Pilih rencana penerapan sertifikat SSL - Certificate Management Service

Topik ini menjelaskan cara memilih rencana penerapan sertifikat yang sesuai dengan kebutuhan bisnis Anda untuk mengaktifkan akses HTTPS aman bagi website dan aplikasi Anda.

Terapkan sertifikat SSL pada server (Wajib): Untuk mengaktifkan HTTPS pada website, API, atau aplikasi, Anda harus menerapkan sertifikat SSL pada server.
Instal sertifikat root pada klien: Klien memerlukan sertifikat root yang telah diinstal sebelumnya untuk memastikan komunikasi aman dan memverifikasi identitas server. Sebagian besar sistem operasi dan browser klien telah memiliki sertifikat root yang diinstal sebelumnya. Anda hanya perlu menginstal sertifikat root pada klien jika mengakses sistem yang menggunakan sertifikat tanda tangan sendiri, perangkat klien tidak dapat mengenali otoritas sertifikasi, atau sertifikat root hilang atau kedaluwarsa.

Terapkan sertifikat SSL pada server

Cakupan

Sebelum memulai, pastikan kondisi berikut terpenuhi:

Status sertifikat: Anda memiliki sertifikat SSL yang dikeluarkan oleh otoritas sertifikasi (CA) tepercaya. Certificate Status adalah Issued. Untuk informasi lebih lanjut tentang pembelian dan permintaan sertifikat, lihat Beli sertifikat komersial dan Ajukan permintaan sertifikat ke CA.
Pencocokan nama domain: Pastikan sertifikat tersebut cocok dengan semua nama domain yang ingin Anda amankan. Untuk menambah atau mengubah nama domain, Anda dapat Membeli sertifikat komersial atau Menambahkan dan mengganti nama domain.
- Nama domain pencocokan eksak: Hanya berlaku untuk domain yang ditentukan.
  - example.com hanya melindungi example.com.
  - www.example.com hanya melindungi www.example.com.
- Nama domain wildcard: Hanya berlaku untuk subdomain tingkat pertama.
  - *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.
  - *.example.com tidak melindungi domain root example.com atau subdomain multi-level seperti a.b.example.com.
Catatan
Untuk mencocokkan subdomain multi-level, bidang Bound Domains harus berisi domain eksak, seperti a.b.example.com, atau domain wildcard yang sesuai, seperti *.b.example.com.
Resolusi nama domain: Rekaman DNS domain telah dikonfigurasi dan diresolusi ke alamat IP publik server.

Tentukan lokasi penerapan sertifikat

Saat memproses traffic HTTPS, Anda harus menerapkan sertifikat SSL pada semua node jaringan terkait. Node tersebut mencakup server web seperti Nginx, Apache, dan IIS, Application Load Balancer (ALB), Content Delivery Network (CDN), Web Application Firewall (WAF), dan API Gateway. Penerapan sertifikat SSL pada node-node ini menyediakan enkripsi end-to-end dari klien ke server, yang mencegah transmisi teks biasa melalui tautan perantara dan memastikan komunikasi aman.

Traffic langsung mencapai server: Saat pengguna mengakses website menggunakan alamat IP publik server, traffic langsung mencapai server tanpa melewati node perantara lainnya.
Traffic melewati beberapa node jaringan: Saat pengguna mengakses website menggunakan nama domain, traffic biasanya melewati beberapa node jaringan, seperti Content Delivery Network (CDN) dan Application Load Balancer (ALB), sebelum diteruskan ke server origin untuk diproses.

Traffic langsung mencapai server

Saat traffic Internet langsung mengakses server web origin tanpa proxy jaringan perantara apa pun, Anda hanya perlu menerapkan sertifikat SSL pada server web tersebut.

Traffic melewati beberapa node jaringan

Jika traffic melewati beberapa node perantara, seperti CDN dan WAF, sebelum mencapai server origin, Anda harus menerapkan sertifikat pada setiap node yang memproses traffic HTTPS.

Penting

Topik ini menggunakan arsitektur kompleks "User → CDN → WAF → Application Load Balancer (ALB) → Origin server" sebagai contoh. Arsitektur ini hanya digunakan untuk menunjukkan metode penerapan sertifikat dalam skenario multi-node. Anda harus menerapkan sertifikat pada node yang sesuai berdasarkan arsitektur jaringan aktual Anda.

Tabel berikut menjelaskan node penerapan sertifikat dan cakupan enkripsi transmisi dalam berbagai skenario.

Skenario	Tautan terenkripsi (HTTPS)	Tautan teks biasa (HTTP)	Node yang memerlukan sertifikat	Deskripsi
Skenario 1	User ↔ CDN	CDN → WAF → ALB → Origin server	CDN	Hanya mengenkripsi traffic dari klien ke CDN. Ini merupakan opsi paling hemat biaya, tetapi berisiko terjadi transmisi teks biasa pada jaringan pribadi.
Skenario 2	User ↔ WAF	WAF → ALB → Origin server	CDN, WAF	Cakupan enkripsi kini mencakup WAF untuk keamanan yang lebih baik.
Skenario 3	User ↔ ALB	ALB → Origin server	CDN, WAF, ALB	Hanya hop sebelum server origin yang menggunakan transmisi teks biasa. Ini memberikan keamanan tinggi.
Skenario 4	User ↔ Origin server	Tidak ada	CDN, WAF, ALB, origin server	Menerapkan enkripsi end-to-end untuk memberikan tingkat keamanan tertinggi.

Pilih rencana penerapan sertifikat

Catatan

Jika Anda memerlukan bantuan selama proses penerapan sertifikat, hubungi manajer akun Anda untuk bantuan.

Sebelum memilih rencana penerapan sertifikat SSL, Anda harus mengidentifikasi target penerapan (server atau produk cloud) dan memilih rencana berdasarkan aturan berikut:

Terapkan ke server: Berlaku untuk instance ECS Alibaba Cloud, instance Simple Application Server, server non-Alibaba Cloud, dan server yang dikelola sendiri.
Terapkan ke produk cloud: Berlaku untuk produk Alibaba Cloud seperti SLB, CDN, dan WAF (tidak termasuk ECS dan Simple Application Server), serta produk cloud di platform pihak ketiga seperti Tencent Cloud, Huawei Cloud, dan AWS, termasuk CDN, WAF, dan CLB.

Terapkan ke server

Pilih rencana yang sesuai untuk menerapkan sertifikat ke server Anda.

ECS Alibaba Cloud dan Simple Application Server

Pilih tutorial penerapan sertifikat berdasarkan server web dan sistem operasi Anda. Untuk informasi tentang cara menentukan jenis server web Anda, lihat Bagaimana cara mengetahui jenis server web saya.

Terapkan secara otomatis dari konsol

Anda dapat menerapkan sertifikat ke instance ECS tepercaya yang ditentukan dengan satu klik, atau memperbarui sertifikat secara otomatis pada instance ECS atau Simple Application Server yang sudah memiliki sertifikat yang dikonfigurasi. Metode ini meningkatkan efisiensi penerapan dan mengurangi risiko konfigurasi. Untuk informasi lebih lanjut, lihat Terapkan sertifikat SSL ke instance ECS atau Simple Application Server.

Penerapan login server

Sistem operasi server	Tutorial penerapan
Linux	Nginx atau Tengine (Linux)
	Instal sertifikat SSL pada server Tomcat (Linux)
	Apache (Linux)
	Jetty (Linux)
	JBoss (Linux)
	GlassFish (Linux)
	Instal sertifikat SSL di aplikasi Spring Boot (Linux)
	Instal sertifikat SSL di aplikasi Python Flask (Linux)
Windows	在IIS服务器安装SSL证书（Windows）
	Terapkan sertifikat SSL pada server Nginx (Windows)
	Apache (Windows)
	Tomcat (Windows)
	WebLogic (Windows)

Server non-Alibaba Cloud

Sistem operasi server	Tutorial Penyebaran
Linux	Nginx atau Tengine (Linux)
	Instal Sertifikat SSL pada server Tomcat (Linux)
	Apache (Linux)
	Jetty (Linux)
	JBoss (Linux)
	GlassFish (Linux)
	Instal Sertifikat SSL dalam aplikasi Spring Boot (Linux)
	Instal Sertifikat SSL dalam aplikasi Python Flask (Linux)
Windows	Instal Sertifikat SSL pada server IIS (Windows)
	Sebarkan Sertifikat SSL pada server Nginx (Windows)
	Apache (Windows)
	Tomcat (Windows)
	WebLogic (Windows)

Terapkan ke produk cloud

Alibaba Cloud

Terapkan sertifikat yang menggunakan algoritma yang diterima secara internasional (RSA/ECC)

Terapkan dari konsol Layanan Manajemen Sertifikat

Dalam skenario berikut, Anda dapat menggunakan fitur penerapan produk cloud di konsol Layanan Manajemen Sertifikat. Fitur ini memungkinkan Anda mendorong sertifikat ke produk cloud lain dengan satu klik dan menghilangkan kebutuhan untuk mengunggah sertifikat SSL secara manual. Untuk informasi lebih lanjut, lihat Terapkan sertifikat SSL ke produk cloud seperti SLB, CDN, dan WAF.

Catatan

Jika produk Anda tidak didukung oleh fitur Penerapan Produk Cloud, rujuk dokumentasi produk tersebut untuk penerapan.
Dalam tabel berikut, "Perbarui sertifikat yang ada" menunjukkan skenario di mana sertifikat telah diterapkan ke produk cloud dan perlu diganti.

Produk cloud	Skenario tugas penerapan	Skenario konfigurasi sertifikat
Container Service for Kubernetes (ACK)	Perbarui sertifikat yang ada	Klaster managed dan khusus ACK: Perbarui konfigurasi sertifikat AlbConfig, perbarui sertifikat Secret Penting Saat menerapkan ke Secret, jangan ubah secara manual di konsol ACK.
Serverless App Engine - Routing gerbang	Perbarui sertifikat yang ada	Routing gerbang dengan protokol penerusan HTTPS (ALB dan CLB)
Function Compute (FC)	Perbarui sertifikat yang ada	Fungsi yang dipicu HTTP
Microservices Engine - gateway cloud-native	Perbarui sertifikat yang ada	Routing gateway cloud-native
API Gateway	Perbarui sertifikat yang ada	Akses API melalui nama domain HTTPS
Global Accelerator (GA)	Perbarui sertifikat yang ada	Nama domain HTTPS dengan akselerasi aman
Application Load Balancer (ALB) Network Load Balancer (NLB)	Perbarui sertifikat yang ada	Pendengar HTTPS meneruskan permintaan dari skenario protokol HTTPS (sertifikat server) Catatan Untuk menerapkan sertifikat klien, lihat Konfigurasikan HTTPS end-to-end untuk mengenkripsi komunikasi.
Application Load Balancer (ALB) Network Load Balancer (NLB)	Perbarui sertifikat yang ada
Content Delivery Network (CDN)	Penerapan awal Perbarui sertifikat yang ada	Percepatan aman HTTPS
Dynamic Content Delivery Network (DCDN)	Penerapan awal Perbarui sertifikat yang ada	Percepatan aman HTTPS
Edge Security Acceleration (ESA)	Perbarui sertifikat yang ada	Percepatan aman HTTPS
Object Storage Service (OSS)	Perbarui sertifikat yang ada	Mengakses layanan OSS melalui HTTPS Catatan Jika nama domain akselerasi CDN terikat, Anda harus mengganti sertifikat di konsol CDN.
Web Application Firewall (WAF)	Perbarui sertifikat yang ada	Onboarding melalui modus proxy
Anti-DDoS Proxy	Perbarui sertifikat yang ada	Akses nama domain Anti-DDoS Proxy
Platform for AI (PAI)	Perbarui sertifikat yang ada	Elastic Algorithm Service (EAS) untuk layanan model online: gateway khusus menggunakan nama domain kustom

Terapkan dari konsol produk cloud

Temukan produk cloud yang sesuai dalam tabel berikut, buka konsol produk tersebut, lalu ikuti petunjuk dalam dokumen yang tercantum di kolom Referensi untuk menyelesaikan penerapan sertifikat.

Produk cloud	Skenario konfigurasi sertifikat	Referensi
Container Service for Kubernetes (ACK)	Klaster managed dan khusus ACK: Perbarui konfigurasi sertifikat AlbConfig, Perbarui sertifikat Secret Penting Saat menerapkan ke Secret, jangan ubah secara manual di Container Service for Kubernetes (ACK).	Nginx Ingress ALB Ingress-Konfigurasikan sertifikat HTTPS untuk mengenkripsi komunikasi MSE Ingress-Konfigurasikan sertifikat HTTPS
Serverless App Engine - Routing gerbang	Routing gerbang: Konfigurasi protokol penerusan HTTPS (ALB dan CLB)	Konfigurasikan routing gerbang untuk aplikasi (ALB) Konfigurasikan routing gerbang untuk aplikasi (CLB)
Function Compute (FC)	Skenario fungsi HTTP	Konfigurasikan nama domain kustom
Microservices Engine - gateway cloud-native	Skenario routing gateway cloud-native	Buat nama domain
API Gateway	Mengakses API melalui HTTPS menggunakan nama domain	Gunakan nama domain untuk mengakses API melalui HTTPS
Global Accelerator (GA)	Mempercepat akses aman ke nama domain HTTPS	Gunakan percepatan aman HTTPS untuk mengakses website HTTP Gunakan satu instansiasi Global Accelerator untuk mempercepat akses ke beberapa nama domain HTTPS
Application Load Balancer (ALB) Network Load Balancer (NLB)	Menggunakan pendengar HTTPS untuk meneruskan permintaan melalui protokol HTTPS (sertifikat server) Catatan Untuk menerapkan sertifikat klien, lihat Konfigurasikan HTTPS end-to-end untuk mengenkripsi komunikasi.	ALB: Tambahkan pendengar HTTPS NLB: Tambahkan pendengar TCP/SSL
Application Load Balancer (ALB) Network Load Balancer (NLB)
Content Delivery Network (CDN)	Skenario percepatan aman HTTPS	Konfigurasikan sertifikat HTTPS
Dynamic Content Delivery Network (DCDN)	Skenario percepatan aman HTTPS	Konfigurasikan sertifikat HTTPS
Edge Security Acceleration (ESA)	Skenario percepatan aman HTTPS	Konfigurasikan sertifikat Edge
Object Storage Service	Mengakses OSS melalui HTTPS Catatan Jika nama domain akselerasi CDN terikat, Anda harus mengganti sertifikat di konsol CDN.	Akses OSS melalui HTTPS
Web Application Firewall (WAF)	Skenario akses CNAME	WAF 3.0: Tambahkan nama domain dan konfigurasikan sertifikat HTTPS WAF 2.0: Tambahkan nama domain dan konfigurasikan sertifikat HTTPS
Anti-DDoS Pro dan Anti-DDoS Premium	Konfigurasi Situs Web untuk Anti-DDoS Pro dan Anti-DDoS Premium	Ganti sertifikat server HTTPS
Platform for AI (PAI)	Elastic Algorithm Service (EAS): Gunakan nama domain kustom dengan gateway khusus	Gunakan nama domain kustom untuk gateway khusus

Tencent Cloud, Huawei Cloud, dan AWS

Terapkan dari konsol Layanan Manajemen Sertifikat
Gunakan konsol Layanan Manajemen Sertifikat Alibaba Cloud untuk menerapkan sertifikat ke platform cloud pihak ketiga. Untuk informasi lebih lanjut, lihat Terapkan sertifikat ke platform cloud pihak ketiga. Platform dan layanan cloud berikut didukung:
- Tencent Cloud: Content Delivery Network (CDN), Web Application Firewall (WAF), dan Classic Load Balancer (CLB)
- AWS: Amazon CloudFront (CDN) dan Load Balancer (ALB, NLB, dan CLB)
- Huawei Cloud: Content Delivery Network (CDN) dan Elastic Load Balancing (ELB)
Terapkan dengan merujuk dokumentasi resmi vendor cloud
Rujuk dokumentasi resmi vendor cloud terkait untuk menerapkan sertifikat.

Instal sertifikat root pada klien

Beberapa klien, seperti perangkat IoT, sistem embedded, sistem internal perusahaan, aplikasi offline, browser lama, dan klien Java, tidak memiliki sertifikat root CA yang diinstal sebelumnya. Setelah Anda menerapkan sertifikat SSL, klien-klien ini mungkin tidak mempercayai sertifikat tersebut. Untuk mengatasi masalah ini, Anda harus mengunduh dan menginstal sertifikat root secara manual pada klien. Untuk informasi lebih lanjut, lihat Unduh dan instal sertifikat root.

FAQ

Bagaimana cara mengunduh sertifikat root?

Rujuk Unduh dan instal sertifikat root untuk mengunduh sertifikat root dari merek sertifikat yang sesuai.

Apa yang harus saya lakukan jika rantai sertifikat tidak lengkap atau sertifikat perantara hilang?

Jika sertifikat root atau perantara pada klien hilang atau kedaluwarsa, rujuk Atasi rantai sertifikat SSL yang tidak lengkap. Anda dapat mengunduh dan menginstal sertifikat yang hilang, lalu mencoba mengakses website lagi.

Mengapa saya menerima error "Satu atau beberapa sertifikat perantara dalam rantai sertifikat hilang" saat penerapan sertifikat?

Error ini dapat terjadi saat Anda menerapkan sertifikat SSL pada sistem server tertentu, seperti Internet Information Services (IIS) pada Windows Server 2008 R2. Untuk mengatasi masalah ini, Anda harus menginstal sertifikat root atau perantara yang hilang pada server.

Bagaimana cara mengetahui jenis server web saya?

Gunakan alat pengembang browser

Gunakan browser untuk mengakses nama domain Anda.
Tekan F12 untuk membuka developer tools dan temukan jenis server, seperti yang ditunjukkan pada gambar berikut.

Lihat menggunakan perintah

Login ke server Anda.
Pada server Anda, jalankan perintah berikut untuk mengetahui jenis server web.
```
curl -i yourdomain
```
Catatan
yourdomain adalah parameter yang diperlukan. Ganti dengan nama domain website aktual Anda. Misalnya, curl -i www.aliyundoc.com.
Gambar berikut menunjukkan contoh output perintah.

Konsultasikan dengan engineer pembuat website

Jika Anda masih tidak dapat menentukan jenis server web, hubungi developer web Anda. Jika Anda mengalami masalah lain, hubungi manajer akun Anda untuk bantuan.