全部产品
Search

搜索本产品

    Certificate Management Service:Instal Sertifikat SSL pada Server Apache (Windows)

    文档中心

    Certificate Management Service:Instal Sertifikat SSL pada Server Apache (Windows)

    更新时间:Nov 05, 2025

    Ketika sebuah situs web menggunakan protokol HTTP yang tidak dienkripsi, data pengguna rentan terhadap intersepsi. Browser juga menampilkan peringatan Not Secure, yang dapat merusak kepercayaan pengguna dan keamanan bisnis. Menerapkan Sertifikat SSL pada server Apache Anda di Windows memungkinkan komunikasi HTTPS terenkripsi. Topik ini menjelaskan cara menginstal Sertifikat SSL pada server Apache di Windows dan memverifikasi konfigurasi HTTPS.

    Penting

    Jika Anda memiliki pertanyaan, hubungi manajer akun Anda untuk bantuan.

    Catatan Penggunaan

    Sebelum memulai, pastikan Anda memenuhi persyaratan berikut:

    • Status Sertifikat: Anda memiliki Sertifikat SSL yang diterbitkan oleh otoritas sertifikat tepercaya. Jika sertifikat akan segera kedaluwarsa atau sudah kedaluwarsa, Anda harus terlebih dahulu memperpanjang Sertifikat SSL.

    • Pencocokan Nama Domain: Pastikan bahwa sertifikat cocok dengan semua nama domain yang ingin Anda amankan. Untuk menambah atau memodifikasi nama domain, Anda dapat Membeli sertifikat resmi atau Menambah dan mengganti nama domain.

      • Nama domain yang cocok secara eksak: Hanya berlaku untuk domain yang ditentukan.

        • example.com hanya melindungi example.com.

        • www.example.com hanya melindungi www.example.com.

      • Nama domain wildcard: Hanya berlaku untuk subdomain tingkat pertamanya.

        • *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.

        • *.example.com tidak melindungi domain root example.com atau subdomain multi-level seperti a.b.example.com.

      Catatan

      Untuk mencocokkan subdomain multi-level, bidang Bound Domains harus berisi domain eksak, seperti a.b.example.com, atau domain wildcard yang sesuai, seperti *.b.example.com.

    • Izin Server: Anda harus menggunakan akun Administrator atau akun dengan izin administrator.

    • Resolusi Nama Domain: Rekaman DNS domain dikonfigurasi dan diselesaikan ke alamat IP publik server.

    • Ketergantungan Lingkungan: Topik ini menggunakan Windows Server 2025 dan Apache 2.x sebagai contoh. Direktori instalasi contoh untuk Apache adalah C:\Apache24.

      Catatan

      Prosedur penyebaran mungkin berbeda tergantung pada versi sistem operasi atau Web Server Anda.

    Prosedur

    Langkah 1: Persiapkan Sertifikat SSL

    1. Kunjungi halaman Manajemen Sertifikat SSL. Di kolom Actions dari sertifikat target, klik Download. Pada tab Download, unduh sertifikat untuk Apache Server Type.

    2. Ekstrak paket sertifikat yang diunduh:

      • Jika paket berisi file sertifikat (<YOUR_DOMAIN_NAME>_public.crt), file sertifikat perantara (<YOUR_DOMAIN_NAME>_chain.crt), dan file kunci privat (<YOUR_DOMAIN_NAME>.key), simpan file-file tersebut dengan aman. Anda akan membutuhkannya untuk penyebaran.

      • Jika paket hanya berisi file sertifikat (<YOUR_DOMAIN_NAME>_public.crt) dan file sertifikat perantara (<YOUR_DOMAIN_NAME>_chain.crt) tetapi tidak ada file kunci privat (<YOUR_DOMAIN_NAME>.key), Anda harus menerapkan sertifikat dengan file kunci privat yang disimpan secara lokal.

        Catatan

        Jika Anda menggunakan alat seperti OpenSSL atau Keytool untuk menghasilkan file CSR saat Anda meminta sertifikat, file kunci privat disimpan secara lokal dan tidak termasuk dalam paket sertifikat yang diunduh. Jika kunci privat hilang, sertifikat tidak dapat digunakan. Anda harus membeli sertifikat resmi dan menghasilkan CSR dan kunci privat baru.

    3. Unggah file sertifikat, file sertifikat perantara, dan file kunci privat ke server dan simpan di direktori eksternal yang aman. Topik ini menggunakan D:\cert sebagai contoh.

      Catatan

      Langkah-langkah berikut menggunakan Instance ECS Alibaba Cloud sebagai contoh. Untuk jenis server lainnya, lihat dokumentasi resmi mereka.

      1. Kunjungi Konsol ECS - Instans. Di bilah navigasi atas, pilih wilayah target dan kelompok sumber daya.

      2. Temukan instans target. Klik Connect dan pilih Sign in now. Masuk ke desktop server sesuai petunjuk.

      3. Di pojok kiri bawah server, klik menu Start. Temukan dan buka This PC.

      4. Di bawah Redirected drives and folders, klik dua kali workbench On ***. Seret file sertifikat dari mesin lokal Anda ke direktori ini, lalu klik kanan folder dan pilih Refresh.

        image

      5. Salin file sertifikat ke direktori D:\cert.

        Penting

        Saat Anda menyambung ulang ke atau keluar dari instans, workbench secara otomatis menghapus semua file yang diunggah dari direktori Drive dan Folder yang Diredirect untuk menghemat ruang. Direktori ini hanya untuk transfer file. Jangan simpan file Anda di sini.

    Langkah 2: Konfigurasikan sistem dan lingkungan jaringan

    1. Buka port 443 di grup keamanan.

      Penting

      Jika server Anda diterapkan di platform cloud, pastikan grup keamanannya mengizinkan akses masuk pada port TCP 443. Jika tidak, layanan tidak dapat diakses dari Internet. Langkah-langkah berikut menggunakan Alibaba Cloud ECS sebagai contoh. Untuk platform cloud lainnya, lihat dokumentasi resmi mereka.

      1. Kunjungi halaman Instans ECS, pilih wilayah tempat instans ECS target berada, dan klik nama instans untuk masuk ke halaman detail instans.

      2. Klik Security Group > All Intranet Inbound Rules, dan pastikan ada aturan dengan pengaturan berikut: Authorization Policy diatur ke Allow, Protocol Type adalah TCP, Destination Port Range adalah HTTPS (443), dan Authorization Object diatur ke Anywhere (0.0.0.0/0).

      3. Jika aturan sebelumnya tidak ada, lihat Tambahkan aturan grup keamanan untuk menambahkan aturan yang sesuai ke grup keamanan target.

    2. Buka port 443 di firewall server.

      1. Masuk ke server Windows, klik menu Start di pojok kiri bawah, dan buka Control Panel.

      2. Klik System And Security > Windows Firewall > Check Firewall Status.

      3. Jika firewall dimatikan, seperti yang ditunjukkan pada gambar berikut, tidak ada tindakan lebih lanjut yang diperlukan.image

      4. Jika firewall aktif, ikuti langkah-langkah berikut untuk mengizinkan aturan HTTPS.

        1. Di panel navigasi kiri, klik Advanced Settings > Inbound Rules, dan periksa apakah ada aturan masuk di mana Protocol adalah TCP, Local Port adalah 443, dan Action adalah Block.

        2. Jika aturan seperti itu ada, klik kanan dan pilih Properties. Pada tab General, ubah pengaturan menjadi Allow The Connection dan klik Apply.

        3. Untuk informasi lebih lanjut tentang konfigurasi firewall, lihat Konfigurasikan aturan firewall.

    Langkah 3: Terapkan sertifikat pada server Apache

    Jalankan Command Prompt (cmd.exe) sebagai administrator dan lakukan operasi berikut:

    1. Pergi ke direktori instalasi Apache dan jalankan perintah berikut untuk memeriksa versi Apache.

      # Di baris perintah, pergi ke direktori instalasi Apache dan jalankan perintah menggunakan path relatif.
.\httpd.exe -v

    2. Ubah file konfigurasi berdasarkan versi Apache Anda.

      Apache 2.4.8 dan yang lebih baru

      1. Gabungkan file sertifikat.

        Jika ada sertifikat perantara, Anda harus menambahkan file sertifikat server (domain_name_public.crt) dan file sertifikat perantara (domain_name_chain.crt) untuk membuat file rantai sertifikat lengkap (domain_name_fullchain.pem).

        # Tambahkan isi file sertifikat perantara ke file sertifikat server untuk membentuk file rantai sertifikat lengkap.
copy /b domain_name_public.crt + domain_name_chain.crt domain_name_fullchain.pem

        Setelah digabungkan, Anda hanya membutuhkan dua file: domain_name_fullchain.pem dan domain_name.key.

      2. Ubah file konfigurasi.

        Buka file konfigurasi target (misalnya, httpd-ssl.conf) dan tambahkan konfigurasi berikut:

        <VirtualHost *:443>
    
    # Ganti example.com dengan nama domain yang terikat pada sertifikat Anda.
    ServerName example.com
    
    # Aktifkan mesin SSL.
    SSLEngine on
    
    # File sertifikat. Gunakan path ke file sertifikat gabungan aktual (domain_name_fullchain.pem).
    # Jika tidak ada file sertifikat perantara, gunakan path file sertifikat server (domain_name_public.crt).
    SSLCertificateFile D:\cert\domain_name_fullchain.pem
    
    # File kunci privat. Ganti ini dengan path aktual file kunci privat Anda.
    SSLCertificateKeyFile D:\cert\domain_name.key
    
    # Konfigurasi lainnya.
    # ...
    
</VirtualHost>

      Apache 2.4.7 dan yang lebih lama

      Buka file konfigurasi target (misalnya, httpd-ssl.conf) dan tambahkan konfigurasi berikut:

      <VirtualHost *:443>
    
    # Ganti example.com dengan nama domain yang terikat pada sertifikat Anda.
    ServerName example.com
    
    # Aktifkan mesin SSL.
    SSLEngine on
    
    # File sertifikat. Ganti ini dengan path aktual file sertifikat Anda.
    SSLCertificateFile D:\cert\domain_name_public.crt
    
    # File rantai sertifikat (ditentukan secara terpisah). Ganti ini dengan path aktual file sertifikat perantara Anda.
    # Jika tidak ada sertifikat perantara, Anda tidak perlu mengonfigurasi direktif ini.
    SSLCertificateChainFile D:\cert\domain_name_chain.crt
    
    # File kunci privat. Ganti ini dengan path aktual file kunci privat Anda.
    SSLCertificateKeyFile D:\cert\domain_name.key
    
    # Konfigurasi lainnya.
    # ...
    
</VirtualHost>

    3. Opsional: Atur pengalihan otomatis dari HTTP ke HTTPS.

      Di file konfigurasi target, ubah <VirtualHost> untuk domain Anda dan tambahkan direktif Rewrite:

      <VirtualHost *:80>
    ServerName example.com
    RewriteEngine On
    RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</VirtualHost>

    4. Setelah Anda menyelesaikan dan menyimpan perubahan konfigurasi, arahkan ke direktori bin dari instalasi Apache Anda dan jalankan perintah berikut untuk memeriksa kesalahan sintaksis.

      .\httpd.exe -t

      Jika Syntax OK dikembalikan, konfigurasi benar. Jika ada kesalahan, periksa file konfigurasi berdasarkan pesan kesalahan.

    5. Mulai ulang layanan Apache.

      Jika sintaksis benar, jalankan perintah berikut untuk memulai ulang layanan dan menerapkan konfigurasi SSL.

      .\httpd.exe -k restart
      Catatan

      Anda juga dapat menemukan dan memulai ulang layanan Apache di manajemen Layanan Windows (services.msc).

    Langkah 4: Verifikasi penyebaran

    1. Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain.com. Ganti yourdomain.com dengan domain Anda yang sebenarnya.

    2. Jika ikon gembok muncul di bilah alamat browser, sertifikat berhasil diterapkan. Jika Anda mengalami kesalahan akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).

      image

      Mulai dari versi 117, ikon image di bilah alamat Chrome telah diganti dengan ikon baru image. Klik ikon ini untuk melihat informasi gembok.

    Catatan

    Jika masalah tetap ada, lihat FAQ untuk pemecahan masalah.

    Tayang

    Saat Anda menerapkan ke lingkungan produksi, ikuti praktik terbaik berikut untuk meningkatkan keamanan, stabilitas, dan kemudahan pemeliharaan:

    • Jalankan sebagai pengguna non-administrator:

      Buat pengguna sistem khusus dengan hak istimewa rendah untuk aplikasi. Jangan pernah menjalankan aplikasi dengan akun yang memiliki hak istimewa administrator.

      Catatan

      Pendekatan yang direkomendasikan adalah mengonfigurasi SSL di lapisan gateway. Ini melibatkan penerapan sertifikat pada Server Load Balancer (SLB). Gateway mengakhiri lalu lintas HTTPS dan meneruskan lalu lintas HTTP yang didekripsi ke aplikasi backend.

    • Eksternalisasi manajemen kredensial:

      Jangan pernah melakukan hard-code kata sandi atau informasi sensitif lainnya di kode atau file konfigurasi Anda. Gunakan variabel lingkungan, Vault, atau layanan manajemen kunci penyedia cloud untuk menyuntikkan kredensial.

    • Paksakan pengalihan HTTP ke HTTPS:

      Alihkan semua lalu lintas HTTP ke HTTPS untuk mencegah serangan man-in-the-middle.

    • Konfigurasikan protokol TLS modern:

      Nonaktifkan protokol lama dan tidak aman (seperti SSLv3, TLSv1.0, dan TLSv1.1) di konfigurasi server Anda. Aktifkan hanya TLSv1.2 dan TLSv1.3.

    • Monitor sertifikat dan otomatisasi perpanjangan:

      Setelah Anda menerapkan sertifikat, aktifkan pemantauan domain. Alibaba Cloud secara otomatis memeriksa periode validitas sertifikat dan mengirimkan pengingat perpanjangan sebelum kedaluwarsa untuk membantu Anda memperpanjang tepat waktu dan menghindari gangguan layanan. Untuk instruksi terperinci, lihat Beli dan aktifkan pemantauan nama domain publik.

    FAQ

    Mengapa sertifikat saya tidak berfungsi atau HTTPS tidak dapat diakses setelah instalasi atau pembaruan?

    Masalah ini sering disebabkan oleh salah satu dari masalah konfigurasi berikut. Periksa mereka secara berurutan:

    • Port 443 diblokir: Grup keamanan atau firewall server tidak memiliki port 443 yang terbuka. Lihat Konfigurasikan sistem dan lingkungan jaringan.

    • Ketidakcocokan domain: Domain yang Anda akses tidak terdaftar dalam Bound Domains sertifikat tersebut. Lihat Pencocokan nama domain.

    • Layanan Apache tidak dimulai ulang: Layanan Apache tidak dimulai ulang setelah file konfigurasi Apache diubah. Lihat Mulai ulang layanan Apache.

    • Konfigurasi sertifikat salah: File sertifikat tidak diganti dengan benar, atau konfigurasi Apache tidak menentukan jalur sertifikat dengan benar. Anda dapat memeriksa apakah file konfigurasi Apache dan file sertifikat yang digunakan valid dan terbaru.

    • Sertifikat hilang pada layanan lain: Jika domain Anda menggunakan layanan seperti Content Delivery Network (CDN), Server Load Balancer (SLB), atau Web Application Firewall (WAF), sertifikat juga harus dipasang pada layanan-layanan tersebut. Lihat Lokasi penyebaran sertifikat ketika lalu lintas melewati beberapa layanan Alibaba Cloud untuk menyelesaikan pengaturan.

    • Penyebaran tidak lengkap pada beberapa server: Jika DNS domain Anda diselesaikan ke beberapa server, sertifikat harus dipasang di semua server tersebut.

    Bagaimana cara yang benar untuk memperbarui Sertifikat SSL pada server Apache?

    Untuk memperbarui Sertifikat SSL yang ada pada Apache, Anda harus mengganti file sertifikat lama dengan yang baru dan kemudian memulai ulang layanan.

    Ikuti langkah-langkah berikut:

    1. Cadangkan file yang ada: Sebelum melakukan perubahan apa pun, cadangkan file sertifikat asli (.crt atau .pem) dan file kunci privat (.key) dari server Anda.

    2. Unduh dan unggah sertifikat baru: Dapatkan file sertifikat baru dari konsol Layanan Sertifikat SSL Anda. Unggah mereka ke server Anda, menimpa file lama.

      Pastikan file baru memiliki nama yang sama persis dan ditempatkan di direktori yang sama dengan file lama, sehingga Anda tidak perlu mengubah file konfigurasi Apache Anda.

    3. Mulai ulang layanan Apache: Untuk menerapkan sertifikat baru, mulai ulang layanan Apache. Anda dapat melakukannya dengan menjalankan .\httpd.exe -k restart dari direktori bin instalasi Apache Anda.