertifikat untuk www.example.com hanya berlaku untuk www.example.com.

      • Nama domain wildcard: Sertifikat nama domain wildcard hanya berlaku untuk subdomain tingkat pertama.

        • Sertifikat untuk *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.

        • Sertifikat untuk *.example.com tidak berlaku untuk domain root example.com atau subdomain multi-level seperti a.b.example.com.

      Catatan

      Untuk mencocokkan subdomain multi-level, bidang Bound Domains harus mencantumkan nama domain spesifik (misalnya, a.b.example.com) atau nama domain wildcard yang sesuai (misalnya, *.b.example.com).

  2. Pada kolom Actions sertifikat target, klik More untuk membuka halaman detail sertifikat. Pada tab Download, unduh sertifikat yang Server Type-nya adalah Other.

  3. Ekstrak paket sertifikat yang telah diunduh.

    • Jika paket berisi file sertifikat (.pem) dan file kunci privat (.key), simpan kedua file tersebut secara aman. Anda memerlukannya untuk penerapan.

    • Jika paket hanya berisi file sertifikat (.pem) tanpa file kunci privat (.key), Anda harus menerapkan sertifikat bersama file kunci privat yang telah Anda simpan secara lokal.

      Catatan

      Jika Anda membuat file permintaan penandatanganan sertifikat (CSR) menggunakan tool seperti OpenSSL atau Keytool saat mengajukan sertifikat, file kunci privat hanya disimpan di mesin lokal Anda dan tidak termasuk dalam paket yang diunduh. Jika kunci privat hilang, sertifikat menjadi tidak dapat digunakan. Anda harus purchase a paid certificate dan membuat CSR serta kunci privat baru.

Langkah 2: Instal sertifikat pada GlassFish

  1. Login ke server Linux Anda.

    Server Alibaba Cloud

    Operasi berikut menggunakan instans ECS Alibaba Cloud sebagai contoh. Untuk jenis server lain, lihat dokumentasi masing-masing.

    1. Login ke Konsol ECS. Di bilah navigasi atas, pilih wilayah tempat instans ECS target berada.

    2. Di panel navigasi kiri, pilih Instances & Images > Instances. Pada halaman Instances, temukan instans ECS target lalu klik Remote Connection di kolom Remote connection.

    3. Pada kotak dialog yang muncul, pilih Workbench lalu klik Sign in now.

    4. Pilih Terminal Connection sebagai metode koneksi, masukkan informasi autentikasi, lalu ikuti petunjuk di layar untuk menyelesaikan login. Anda kemudian dapat mengakses terminal server. Untuk informasi lebih lanjut, lihat Connect to an ECS instance by using Workbench.

      Catatan

      Jika panel Security Group Whitelist Opening Prompt muncul, klik Add Rule sesuai petunjuk.

    Penyedia cloud lain

    Gunakan fitur koneksi jarak jauh yang disediakan oleh penyedia cloud untuk login ke terminal server.

    Server on-premises

    Gunakan tool SSH di mesin lokal Anda untuk login ke terminal server.

    • Windows: Jalankan perintah ssh <username>@<server_ip_address> di Command Prompt (cmd) atau PowerShell. Jika perintah ssh tidak didukung, Anda dapat menggunakan tool pihak ketiga seperti PuTTY atau WinSCP untuk membuat koneksi.

    • macOS/Linux: Jalankan perintah ssh <username>@<server_ip_address> di terminal bawaan.

    Beberapa perintah berikut berbeda tergantung sistem operasi. Pilih perintah yang sesuai dengan OS server Anda.

    • Seri RHEL/CentOS: mencakup Alibaba Cloud Linux, Red Hat Enterprise Linux, CentOS, AlmaLinux, Rocky Linux, Anolis OS, dan turunannya.

    • Seri Debian/Ubuntu: mencakup Debian, Ubuntu, dan turunannya.

    Cara mengidentifikasi seri sistem operasi Anda

    Jalankan perintah cat /etc/os-release di terminal server lalu periksa nilai bidang ID_LIKE dan ID pada output.

    • Jika nilai ID_LIKE atau ID mengandung rhel atau centos, sistem operasi tersebut termasuk dalam seri RHEL/CentOS.

    • Jika nilai ID_LIKE atau ID mengandung debian atau ubuntu, sistem operasi tersebut termasuk dalam seri Debian/Ubuntu.

  2. Buka port 443 di security group dan firewall.

    1. Jalankan perintah berikut di terminal server untuk memeriksa apakah port 443 terbuka:

      RHEL/CentOS

      command -v nc > /dev/null 2>&1 || sudo yum install -y nc
      # Ganti <your_server_public_ip_address> dengan Alamat IP publik server Anda.
      sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <your_server_public_ip_address> 443

      Jika output berisi Ncat: Connected to <your_server_public_ip_address>:443, port 443 terbuka. Jika tidak, Anda harus membuka port 443 di security group dan firewall.

      Debian/Ubuntu

      command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
      # Ganti <your_server_public_ip_address> dengan Alamat IP publik server Anda.
      sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <your_server_public_ip_address> 443

      Jika output berisi Connection to <your_server_public_ip_address> port [tcp/https] succeeded! atau [<your_server_public_ip_address>] 443 (https) open, port 443 terbuka. Jika tidak, Anda harus membuka port 443 di security group dan firewall.

    2. Buka port 443 di security group.

      Penting

      Jika server Anda diterapkan di platform cloud, pastikan security group-nya mengizinkan lalu lintas inbound pada port TCP 443. Jika tidak, layanan tidak dapat diakses dari internet. Operasi berikut menggunakan instans ECS Alibaba Cloud sebagai contoh. Untuk platform cloud lain, lihat dokumentasi resmi masing-masing.

      Buka halaman ECS Instances lalu klik nama instans target untuk membuka halaman detailnya. Untuk informasi lebih lanjut, lihat Add a security group rule. Tambahkan aturan ke security group dengan Action diatur ke Allow, Protocol Type diatur ke TCP, Port Range diatur ke HTTPS(443), dan Authorization Object diatur ke Anywhere (0.0.0.0/0).

    3. Buka port 443 di firewall.

      Jalankan perintah berikut untuk mengidentifikasi layanan firewall yang aktif di sistem Anda:

      if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
          echo "firewalld"
      elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
          echo "ufw"
      elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
          echo "nftables"
      elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
          echo "iptables"
      elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
          echo "iptables"
      else
          echo "none"
      fi

      Jika output-nya none, tidak diperlukan tindakan lebih lanjut. Jika tidak, berdasarkan jenis firewall (firewalld, ufw, nftables, atau iptables), jalankan perintah yang sesuai untuk membuka port 443:

      firewalld

      sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

      ufw

      sudo ufw allow 443/tcp

      nftables

      sudo nft add table inet filter 2>/dev/null
      sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
      sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null

      iptables

      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

      Untuk mencegah aturan iptables hilang setelah reboot sistem, jalankan perintah berikut agar aturan tetap ada:

      RHEL/CentOS
      sudo yum install -y iptables-services
      sudo service iptables save
      Debian/Ubuntu
      sudo apt-get install -y iptables-persistent
      sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
  3. Buat direktori untuk menyimpan sertifikat.

    Masuk ke direktori instalasi GlassFish (contoh ini menggunakan /home/glassfish4), buat direktori bernama cert, lalu masuk ke dalamnya.

    cd /home/glassfish4
    mkdir cert
    cd cert
  4. Unggah file sertifikat dan kunci privat ke direktori cert.

    Catatan

    Anda dapat menggunakan fitur unggah file lokal dari tool login jarak jauh untuk mengunggah file. Contoh tool tersebut antara lain PuTTY, Xshell, atau WinSCP. Jika Anda menggunakan instans Elastic Compute Service Alibaba Cloud, lihat Upload or download files untuk informasi lebih lanjut.

  5. Konversi sertifikat dari format PEM ke PKCS12.

    GlassFish menggunakan format keystore JKS, sehingga Anda harus mengonversi sertifikat PEM ke format PKCS12 terlebih dahulu. Di direktori cert, jalankan perintah berikut untuk menghasilkan file bernama mycert.p12 dengan alias s1as.

    openssl pkcs12 -export -in domain_name.pem -inkey domain_name.key -out mycert.p12 -name s1as
    Catatan
    • Ganti domain_name.pem dan domain_name.key dengan path aktual file sertifikat dan kunci privat Anda.

    • Saat diminta, atur kata sandi ekspor. Kami menyarankan menggunakan kata sandi keystore GlassFish default (keystore.jks), yaitu changeit, untuk menghindari masalah konfigurasi di kemudian hari. Jika Anda menggunakan kata sandi berbeda, Anda harus menyinkronkan kata sandi entri kunci pada langkah selanjutnya.

  6. Hentikan layanan GlassFish.

    Hentikan layanan sebelum memodifikasi keystore dan konfigurasi:

    /home/glassfish4/glassfish/bin/asadmin stop-domain domain1
  7. Backup file keystore dan konfigurasi.

    Untuk mencegah kegagalan startup akibat kesalahan konfigurasi, backup file keystore GlassFish default keystore.jks dan file konfigurasi domain.

    cp /home/glassfish4/glassfish/domains/domain1/config/keystore.jks /home/glassfish4/glassfish/domains/domain1/config/keystore.jks.bak
    cp /home/glassfish4/glassfish/domains/domain1/config/domain.xml /home/glassfish4/glassfish/domains/domain1/config/domain.xml.bak
  8. Hapus alias sertifikat default.

    Secara default, GlassFish menggunakan alias s1as untuk komunikasi SSL. Hapus entri default ini dari keystore agar Anda dapat menggantinya dengan sertifikat Anda.

    keytool -delete -alias s1as -keystore /home/glassfish4/glassfish/domains/domain1/config/keystore.jks

    Saat diminta, masukkan kata sandi keystore.jks. Kata sandi default-nya adalah changeit.

  9. Impor sertifikat baru ke keystore.

    Impor mycert.p12 ke keystore keystore.jks dengan alias s1as.

    keytool -importkeystore \
      -srckeystore mycert.p12 -srcstoretype PKCS12 \
      -destkeystore /home/glassfish4/glassfish/domains/domain1/config/keystore.jks \
      -deststoretype JKS \
      -alias s1as

    Saat diminta, masukkan kata sandi berikut:

    • Destination keystore password: Masukkan kata sandi keystore.jks (default: changeit).

    • Source keystore password: Masukkan kata sandi ekspor yang Anda atur untuk mycert.p12 pada Langkah 5.

      Jika kata sandi ekspor untuk mycert.p12 berbeda dari kata sandi keystore.jks, jalankan perintah berikut untuk menyinkronkan kata sandi entri kunci:

      keytool -keypasswd -alias s1as \
        -keystore /home/glassfish4/glassfish/domains/domain1/config/keystore.jks \
        -storepass <keystore.jks_password> \
        -keypass <mycert.p12_export_password> \
        -new <keystore.jks_password>
  10. Perbarui konfigurasi port.

    Edit /home/glassfish4/glassfish/domains/domain1/config/domain.xml. Temukan bagian <network-listeners> lalu ubah port HTTP dan HTTPS menjadi 80 dan 443 seperti ditunjukkan di bawah:

    <network-listeners>
      <network-listener protocol="http-listener-1" port="80" name="http-listener-1" thread-pool="http-thread-pool" transport="tcp"></network-listener>
      <network-listener protocol="http-listener-2" port="443" name="http-listener-2" thread-pool="http-thread-pool" transport="tcp"></network-listener>
      <network-listener protocol="admin-listener" port="4848" name="admin-listener" thread-pool="admin-thread-pool" transport="tcp"></network-listener>
     </network-listeners>
  11. Jalankan layanan GlassFish.

    cd /home/glassfish4/glassfish/bin
    sudo ./asadmin start-domain domain1

Langkah 3: Verifikasi instalasi

  1. Akses nama domain Anda melalui HTTPS. Contoh: https://example.com. Ganti example.com dengan nama domain aktual Anda.

  2. Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika terjadi error akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran atau privat.

    image

    Mulai Chrome 117, ikon image di bilah alamat telah diganti dengan ikon image baru. Klik ikon ini untuk melihat informasi keamanan gembok.

Catatan

Jika masalah tetap berlanjut, lihat bagian FAQ untuk troubleshooting.

FAQ

Sertifikat tidak berfungsi atau HTTPS tidak dapat diakses

Penyebab umum meliputi:

Perbarui Sertifikat SSL yang telah diinstal

Backup file sertifikat asli (.pem dan .key) di server Anda. Kemudian, login ke konsol Certificate Management Service, unduh file sertifikat baru, lalu unggah ke server untuk menimpa file aslinya. Pastikan path dan nama file tetap sama. Terakhir, restart layanan GlassFish agar sertifikat baru berlaku.