Topik ini menjelaskan cara memilih metode penerapan sertifikat yang sesuai berdasarkan kebutuhan bisnis Anda agar dapat mengaktifkan akses aman HTTPS untuk situs web dan aplikasi Anda.
Cakupan
Penerapan Sertifikat SSL melibatkan dua langkah:
-
Terapkan Sertifikat SSL pada server (Wajib): Untuk mengaktifkan HTTPS pada situs web, API, atau aplikasi, Anda harus menerapkan Sertifikat SSL pada server.
-
Instal sertifikat root pada client (Opsional): Anda hanya perlu menginstal sertifikat root pada client jika perangkat client tidak dapat memverifikasi sertifikat tanda tangan sendiri, tidak mengenali otoritas sertifikat (CA), tidak memiliki sertifikat root yang diperlukan, atau sertifikat root telah kedaluwarsa. Client harus memiliki sertifikat root yang telah diinstal sebelumnya untuk memastikan komunikasi aman dan memverifikasi identitas server. Dalam kebanyakan kasus, sistem operasi dan browser sudah menyertakan sertifikat root utama.
Terapkan Sertifikat SSL pada server
Sebelum memulai
Sebelum menerapkan sertifikat, pastikan Anda memenuhi persyaratan berikut:
-
Status sertifikat: Anda memiliki Sertifikat SSL yang dikeluarkan oleh CA tepercaya, dan Certificate Status-nya adalah Issued. Untuk membeli dan mengajukan sertifikat, lihat Beli sertifikat komersial dan Ajukan permohonan ke CA.
Pencocokan Nama Domain: Pastikan sertifikat mencakup semua nama domain yang ingin Anda lindungi. Jika perlu menambahkan atau mengganti nama domain, Anda dapat membeli sertifikat berbayar atau menambahkan dan mengganti nama domain.
Nama domain eksak: Sertifikat nama domain eksak hanya berlaku untuk nama domain tertentu tersebut.
Sertifikat untuk
example.comhanya berlaku untukexample.com.Sertifikat untuk
www.example.comhanya berlaku untukwww.example.com.
Nama domain wildcard: Sertifikat nama domain wildcard hanya berlaku untuk subdomain tingkat pertama.
Sertifikat untuk
*.example.comberlaku untuk subdomain tingkat pertama sepertiwww.example.comdana.example.com.Sertifikat untuk
*.example.comtidak berlaku untuk domain rootexample.comatau subdomain multi-level sepertia.b.example.com.
CatatanUntuk mencocokkan subdomain multi-level, bidang Bound Domains harus mencantumkan nama domain spesifik (misalnya,
a.b.example.com) atau nama domain wildcard yang sesuai (misalnya,*.b.example.com).Resolusi DNS: Nama domain di-resolve ke Alamat IP publik server.
Konfirmasi lokasi penerapan sertifikat
Terapkan Sertifikat SSL pada setiap node jaringan yang menangani traffic HTTPS, termasuk server web (seperti Nginx, Apache, dan IIS), Application Load Balancer (ALB), Content Delivery Network (CDN), Web Application Firewall (WAF), API Gateway, dan lainnya. Penerapan sertifikat pada node-node ini memastikan enkripsi end-to-end dari client ke server, mencegah transmisi teks biasa pada tautan perantara mana pun.
Berdasarkan jalur traffic, penerapan sertifikat dibagi menjadi dua skenario berikut:
-
Traffic langsung ke server: Ketika traffic publik mengakses server web origin secara langsung, traffic tersebut tidak melewati node perantara apa pun.
-
Traffic melewati beberapa node jaringan: Ketika pengguna mengakses situs web melalui nama domain, traffic biasanya melewati beberapa node perantara seperti CDN dan ALB sebelum diteruskan ke server origin.
Traffic langsung ke server
Ketika traffic publik mengakses server web origin secara langsung, Anda hanya perlu menerapkan Sertifikat SSL pada server tersebut.
Traffic melewati beberapa node jaringan
Jika traffic melewati beberapa node perantara (seperti CDN dan WAF) sebelum mencapai server origin, setiap node yang menangani traffic HTTPS harus memiliki sertifikat yang diterapkan.
Topik ini menggunakan arsitektur "End user → CDN → WAF → ALB → server origin" sebagai contoh untuk menggambarkan strategi penerapan sertifikat dalam skenario multi-node. Terapkan sertifikat pada node yang sesuai dengan arsitektur jaringan aktual Anda.
Untuk setiap skenario, node penerapan sertifikat dan cakupan enkripsi transmisi adalah sebagai berikut:
|
Skenario |
Tautan terenkripsi (HTTPS) |
Tautan teks biasa (HTTP) |
Node yang memerlukan sertifikat |
Deskripsi |
|
Skenario 1 |
User ↔ CDN |
CDN → WAF → ALB → server origin |
CDN |
Hanya mengenkripsi tautan dari client ke CDN. Ini merupakan opsi paling hemat biaya tetapi meninggalkan traffic backend tanpa enkripsi. |
|
Skenario 2 |
User ↔ WAF |
WAF → ALB → server origin |
CDN, WAF |
Memperluas enkripsi hingga ke WAF, meningkatkan keamanan. |
|
Skenario 3 |
User ↔ ALB |
ALB → server origin |
CDN, WAF, ALB |
Hanya hop terakhir ke server origin yang tidak terenkripsi. Ini memberikan keamanan yang kuat. |
|
Skenario 4 |
User ↔ server origin |
Tidak ada |
CDN, WAF, ALB, server origin |
Enkripsi end-to-end untuk tingkat keamanan tertinggi. |
Pilih metode penerapan sertifikat
Jika Anda memerlukan bantuan dalam penerapan sertifikat, Anda dapat menghubungi account manager Anda untuk bantuan.
Sebelum memilih metode penerapan Sertifikat SSL, tentukan target penerapan Anda (server atau produk cloud) dan pilih sesuai aturan berikut:
-
Terapkan ke server: Berlaku untuk ECS Alibaba Cloud, Simple Application Server, server non-Alibaba Cloud, dan server yang dikelola sendiri.
-
Terapkan ke produk cloud: Berlaku untuk produk Alibaba Cloud seperti SLB, CDN, dan WAF (tidak termasuk ECS dan Simple Application Server), serta produk cloud seperti CDN, WAF, dan CLB pada platform pihak ketiga seperti Tencent Cloud, Huawei Cloud, dan AWS.
Terapkan ke server
Pilih metode yang sesuai di bawah ini untuk menerapkan sertifikat ke server Anda.
ECS Alibaba Cloud dan Simple Application Server
Pilih tutorial penerapan sertifikat berdasarkan perangkat lunak server web dan sistem operasi Anda. Untuk menentukan jenis server web Anda, lihat FAQ 4: Bagaimana cara mengetahui jenis server web saya?.
Terapkan secara otomatis dari Konsol
Anda dapat menerapkan sertifikat ke instans ECS terpercaya tertentu dengan satu klik, atau memperbarui secara otomatis ke sertifikat baru pada ECS atau Simple Application Server yang sudah memiliki sertifikat yang dikonfigurasi. Hal ini meningkatkan efisiensi penerapan dan mengurangi risiko konfigurasi. Untuk informasi lebih lanjut, lihat Terapkan Sertifikat SSL ke ECS dan Simple Application Server.
Terapkan dengan login ke server
|
Sistem operasi server |
Tutorial penerapan |
|
Linux |
Instal Sertifikat SSL pada server Nginx atau Tengine (Linux) |
|
Windows |
|
Server non-Alibaba Cloud
Pilih tutorial penerapan sertifikat berdasarkan perangkat lunak server web dan sistem operasi Anda. Untuk menentukan jenis server web Anda, lihat FAQ 4: Bagaimana cara mengetahui jenis server web saya?.
|
Sistem operasi server |
Tutorial penerapan |
|
Linux |
Instal Sertifikat SSL pada server Nginx atau Tengine (Linux) |
|
Windows |
|
Terapkan ke produk cloud
Alibaba Cloud
-
Terapkan Sertifikat SSL standar (RSA/ECC)
Terapkan dari Konsol Layanan Manajemen Sertifikat
Dalam skenario berikut, Anda dapat menggunakan fitur penerapan produk cloud di Konsol Layanan Manajemen Sertifikat untuk mendorong sertifikat ke produk terkait dengan satu klik, tanpa perlu mengunggahnya secara manual. Untuk informasi lebih lanjut, lihat Terapkan Sertifikat SSL ke layanan cloud.
Catatan-
Jika produk Anda tidak didukung oleh fitur "penerapan produk cloud", rujuk dokumentasi produk tersebut untuk instruksi penerapan. Produk yang mendukung dorongan satu klik tercantum dalam tabel di bawah ini.
-
"Perbarui sertifikat yang ada" dalam tabel di bawah mengacu pada skenario di mana sertifikat telah diterapkan pada produk cloud dan Anda perlu menggantinya.
Produk cloud
Skenario tugas penerapan
Skenario konfigurasi sertifikat
Container Service for Kubernetes (ACK)
Perbarui sertifikat yang ada
Perbarui sertifikat AlbConfig dan sertifikat Secret di klaster ACK managed dan dedicated
PentingJangan ubah Secret di ACK secara manual. Sistem akan membuat Secret baru secara otomatis.
Serverless App Engine - routing gateway
Perbarui sertifikat yang ada
Konfigurasikan HTTPS sebagai protokol forwarding untuk routing gateway (ALB dan CLB)
Function Compute (FC)
Perbarui sertifikat yang ada
Skenario fungsi HTTP
Microservices Engine - gateway cloud-native
Perbarui sertifikat yang ada
Skenario routing gateway cloud-native
API Gateway
Perbarui sertifikat yang ada
Akses API melalui HTTPS dengan nama domain
Global Accelerator (GA)
Perbarui sertifikat yang ada
Akselerasi akses nama domain HTTPS secara aman
-
Application Load Balancer (ALB)
-
Network Load Balancer (NLB)
Perbarui sertifikat yang ada
Forward permintaan melalui HTTPS menggunakan listener HTTPS (sertifikat server)
CatatanUntuk menerapkan sertifikat klien, lihat Enkripsi HTTPS end-to-end untuk transfer data.
Content Delivery Network (CDN)
Penerapan awal, Perbarui sertifikat yang ada
Percepatan aman HTTPS
Dynamic Route for CDN (DCDN)
Penerapan awal, Perbarui sertifikat yang ada
Percepatan aman HTTPS
Edge Security Acceleration (ESA)
Perbarui sertifikat yang ada
Percepatan aman HTTPS
Object Storage Service (OSS)
Perbarui sertifikat yang ada
Akses OSS melalui HTTPS
CatatanJika nama domain Anda menggunakan akselerasi CDN, ganti sertifikat di Konsol CDN.
Web Application Firewall (WAF)
Perbarui sertifikat yang ada
Skenario akses CNAME
Anti-DDoS Pro dan Anti-DDoS Premium
Perbarui sertifikat yang ada
Akses nama domain untuk Anti-DDoS Pro dan Anti-DDoS Premium
Platform for AI (PAI)
Perbarui sertifikat yang ada
Pelayanan model Elastic Algorithm Service (EAS): gunakan nama domain kustom untuk gateway khusus
Terapkan dari Konsol produk cloud
Temukan produk cloud yang sesuai dalam tabel di bawah ini, lalu ikuti dokumentasi pada kolom Referensi untuk membuka Konsol produk dan menyelesaikan penerapan sertifikat.
Produk cloud
Skenario konfigurasi sertifikat
Referensi
Container Service for Kubernetes (ACK)
Perbarui sertifikat AlbConfig dan sertifikat Secret di klaster ACK managed dan dedicated
PentingJangan ubah Secret di ACK secara manual. Sistem akan membuat Secret baru secara otomatis.
Serverless App Engine - routing gateway
Konfigurasikan HTTPS sebagai protokol forwarding untuk routing gateway (ALB dan CLB)
Function Compute (FC)
Skenario fungsi HTTP
Microservices Engine - gateway cloud-native
Skenario routing gateway cloud-native
API Gateway
Akses API melalui HTTPS dengan nama domain
Global Accelerator (GA)
Akselerasi akses nama domain HTTPS secara aman
-
Application Load Balancer (ALB)
-
Network Load Balancer (NLB)
Forward permintaan melalui HTTPS menggunakan listener HTTPS (sertifikat server)
CatatanUntuk menerapkan sertifikat klien, lihat Enkripsi HTTPS end-to-end untuk transfer data.
Content Delivery Network (CDN)
Percepatan aman HTTPS
Dynamic Route for CDN (DCDN)
Percepatan aman HTTPS
Edge Security Acceleration (ESA)
Percepatan aman HTTPS
Object Storage Service (OSS)
Akses OSS melalui HTTPS
CatatanJika nama domain Anda menggunakan akselerasi CDN, ganti sertifikat di Konsol CDN.
Web Application Firewall (WAF)
Skenario akses CNAME
-
WAF 2.0: Tambahkan nama domain
Anti-DDoS Pro dan Anti-DDoS Premium
Akses nama domain untuk Anti-DDoS Pro dan Anti-DDoS Premium
Platform for AI (PAI)
Pelayanan model Elastic Algorithm Service (EAS): gunakan nama domain kustom untuk gateway khusus
-
Tencent Cloud, Huawei Cloud, dan AWS
-
Terapkan dari Konsol Layanan Manajemen Sertifikat
Anda dapat menggunakan Konsol Layanan Manajemen Sertifikat Alibaba Cloud untuk menerapkan sertifikat ke platform cloud pihak ketiga berikut. Untuk informasi lebih lanjut, lihat Penerapan multi-cloud: Terapkan sertifikat ke cloud pihak ketiga. Platform dan layanan cloud yang didukung adalah sebagai berikut:
-
Tencent Cloud: Content Delivery Network (CDN), Web Application Firewall (WAF), Classic Load Balancer (CLB)
-
AWS: Amazon CloudFront (CDN), load balancer (ALB, NLB, dan CLB)
-
Huawei Cloud: Content Delivery Network (CDN), Elastic Load Balance (ELB)
-
-
Rujuk dokumentasi resmi penyedia cloud
Anda juga dapat merujuk dokumentasi resmi penyedia cloud berikut untuk penerapan sertifikat:
-
Tencent Cloud: Panduan Penerapan Sertifikat SSL
-
Huawei Cloud: Panduan Pengguna Manajemen Sertifikat SSL
-
Instal sertifikat root pada client
Untuk skenario bisnis seperti perangkat IoT, sistem embedded, sistem internal perusahaan, aplikasi offline, browser lama, dan client Java, sertifikat root CA umumnya tidak diinstal sebelumnya. Setelah menerapkan Sertifikat SSL, client mungkin tidak mempercayai sertifikat tersebut, sehingga Anda perlu mengunduh dan menginstal sertifikat root secara manual pada client. Untuk informasi lebih lanjut, lihat Unduh dan instal sertifikat root.
FAQ
FAQ 1: Bagaimana cara mengunduh sertifikat root?
Anda dapat merujuk Unduh dan instal sertifikat root untuk mengunduh sertifikat root merek sertifikat terkait.
FAQ 2: Apa yang harus dilakukan jika rantai sertifikat tidak lengkap atau sertifikat perantara hilang?
Jika sertifikat root atau sertifikat perantara client hilang atau kedaluwarsa, rujuk Pemecahan masalah rantai Sertifikat SSL yang tidak lengkap untuk mengunduh dan menginstal sertifikat root atau perantara yang hilang, lalu coba akses kembali.
FAQ 3: Apa yang harus dilakukan jika muncul error "Satu atau beberapa sertifikat perantara dalam rantai sertifikat hilang" saat menerapkan sertifikat?
Error ini dapat terjadi saat menerapkan Sertifikat SSL pada sistem server tertentu (seperti IIS pada Windows Server 2008 R2). Anda perlu menginstal sertifikat root atau perantara yang hilang pada server.
FAQ 4: Bagaimana cara mengetahui jenis server web saya?
Gunakan developer tools browser
-
Akses nama domain Anda di browser.
-
Tekan F12 untuk membuka developer tools dan periksa jenis server.

Gunakan perintah
-
Login ke server.
-
Jalankan perintah berikut di server untuk memeriksa jenis server web:
curl -I https://yourdomainCatatanyourdomainadalah parameter yang diperlukan. Ganti dengan nama domain aktual Anda, misalnya,curl -I https://www.aliyundoc.com. Parameter-I(huruf I kapital) berarti hanya mengambil informasi header respons.Berikut ini contoh output:
HTTP/1.1 200 OK Server: nginx/1.24.0 Date: Thu, 15 May 2026 10:00:00 GMT Content-Type: text/htmlNilai bidang
Servermenunjukkan jenis server web, yaitu Nginx dalam contoh ini.
Konsultasikan dengan engineer pengembang website
Jika Anda masih tidak dapat menentukan jenis server web, konsultasikan dengan engineer yang membangun website tersebut. Jika mengalami masalah lain, Anda dapat menghubungi account manager Anda untuk bantuan.