Alibaba Cloud menyediakan fitur penerapan satu klik dan pembaruan manual untuk sertifikat SSL, mendukung instans terpercaya ECS dan Simple Application Server. Proses otomatis ini meningkatkan efisiensi penerapan dan mengurangi risiko kesalahan konfigurasi. - Certificate Management Service

Mengelola sertifikat SSL secara manual pada server cloud bersifat kompleks, rentan kesalahan, dan berulang. Untuk menyederhanakannya, Layanan Manajemen Sertifikat menawarkan fitur penerapan otomatis. Anda dapat menerapkan sertifikat ke instans terpercaya ECS tertentu dengan satu klik atau memperbarui sertifikat secara otomatis pada instans ECS dan Simple Application Server yang telah dikonfigurasi dengan sertifikat. Proses ini meningkatkan efisiensi penerapan dan mengurangi risiko kesalahan konfigurasi.

Metode penerapan

Pilih metode penerapan berdasarkan jenis dan skenario server Anda.

Fitur	Penerapan satu klik (untuk penerapan awal)	Penerapan manual (untuk pembaruan sertifikat)
Mekanisme inti	Sepenuhnya otomatis. Kunci privat tetap berada di dalam instans dan berkomunikasi dengan modul tepercaya perangkat keras melalui antarmuka PKCS#11 untuk keamanan tinggi.	Semi-otomatis. File sertifikat baru diunggah ke jalur server tertentu, menimpa yang lama.
Server yang didukung	Hanya mendukung instans terpercaya ECS tertentu (arsitektur x86 generasi ke-7/ke-8). Simple Application Server tidak didukung.	Mendukung semua instans ECS dan instans Simple Application Server.
Sistem operasi yang didukung	Image UEFI Alibaba Cloud Linux 3.x dan Ubuntu 22.04.	Semua distribusi utama Linux dan Windows Server.
Server web yang didukung	Hanya mendukung versi tertentu Nginx yang diinstal dari sumber `yum` atau `apt`.	Mendukung semua server web, termasuk Nginx, Apache, dan Tomcat.
Persyaratan sertifikat SSL	Sertifikat SSL domain tunggal yang menggunakan algoritma RSA.	Semua jenis sertifikat SSL.
Kasus Penggunaan	Penerapan awal sertifikat pada instans terpercaya ECS yang memenuhi syarat untuk mengaktifkan pembaruan otomatis sepenuhnya.	Perbarui sertifikat yang sudah diterapkan pada instans ECS atau Simple Application Server.

Catatan

Jika kedua metode tersebut tidak memenuhi kebutuhan Anda, lihat Pilih metode penerapan sertifikat SSL.

Penerapan satu klik (untuk instans terpercaya ECS)

Metode ini terintegrasi dengan modul keamanan instans terpercaya ECS untuk menyediakan penerapan sertifikat dan kunci privat yang sepenuhnya otomatis dan aman tinggi. Jika Anda membeli sertifikat multi-tahun, sistem akan memperbarui dan memperbaruinya secara otomatis.

Prasyarat

Jenis dan spesifikasi instans: Instans terpercaya ECS berbasis x86 generasi ke-7 dan ke-8. Untuk informasi lebih lanjut, lihat Buat instans terpercaya. Metode ini tidak mendukung Simple Application Server.
Sistem operasi: Image UEFI Alibaba Cloud Linux 3.x atau Ubuntu 22.04.
Server web: Versi tertentu Nginx yang diinstal dari repositori yum atau apt.
- Untuk image Alibaba Cloud Linux 3.x: Nginx yang diinstal menggunakan yum, versi 1.18.0-2.1.al8 hingga 1.20.1-1.0.5.al8 (tidak termasuk).
- Untuk image UEFI Ubuntu 22.04: Nginx yang diinstal menggunakan apt.
Jenis dan status sertifikat: Sertifikat SSL domain tunggal yang menggunakan algoritma RSA dan berada dalam status Issued.
Izin server: Anda memerlukan akun root atau akun dengan hak istimewa sudo.
Resolusi nama domain: Rekaman DNS domain dikonfigurasi dan diresolusi ke Alamat IP publik server.

Langkah 1: Verifikasi status Cloud Assistant

Cloud Assistant harus diinstal dan berjalan pada instans ECS Anda agar fitur penerapan satu klik dari konsol dapat digunakan.

Buka Konsol ECS - ECS Cloud Assistant.
Pilih kelompok sumber daya dan Wilayah instans target Anda.
Pada tab Instance, temukan server ECS target dan periksa statusnya di kolom Cloud Assistant Status.
Catatan
Jika Cloud Assistant belum diinstal atau statusnya abnormal, lihat Lihat status Cloud Assistant dan troubleshooting pengecualian.

Langkah 2: Konfigurasi server web Nginx

Untuk penerapan awal, Anda harus memodifikasi file konfigurasi Nginx agar dapat mengakses kunci privat dari modul tepercaya melalui antarmuka PKCS#11. Langkah ini tidak diperlukan untuk pembaruan berikutnya.

Alibaba Cloud Linux 3.x

Catatan

Bagian ini menggunakan Nginx 1.20.1 sebagai contoh. Direktori instalasi default untuk Nginx yang diinstal menggunakan yum adalah /etc/nginx/. Jika Anda telah mengubah direktori ini, sesuaikan jalurnya.

Konfirmasi versi Nginx Anda.
Hanya versi Nginx dari 1.18.0-2.1.al8 hingga 1.20.1-1.0.5.al8 (tidak termasuk) yang didukung.
Penting
Jika Nginx sudah diinstal pada instans ECS Anda, Anda harus memeriksa versinya sebelum menggunakan fitur penerapan satu klik. Jika versinya tidak didukung, Anda harus menurunkan spesifikasi atau menginstal ulang Nginx.
Buka file /etc/nginx/nginx.conf dan tambahkan ssl_engine pkcs11; setelah pid /run/nginx.pid; untuk menentukan mesin kripto PKCS#11. Contoh berikut menunjukkan lokasi dan konfigurasi lengkapnya:
```
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Tentukan mesin kripto PKCS#11
ssl_engine pkcs11;
```

Buka file /etc/nginx/nginx.conf, hapus komentar pada bagian Settings for a TLS enabled server, dan tambahkan include "/etc/acm/ssl/nginx-acm.conf"; untuk mereferensikan konfigurasi kunci SSL.

Konten yang ditambahkan:
```
include "/etc/acm/ssl/nginx-acm.conf";
```

Contoh berikut menunjukkan lokasi dan konfigurasi lengkapnya:

server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
       
        # Tentukan hostname atau Common Name (CN)
        server_name  example.com;
        root         /usr/share/nginx/html;

        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_prefer_server_ciphers on;
       
        # Referensikan konfigurasi kunci SSL
        include "/etc/acm/ssl/nginx-acm.conf";
       
        # Muat file konfigurasi untuk blok server default.
        include /etc/nginx/default.d/*.conf;

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }

Buka file /usr/lib/systemd/system/nginx.service dan tambahkan P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock dan OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf untuk mengonfigurasi komunikasi dengan layanan kunci SSL.

Konten yang ditambahkan:

Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

Contoh berikut menunjukkan lokasi dan konfigurasi lengkapnya:

[Unit]
Description=A high performance web server and a reverse proxy server
Documentation=man:nginx(8)
After=network.target nss-lookup.target

[Service]
Type=forking
PIDFile=/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
ExecStop=-/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid
TimeoutStopSec=5
KillMode=mixed

# Konfigurasikan komunikasi dengan layanan kunci SSL
Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

[Install]
WantedBy=multi-user.target

Catatan

Jika Anda tidak mengetahui jalur ke file layanan systemd Nginx, jalankan sudo find / -name "nginx.service" untuk menemukannya.

Jalankan perintah berikut untuk memuat ulang konfigurasi layanan systemd Nginx:
```
systemctl daemon-reload
```

Ubuntu 22.04

Catatan

Bagian ini menggunakan Nginx 1.18.0 sebagai contoh. Direktori instalasi default untuk Nginx yang diinstal menggunakan apt adalah /etc/nginx/. Jika Anda telah mengubah direktori ini atau menginstal Nginx dengan metode berbeda, sesuaikan jalurnya.

Buka file /etc/nginx/nginx.conf dan tambahkan ssl_engine pkcs11; setelah pid /run/nginx.pid; untuk menentukan mesin kripto SSL/TLS. Contoh berikut menunjukkan lokasi dan konfigurasi lengkapnya:
```
user www-data;
worker_processes auto;
pid /run/nginx.pid;

# Tentukan mesin kripto PKCS#11
ssl_engine pkcs11;

include /etc/nginx/modules-enabled/*.conf;
```

Buka file /etc/nginx/sites-enabled/default, buat blok server baru dalam file tersebut, dan tambahkan include "/etc/acm/ssl/nginx-acm.conf"; di dalamnya.

Konten untuk ditambahkan:
```
include "/etc/acm/ssl/nginx-acm.conf";
```

Contoh berikut menunjukkan lokasi dan konfigurasi lengkapnya:

server {
    listen 443 ssl;
    
    # Tentukan hostname atau Common Name (CN)
    server_name example.com;
    root /var/www/html;
    index index.html index.htm;
    access_log /var/log/nginx/access_6equj5.log;
    error_log /var/log/nginx/error_6equj5.log;
    ssl on;
    
    # Referensikan konfigurasi kunci SSL
    include "/etc/acm/ssl/nginx-acm.conf";

    location / {
      try_files $uri $uri/ =404;
    }
}

Catatan

Jika Anda tidak mengetahui jalur ke file layanan systemd Nginx, jalankan sudo find / -name "nginx.service" untuk menemukannya.

Konten yang ditambahkan:

Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

Contoh berikut menunjukkan lokasi dan konfigurasi lengkapnya:

[Unit]
Description=A high performance web server and a reverse proxy server
Documentation=man:nginx(8)
After=network.target nss-lookup.target

[Service]
Type=forking
PIDFile=/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
ExecStop=-/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid
TimeoutStopSec=5
KillMode=mixed

# Konfigurasikan komunikasi dengan layanan kunci SSL
Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

[Install]
WantedBy=multi-user.target

Jalankan perintah berikut untuk memuat ulang konfigurasi layanan systemd Nginx:
```
systemctl daemon-reload
```

Langkah 3: Terapkan sertifikat dari konsol

Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi kiri, pilih Deployment and Resource Management > Deployment to Cloud Servers.
Pada halaman Deployment to Cloud Servers, klik Create Task, lalu ikuti langkah-langkah berikut untuk menerapkan sertifikat SSL.
1. Pada halaman Configure Basic Information, masukkan Task Name dan klik Next.
2. Pada halaman Select Certificate, pilih Certificate Type dan Associated Certificates, lalu klik Next.
  Setiap tugas penerapan hanya mendukung satu sertifikat. Untuk menerapkan beberapa sertifikat, buat beberapa tugas penerapan.
3. Pada halaman Select Resource, atur All Types menjadi Quick Deployment, pilih instans ECS target, lalu klik Next.
  - Sistem secara otomatis mengidentifikasi dan mengambil semua instans ECS yang memenuhi syarat di bawah Akun Alibaba Cloud Anda saat ini. Jika tidak ada sumber daya yang ditampilkan, di area Total Resources di pojok kiri atas, klik Synchronize Cloud Resources. Waktu sinkronisasi sumber daya bergantung pada jumlah sumber daya produk cloud Anda saat ini. Harap tunggu dengan sabar.
  - Jika daftar berisi banyak instans, dari daftar drop-down All Types, pilih Quick Deployment untuk memfilter instans yang didukung dengan cepat.
4. Pada tab Quick Deployment, verifikasi bahwa persyaratan lingkungan penerapan sertifikat terpenuhi, centang kotak Confirm that the preceding operations are complete., lalu klik Continue to Deploy.
  - Pada kotak dialog prompt, klik OK.
    Peringatan
    Me-restart server web akan mengganggu layanan Anda. Kami menyarankan melakukan penerapan ini selama jam sepi.
    Untuk me-restart Nginx secara manual, Anda dapat menggunakan perintah berikut:
```
systemctl restart nginx.service
```
  - Setelah me-restart Nginx, Anda dapat menggunakan perintah curl untuk menguji koneksi SSL Nginx. Format perintahnya adalah curl -v https://<your_domain_name>.

Langkah 4: Periksa status tugas penerapan

Pada halaman Deployment to Cloud Servers, temukan tugas yang Anda buat. Jika Task Status adalah Deployed Successfully, artinya sertifikat telah berhasil diunggah ke server cloud.

Langkah 5: Verifikasi sertifikat SSL

Tugas penerapan yang berhasil tidak menjamin bahwa sertifikat aktif pada server web Anda. Anda tetap harus memverifikasi statusnya dengan mengakses domain Anda.

Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain. Ganti yourdomain dengan domain aktual Anda.
Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika Anda mengalami kesalahan akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).
Mulai dari versi 117, ikon di bilah alamat Chrome telah diganti dengan ikon baru. Klik ikon ini untuk melihat informasi gembok.

Penerapan manual (untuk pembaruan sertifikat)

Gunakan metode ini untuk memperbarui sertifikat yang sudah ada pada server cloud (ECS atau Simple Application Server). Metode ini bekerja dengan menimpa file sertifikat lama, menyederhanakan proses perpanjangan dan penggantian. Metode ini tidak untuk penerapan awal.

Prasyarat

Jenis server cloud: Hanya server Alibaba Cloud (Simple Application Server dan ECS).
Server web: Mendukung server web, seperti Nginx dan Apache, yang langsung menggunakan file sertifikat PEM atau CRT. IIS tidak didukung.
Izin server: Anda memerlukan akun root atau akun dengan hak istimewa sudo.

Langkah 1: Terapkan sertifikat SSL

Login ke Konsol Layanan Manajemen Sertifikat.
Di panel navigasi kiri, pilih Deployment and Resource Management > Deployment to Cloud Servers.

Pada halaman Deployment to Cloud Servers, klik Create Task.

Pada halaman Configure Basic Information, masukkan Task Name dan klik Next.
Pada halaman Select Certificate, pilih Certificate Type, pilih Associated Certificates, lalu klik Next.
Catatan
Sertifikat yang dikeluarkan oleh layanan Private CA disinkronkan ke tab Uploaded Certificates.
Pada halaman Select Resource, pilih Resources by Cloud Service, centang instans target, lalu klik Next. Saat pertama kali membuka halaman ini, sistem secara otomatis menemukan dan mencantumkan semua instans server cloud yang memenuhi syarat di bawah Akun Alibaba Cloud Anda (yaitu, server cloud dengan aplikasi web yang diterapkan).
Catatan
Jika tidak ada sumber daya yang ditampilkan, klik Synchronize Cloud Resources di area Total Resources kiri atas untuk menyinkronkannya secara manual. Waktu sinkronisasi bergantung pada jumlah sumber daya. Harap tunggu hingga proses selesai.

Pada wizard Deployment Configuration, konfigurasikan parameter seperti yang dijelaskan dalam tabel berikut lalu klik OK.

Penting

Certificate Path dan Private Key Path harus sesuai dengan jalur yang dikonfigurasi dalam aplikasi web Anda. Jika tidak, sertifikat tidak akan berlaku.

Gambar berikut menunjukkan contoh jalur file sertifikat Nginx pada server cloud sebagai referensi:

Parameter	Deskripsi	Contoh
Certificate Path	Jalur mutlak ke file sertifikat di server cloud.	Contoh Linux: /ssl/cert.pem Contoh Windows: c:\ssl\cert.pem
Private Key Path	Jalur mutlak tempat file kunci privat sertifikat disimpan di server cloud.	Contoh Linux: /ssl/cert.key Contoh Windows: c:\ssl\cert.key
Certificate Chain Path	Jalur mutlak tempat file rantai sertifikat disimpan di server cloud. Catatan Jika aplikasi web Anda sudah dikonfigurasi dengan file rantai sertifikat, masukkan jalur yang sesuai di sini.	Contoh Linux: /ssl/cert.cer Contoh Windows: c:\ssl\cert.cer
Reload Command	Jika disediakan, perintah ini dijalankan setelah penerapan, yang menerapkan sertifikat baru. Penting Jika aplikasi web gagal me-restart, buka server cloud yang sesuai untuk melakukan operasi secara manual.	Perintah untuk memuat ulang konfigurasi Nginx secara graceful adalah `sudo nginx -s reload`. Perintah untuk me-restart layanan Apache adalah `sudo systemctl restart httpd`.

Pada kotak dialog, klik OK.
- Jika perintah restart tidak dikonfigurasi, prompt akan ditampilkan. Setelah Anda mengklik OK, login ke server cloud yang sesuai dan me-restart layanan aplikasi web secara manual untuk memastikan sertifikat langsung berlaku.
- Jika perintah restart dikonfigurasi, prompt berikut akan ditampilkan. Setelah Anda mengonfirmasi risikonya, klik OK. Setelah tugas penerapan selesai, perintah restart dijalankan untuk me-restart server dan memastikan sertifikat langsung berlaku.

Langkah 2: Periksa status tugas penerapan

Pada halaman Deployment to Cloud Servers, temukan tugas yang Anda buat. Jika Task Status adalah Deployed, sertifikat telah berhasil diperbarui di server cloud.

Langkah 3: Verifikasi sertifikat SSL

Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain. Ganti yourdomain dengan domain aktual Anda.
Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika Anda mengalami kesalahan akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).
Mulai dari versi 117, ikon di bilah alamat Chrome telah diganti dengan ikon baru. Klik ikon ini untuk melihat informasi gembok.

Catatan

Jika Anda masih mengalami masalah, lihat FAQ untuk troubleshooting.

Kuota dan batasan

Biaya penerapan:
- Menerapkan sertifikat yang dikeluarkan secara resmi gratis dan tidak menghabiskan kuota penerapan Anda.
- Menerapkan sertifikat Self-uploaded menghabiskan kuota penerapan Anda. Silakan Beli Paket Penerapan sesuai kebutuhan. Untuk biaya spesifik, lihat halaman pembelian. Jika penerapan gagal, kuota penerapan yang sesuai akan dikembalikan.
Batas kuota:
Setiap tugas penerapan mendukung penerapan satu sertifikat ke satu instans server cloud. Untuk menerapkan sertifikat ke beberapa instans, buat beberapa tugas.

Going live

Risiko gangguan layanan: Kedua metode penerapan pada akhirnya mungkin memerlukan me-restart server web Anda (seperti Nginx atau Apache), yang akan menyebabkan gangguan layanan singkat. Kami sangat menyarankan melakukan operasi penerapan selama jam sepi.
Graceful reload: Jika server web Anda mendukung graceful reload (misalnya, Nginx), kami menyarankan menggunakan nginx -s reload atau systemctl reload nginx di bidang Restart command metode penerapan manual, bukan restart. Ini meminimalkan dampak pada koneksi yang ada.
Pemantauan dan peringatan: Setelah menerapkan sertifikat, kami menyarankan mengaktifkan pemantauan nama domain untuk domain Anda. Alibaba Cloud akan secara otomatis mendeteksi validitas sertifikat dan mengirimkan pengingat sebelum masa berlakunya habis, membantu Anda memperpanjangnya tepat waktu untuk menghindari gangguan layanan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan pemantauan nama domain publik.

FAQ

Sertifikat tidak aktif setelah penerapan

Alasan umum meliputi:

Port 443 tidak terbuka di security group atau firewall server.
Domain yang Anda akses tidak termasuk dalam Bound Domains sertifikat.
Task Status tugas penerapan abnormal. Buka halaman detail tugas dan klik View Failure Cause. Perbarui konfigurasi terkait berdasarkan informasi yang diberikan dan coba lagi.

Catatan

Untuk troubleshooting lebih lanjut, lihat Selesaikan masalah penerapan sertifikat berdasarkan pesan kesalahan browser dan Panduan troubleshooting penerapan sertifikat SSL.

Apa yang harus saya lakukan jika mendapat error "the cloud Assistant not install or run" selama penerapan?

Penyebab: Cloud Assistant tidak diinstal pada instans ECS, atau statusnya abnormal.

Solusi 1:
1. Buka Konsol ECS - ECS Cloud Assistant.
2. Temukan server target dan periksa status Cloud Assistant.
  1. Jika belum diinstal, Anda dapat mengklik Install untuk menginstalnya secara otomatis.
  2. Jika statusnya abnormal, lihat Troubleshoot status Cloud Assistant abnormal untuk solusinya.
3. Setelah status Cloud Assistant kembali normal, buat tugas penerapan server cloud lagi di Konsol Layanan Manajemen Sertifikat.
Solusi 2:
Lihat Instal sertifikat SSL pada server Nginx atau Tengine (Linux) untuk menginstal sertifikat secara manual pada server ECS.