Setelah membuat dan mengaktifkan Certificate Authority (CA) pribadi di konsol Layanan Manajemen Sertifikat, Anda dapat meminta sertifikat pribadi dari intermediate CA. Sertifikat ini digunakan untuk otentikasi identitas, enkripsi data, dan dekripsi pada aplikasi internal Anda. Topik ini menjelaskan cara mengelola sertifikat pribadi.
Informasi latar belakang
Hanya intermediate CA pribadi yang dapat menerbitkan sertifikat pribadi. Sertifikat pribadi merupakan sertifikat entitas akhir, seperti Sertifikat server dan Sertifikat klien. Saluran komunikasi tepercaya antara server dan klien hanya dapat dibentuk setelah sertifikat pribadi dipasang pada keduanya.
Konfigurasi awal
Saat mengonfigurasi sertifikat pribadi untuk pertama kali, ikuti langkah-langkah berikut:
Prasyarat
Anda telah membeli dan mengaktifkan Private CA. Untuk informasi selengkapnya, lihat Beli dan aktifkan Private CA.
Beli sertifikat pribadi
Jika jumlah resource sertifikat yang disertakan dengan root CA pribadi Anda tidak mencukupi, Anda dapat membeli lebih banyak sertifikat untuk root CA tersebut. Hal ini akan meningkatkan jumlah total sertifikat yang dapat diterbitkan oleh semua intermediate CA di bawah root CA tersebut.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi sebelah kiri, pilih . Di halaman PCA Certificate Management, pilih wilayah tempat layanan PCA berada.
Di tab Private CAs, temukan root CA target dan klik Purchase Certificate di kolom Actions.
Di panel Purchase Certificate, masukkan jumlah sertifikat yang ingin dibeli, klik Purchase, lalu selesaikan pembayaran.
CatatanUntuk satu root CA, jika jumlah kumulatif sertifikat yang Anda beli melebihi ambang batas tertentu, Layanan Manajemen Sertifikat membebaskan biaya untuk sertifikat tambahan tersebut. Untuk informasi lebih lanjut mengenai ambang batas tersebut, hubungi account manager Anda.
Alokasikan sertifikat pribadi
Root CA tidak dapat menerbitkan sertifikat. Hanya intermediate CA yang dapat menerbitkan sertifikat pribadi. Sebelum meminta sertifikat pribadi, Anda harus mengalokasikan resource sertifikat dari root CA ke intermediate CA. Root CA dan intermediate CA harus memenuhi kondisi berikut agar dapat mengalokasikan sertifikat:
Root CA dan intermediate CA berada dalam status Enabled.
Root CA memiliki resource sertifikat yang tersedia.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi sebelah kiri, pilih . Di halaman PCA Certificate Management, pilih wilayah tempat layanan PCA berada.
Di tab Private CAs, temukan root CA target dan klik Assign Certificate di kolom Remaining/Total Certificates.
Di panel Assign Certificate, pilih intermediate CA yang akan menerima alokasi sertifikat, atur Remaining Certificate Quota untuk intermediate CA tersebut, lalu klik OK.
Minta sertifikat pribadi
Anda hanya dapat meminta sertifikat pribadi dari intermediate CA jika nilai Remaining Certificate Quota-nya bukan 0.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi sebelah kiri, pilih . Di halaman PCA Certificate Management, pilih wilayah tempat layanan PCA berada.
Di tab Private CAs, temukan intermediate CA target dan klik Apply for Certificate di kolom Actions.
Di panel Apply for Certificate, masukkan informasi sertifikat yang diperlukan dan klik Confirm.
Setelah mengirim permintaan, sertifikat Private CA akan langsung diterbitkan. Setelah sertifikat pribadi diterbitkan, Anda dapat mengklik Certificates di kolom Actions untuk intermediate CA guna melihat informasi sertifikat yang diterbitkan di halaman Certificates.
Server Certificate: Digunakan untuk dipasang pada server aplikasi.
Client Certificate: Digunakan untuk dipasang pada klien yang mengakses aplikasi.
Jika durasi layanan kurang dari 1 tahun, periode validitas sertifikat tidak boleh melebihi durasi layanan PCA Anda. Misalnya, jika Anda membeli layanan PCA selama 1 bulan, periode validitas maksimum sertifikat yang dapat Anda terbitkan adalah 31 hari. Jika Anda memerlukan periode validitas sertifikat yang lebih lama, perpanjang layanan PCA untuk memperpanjang durasinya. Untuk informasi lebih lanjut tentang perpanjangan, lihat Kebijakan perpanjangan.
Jika durasi layanan 1 tahun atau lebih, periode validitas sertifikat dapat berkisar antara 1 hingga 100 tahun.
Jika sertifikat perlu diterapkan pada beberapa entitas, Anda dapat menambahkan informasi entitas lain menggunakan ekstensi SAN.
Untuk Sertifikat server, Anda dapat memasukkan nama domain layanan atau alamat IP server. Untuk Sertifikat klien, Anda dapat memasukkan alamat kotak surat pengguna atau Uniform Resource Identifier (URI).
Anda dapat menambahkan hingga 10 ekstensi SAN.
Item konfigurasi | Deskripsi |
Certificate Type | |
Common Name (CN) | Nama umum entitas sertifikat pribadi. |
Validity Period | Periode validitas sertifikat pribadi. Periode validitas sertifikat terkait dengan durasi layanan intermediate CA yang Anda beli. Rinciannya sebagai berikut: |
SAN | Ekstensi Subject Alternative Name (SAN) dari sertifikat pribadi. Catatan Subject Alternative Name (SAN) adalah ekstensi yang didefinisikan dalam standar SSL X.509. Sertifikat SSL yang menggunakan bidang SAN dapat memperluas nama domain yang didukung sertifikat tersebut, sehingga memungkinkan satu sertifikat mendukung beberapa nama domain. Uniform Resource Identifier (URI) digunakan untuk mengidentifikasi resource Alibaba Cloud tempat sertifikat tersebut ditempatkan. Misalnya, URI dapat mengidentifikasi instans Elastic Computing Service (ECS) tempat sertifikat pribadi diterapkan. |
More | Untuk menambahkan nama sertifikat, perusahaan, dan informasi departemen ke dalam sertifikat, klik More untuk mengonfigurasinya. |
Include CRL Address | Fitur ini diaktifkan secara default. Untuk informasi lebih lanjut tentang Certificate Revocation Lists (CRL), lihat Layanan CRL. |
Unduh sertifikat pribadi
Setelah intermediate CA menerbitkan sertifikat pribadi, Anda dapat mengunduh sertifikat tersebut dan mendistribusikannya ke entitas yang sesuai untuk diinstal dan digunakan.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi sebelah kiri, pilih . Di halaman PCA Certificate Management, pilih wilayah tempat layanan PCA berada.
Di tab Private CAs, temukan intermediate CA target dan klik Certificates di kolom Actions.
Di halaman Certificates, temukan sertifikat pribadi target dan klik Download di kolom Actions.
Di kotak dialog Download Certificate, pilih format sertifikat dan klik Confirm and Download.
Instal sertifikat pribadi
Setelah mengunduh sertifikat pribadi, Anda harus menginstal Sertifikat server pada server aplikasi dan Sertifikat klien di browser klien. Prosedur instalasi Sertifikat server sama dengan prosedur instalasi sertifikat SSL yang Anda beli dari Layanan Manajemen Sertifikat. Untuk informasi selengkapnya, lihat Deploy an SSL certificate.
Revokasi sertifikat pribadi
Jika Anda tidak lagi memerlukan sertifikat pribadi sebelum masa berlakunya habis, Anda dapat merevokasinya di konsol Layanan Manajemen Sertifikat.
Setelah sertifikat pribadi direvokasi atau dihapus, sertifikat tersebut tidak lagi dipercaya di lingkungan internal Anda dan tidak dapat dipulihkan atau diaktifkan kembali. Lakukan operasi ini dengan hati-hati.
Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi sebelah kiri, pilih . Di halaman PCA Certificate Management, pilih wilayah tempat layanan PCA berada.
Di tab Private CAs, temukan intermediate CA target dan klik Certificates di kolom Actions.
Di halaman Certificates, temukan sertifikat pribadi target dan klik Revoke di kolom Actions.
Di kotak dialog Confirmation, klik Revoke.
Setelah Anda mengonfirmasi revokasi, sertifikat pribadi akan segera direvokasi. Status sertifikat berubah menjadi Revoke. Anda kemudian dapat menghapus sertifikat pribadi tersebut dari daftar sertifikat.