All Products
Search
Document Center

Certificate Management Service:Pilih metode penerapan sertifikat

Last Updated:May 20, 2026

Topik ini menjelaskan cara memilih metode penerapan sertifikat yang sesuai berdasarkan kebutuhan bisnis Anda agar dapat mengaktifkan akses aman HTTPS untuk situs web dan aplikasi Anda.

Cakupan

Penerapan Sertifikat SSL melibatkan dua langkah:

  • Terapkan Sertifikat SSL pada server (Wajib): Untuk mengaktifkan HTTPS pada situs web, API, atau aplikasi, Anda harus menerapkan Sertifikat SSL pada server.

  • Instal sertifikat root pada client (Opsional): Anda hanya perlu menginstal sertifikat root pada client jika perangkat client tidak dapat memverifikasi sertifikat tanda tangan sendiri, tidak mengenali otoritas sertifikat (CA), tidak memiliki sertifikat root yang diperlukan, atau sertifikat root telah kedaluwarsa. Client harus memiliki sertifikat root yang telah diinstal sebelumnya untuk memastikan komunikasi aman dan memverifikasi identitas server. Dalam kebanyakan kasus, sistem operasi dan browser sudah menyertakan sertifikat root utama.

Terapkan Sertifikat SSL pada server

Sebelum memulai

Sebelum menerapkan sertifikat, pastikan Anda memenuhi persyaratan berikut:

  • Status sertifikat: Anda memiliki Sertifikat SSL yang dikeluarkan oleh CA tepercaya, dan Certificate Status-nya adalah Issued. Untuk membeli dan mengajukan sertifikat, lihat Beli sertifikat komersial dan Ajukan permohonan ke CA.

  • Pencocokan Nama Domain: Pastikan sertifikat mencakup semua nama domain yang ingin Anda lindungi. Jika perlu menambahkan atau mengganti nama domain, Anda dapat membeli sertifikat berbayar atau menambahkan dan mengganti nama domain.

    • Nama domain eksak: Sertifikat nama domain eksak hanya berlaku untuk nama domain tertentu tersebut.

      • Sertifikat untuk example.com hanya berlaku untuk example.com.

      • Sertifikat untuk www.example.com hanya berlaku untuk www.example.com.

    • Nama domain wildcard: Sertifikat nama domain wildcard hanya berlaku untuk subdomain tingkat pertama.

      • Sertifikat untuk *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.

      • Sertifikat untuk *.example.com tidak berlaku untuk domain root example.com atau subdomain multi-level seperti a.b.example.com.

    Catatan

    Untuk mencocokkan subdomain multi-level, bidang Bound Domains harus mencantumkan nama domain spesifik (misalnya, a.b.example.com) atau nama domain wildcard yang sesuai (misalnya, *.b.example.com).

  • Resolusi DNS: Nama domain di-resolve ke Alamat IP publik server.

Konfirmasi lokasi penerapan sertifikat

Terapkan Sertifikat SSL pada setiap node jaringan yang menangani traffic HTTPS, termasuk server web (seperti Nginx, Apache, dan IIS), Application Load Balancer (ALB), Content Delivery Network (CDN), Web Application Firewall (WAF), API Gateway, dan lainnya. Penerapan sertifikat pada node-node ini memastikan enkripsi end-to-end dari client ke server, mencegah transmisi teks biasa pada tautan perantara mana pun.

Berdasarkan jalur traffic, penerapan sertifikat dibagi menjadi dua skenario berikut:

  • Traffic langsung ke server: Ketika traffic publik mengakses server web origin secara langsung, traffic tersebut tidak melewati node perantara apa pun.

  • Traffic melewati beberapa node jaringan: Ketika pengguna mengakses situs web melalui nama domain, traffic biasanya melewati beberapa node perantara seperti CDN dan ALB sebelum diteruskan ke server origin.

Traffic langsung ke server

Ketika traffic publik mengakses server web origin secara langsung, Anda hanya perlu menerapkan Sertifikat SSL pada server tersebut.

Traffic melewati beberapa node jaringan

Jika traffic melewati beberapa node perantara (seperti CDN dan WAF) sebelum mencapai server origin, setiap node yang menangani traffic HTTPS harus memiliki sertifikat yang diterapkan.

Penting

Topik ini menggunakan arsitektur "End user → CDN → WAF → ALB → server origin" sebagai contoh untuk menggambarkan strategi penerapan sertifikat dalam skenario multi-node. Terapkan sertifikat pada node yang sesuai dengan arsitektur jaringan aktual Anda.

Untuk setiap skenario, node penerapan sertifikat dan cakupan enkripsi transmisi adalah sebagai berikut:

Skenario

Tautan terenkripsi (HTTPS)

Tautan teks biasa (HTTP)

Node yang memerlukan sertifikat

Deskripsi

Skenario 1

User ↔ CDN

CDN → WAF → ALB → server origin

CDN

Hanya mengenkripsi tautan dari client ke CDN. Ini merupakan opsi paling hemat biaya tetapi meninggalkan traffic backend tanpa enkripsi.

Skenario 2

User ↔ WAF

WAF → ALB → server origin

CDN, WAF

Memperluas enkripsi hingga ke WAF, meningkatkan keamanan.

Skenario 3

User ↔ ALB

ALB → server origin

CDN, WAF, ALB

Hanya hop terakhir ke server origin yang tidak terenkripsi. Ini memberikan keamanan yang kuat.

Skenario 4

User ↔ server origin

Tidak ada

CDN, WAF, ALB, server origin

Enkripsi end-to-end untuk tingkat keamanan tertinggi.

Pilih metode penerapan sertifikat

Catatan

Jika Anda memerlukan bantuan dalam penerapan sertifikat, Anda dapat menghubungi account manager Anda untuk bantuan.

Sebelum memilih metode penerapan Sertifikat SSL, tentukan target penerapan Anda (server atau produk cloud) dan pilih sesuai aturan berikut:

  • Terapkan ke server: Berlaku untuk ECS Alibaba Cloud, Simple Application Server, server non-Alibaba Cloud, dan server yang dikelola sendiri.

  • Terapkan ke produk cloud: Berlaku untuk produk Alibaba Cloud seperti SLB, CDN, dan WAF (tidak termasuk ECS dan Simple Application Server), serta produk cloud seperti CDN, WAF, dan CLB pada platform pihak ketiga seperti Tencent Cloud, Huawei Cloud, dan AWS.

Terapkan ke server

Pilih metode yang sesuai di bawah ini untuk menerapkan sertifikat ke server Anda.

ECS Alibaba Cloud dan Simple Application Server

Pilih tutorial penerapan sertifikat berdasarkan perangkat lunak server web dan sistem operasi Anda. Untuk menentukan jenis server web Anda, lihat FAQ 4: Bagaimana cara mengetahui jenis server web saya?.

Terapkan secara otomatis dari Konsol

Anda dapat menerapkan sertifikat ke instans ECS terpercaya tertentu dengan satu klik, atau memperbarui secara otomatis ke sertifikat baru pada ECS atau Simple Application Server yang sudah memiliki sertifikat yang dikonfigurasi. Hal ini meningkatkan efisiensi penerapan dan mengurangi risiko konfigurasi. Untuk informasi lebih lanjut, lihat Terapkan Sertifikat SSL ke ECS dan Simple Application Server.

Terapkan dengan login ke server

Sistem operasi server

Tutorial penerapan

Linux

Instal Sertifikat SSL pada server Nginx atau Tengine (Linux)

Instal Sertifikat SSL pada server Tomcat (Linux)

Instal Sertifikat SSL pada Apache (Linux)

Instal Sertifikat SSL pada Jetty (Linux)

JBoss (Linux)

GlassFish (Linux)

Instal Sertifikat SSL pada aplikasi Spring Boot (Linux)

Instal Sertifikat SSL pada Python Flask (Linux)

Windows

Instal Sertifikat SSL pada server IIS (Windows)

Nginx (Windows)

Apache (Windows)

Tomcat (Windows)

WebLogic (Windows)

Server non-Alibaba Cloud

Pilih tutorial penerapan sertifikat berdasarkan perangkat lunak server web dan sistem operasi Anda. Untuk menentukan jenis server web Anda, lihat FAQ 4: Bagaimana cara mengetahui jenis server web saya?.

Sistem operasi server

Tutorial penerapan

Linux

Instal Sertifikat SSL pada server Nginx atau Tengine (Linux)

Instal Sertifikat SSL pada server Tomcat (Linux)

Instal Sertifikat SSL pada Apache (Linux)

Instal Sertifikat SSL pada Jetty (Linux)

JBoss (Linux)

GlassFish (Linux)

Instal Sertifikat SSL pada aplikasi Spring Boot (Linux)

Instal Sertifikat SSL pada Python Flask (Linux)

Windows

Instal Sertifikat SSL pada server IIS (Windows)

Nginx (Windows)

Apache (Windows)

Tomcat (Windows)

WebLogic (Windows)

Terapkan ke produk cloud

Alibaba Cloud

  • Terapkan Sertifikat SSL standar (RSA/ECC)

    Terapkan dari Konsol Layanan Manajemen Sertifikat

    Dalam skenario berikut, Anda dapat menggunakan fitur penerapan produk cloud di Konsol Layanan Manajemen Sertifikat untuk mendorong sertifikat ke produk terkait dengan satu klik, tanpa perlu mengunggahnya secara manual. Untuk informasi lebih lanjut, lihat Terapkan Sertifikat SSL ke layanan cloud.

    Catatan
    • Jika produk Anda tidak didukung oleh fitur "penerapan produk cloud", rujuk dokumentasi produk tersebut untuk instruksi penerapan. Produk yang mendukung dorongan satu klik tercantum dalam tabel di bawah ini.

    • "Perbarui sertifikat yang ada" dalam tabel di bawah mengacu pada skenario di mana sertifikat telah diterapkan pada produk cloud dan Anda perlu menggantinya.

    Produk cloud

    Skenario tugas penerapan

    Skenario konfigurasi sertifikat

    Container Service for Kubernetes (ACK)

    Perbarui sertifikat yang ada

    Perbarui sertifikat AlbConfig dan sertifikat Secret di klaster ACK managed dan dedicated

    Penting

    Jangan ubah Secret di ACK secara manual. Sistem akan membuat Secret baru secara otomatis.

    Serverless App Engine - routing gateway

    Perbarui sertifikat yang ada

    Konfigurasikan HTTPS sebagai protokol forwarding untuk routing gateway (ALB dan CLB)

    Function Compute (FC)

    Perbarui sertifikat yang ada

    Skenario fungsi HTTP

    Microservices Engine - gateway cloud-native

    Perbarui sertifikat yang ada

    Skenario routing gateway cloud-native

    API Gateway

    Perbarui sertifikat yang ada

    Akses API melalui HTTPS dengan nama domain

    Global Accelerator (GA)

    Perbarui sertifikat yang ada

    Akselerasi akses nama domain HTTPS secara aman

    • Application Load Balancer (ALB)

    • Network Load Balancer (NLB)

    Perbarui sertifikat yang ada

    Forward permintaan melalui HTTPS menggunakan listener HTTPS (sertifikat server)

    Catatan

    Untuk menerapkan sertifikat klien, lihat Enkripsi HTTPS end-to-end untuk transfer data.

    Content Delivery Network (CDN)

    Penerapan awal, Perbarui sertifikat yang ada

    Percepatan aman HTTPS

    Dynamic Route for CDN (DCDN)

    Penerapan awal, Perbarui sertifikat yang ada

    Percepatan aman HTTPS

    Edge Security Acceleration (ESA)

    Perbarui sertifikat yang ada

    Percepatan aman HTTPS

    Object Storage Service (OSS)

    Perbarui sertifikat yang ada

    Akses OSS melalui HTTPS

    Catatan

    Jika nama domain Anda menggunakan akselerasi CDN, ganti sertifikat di Konsol CDN.

    Web Application Firewall (WAF)

    Perbarui sertifikat yang ada

    Skenario akses CNAME

    Anti-DDoS Pro dan Anti-DDoS Premium

    Perbarui sertifikat yang ada

    Akses nama domain untuk Anti-DDoS Pro dan Anti-DDoS Premium

    Platform for AI (PAI)

    Perbarui sertifikat yang ada

    Pelayanan model Elastic Algorithm Service (EAS): gunakan nama domain kustom untuk gateway khusus

    Terapkan dari Konsol produk cloud

    Temukan produk cloud yang sesuai dalam tabel di bawah ini, lalu ikuti dokumentasi pada kolom Referensi untuk membuka Konsol produk dan menyelesaikan penerapan sertifikat.

    Produk cloud

    Skenario konfigurasi sertifikat

    Referensi

    Container Service for Kubernetes (ACK)

    Perbarui sertifikat AlbConfig dan sertifikat Secret di klaster ACK managed dan dedicated

    Penting

    Jangan ubah Secret di ACK secara manual. Sistem akan membuat Secret baru secara otomatis.

    Serverless App Engine - routing gateway

    Konfigurasikan HTTPS sebagai protokol forwarding untuk routing gateway (ALB dan CLB)

    Function Compute (FC)

    Skenario fungsi HTTP

    Konfigurasikan nama domain kustom

    Microservices Engine - gateway cloud-native

    Skenario routing gateway cloud-native

    Buat nama domain

    API Gateway

    Akses API melalui HTTPS dengan nama domain

    Panggil API melalui nama domain HTTPS

    Global Accelerator (GA)

    Akselerasi akses nama domain HTTPS secara aman

    • Application Load Balancer (ALB)

    • Network Load Balancer (NLB)

    Forward permintaan melalui HTTPS menggunakan listener HTTPS (sertifikat server)

    Catatan

    Untuk menerapkan sertifikat klien, lihat Enkripsi HTTPS end-to-end untuk transfer data.

    Content Delivery Network (CDN)

    Percepatan aman HTTPS

    Konfigurasikan sertifikat HTTPS

    Dynamic Route for CDN (DCDN)

    Percepatan aman HTTPS

    Konfigurasikan sertifikat HTTPS

    Edge Security Acceleration (ESA)

    Percepatan aman HTTPS

    Konfigurasikan sertifikat edge

    Object Storage Service (OSS)

    Akses OSS melalui HTTPS

    Catatan

    Jika nama domain Anda menggunakan akselerasi CDN, ganti sertifikat di Konsol CDN.

    Akses OSS melalui HTTPS

    Web Application Firewall (WAF)

    Skenario akses CNAME

    Anti-DDoS Pro dan Anti-DDoS Premium

    Akses nama domain untuk Anti-DDoS Pro dan Anti-DDoS Premium

    Perbarui sertifikat HTTPS

    Platform for AI (PAI)

    Pelayanan model Elastic Algorithm Service (EAS): gunakan nama domain kustom untuk gateway khusus

    Gunakan gateway khusus

Tencent Cloud, Huawei Cloud, dan AWS

  • Terapkan dari Konsol Layanan Manajemen Sertifikat

    Anda dapat menggunakan Konsol Layanan Manajemen Sertifikat Alibaba Cloud untuk menerapkan sertifikat ke platform cloud pihak ketiga berikut. Untuk informasi lebih lanjut, lihat Penerapan multi-cloud: Terapkan sertifikat ke cloud pihak ketiga. Platform dan layanan cloud yang didukung adalah sebagai berikut:

    • Tencent Cloud: Content Delivery Network (CDN), Web Application Firewall (WAF), Classic Load Balancer (CLB)

    • AWS: Amazon CloudFront (CDN), load balancer (ALB, NLB, dan CLB)

    • Huawei Cloud: Content Delivery Network (CDN), Elastic Load Balance (ELB)

  • Rujuk dokumentasi resmi penyedia cloud

    Anda juga dapat merujuk dokumentasi resmi penyedia cloud berikut untuk penerapan sertifikat:

Instal sertifikat root pada client

Untuk skenario bisnis seperti perangkat IoT, sistem embedded, sistem internal perusahaan, aplikasi offline, browser lama, dan client Java, sertifikat root CA umumnya tidak diinstal sebelumnya. Setelah menerapkan Sertifikat SSL, client mungkin tidak mempercayai sertifikat tersebut, sehingga Anda perlu mengunduh dan menginstal sertifikat root secara manual pada client. Untuk informasi lebih lanjut, lihat Unduh dan instal sertifikat root.

FAQ

FAQ 1: Bagaimana cara mengunduh sertifikat root?

Anda dapat merujuk Unduh dan instal sertifikat root untuk mengunduh sertifikat root merek sertifikat terkait.

FAQ 2: Apa yang harus dilakukan jika rantai sertifikat tidak lengkap atau sertifikat perantara hilang?

Jika sertifikat root atau sertifikat perantara client hilang atau kedaluwarsa, rujuk Pemecahan masalah rantai Sertifikat SSL yang tidak lengkap untuk mengunduh dan menginstal sertifikat root atau perantara yang hilang, lalu coba akses kembali.

FAQ 3: Apa yang harus dilakukan jika muncul error "Satu atau beberapa sertifikat perantara dalam rantai sertifikat hilang" saat menerapkan sertifikat?

Error ini dapat terjadi saat menerapkan Sertifikat SSL pada sistem server tertentu (seperti IIS pada Windows Server 2008 R2). Anda perlu menginstal sertifikat root atau perantara yang hilang pada server.

FAQ 4: Bagaimana cara mengetahui jenis server web saya?

Gunakan developer tools browser

  1. Akses nama domain Anda di browser.

  2. Tekan F12 untuk membuka developer tools dan periksa jenis server.

    image.png

Gunakan perintah

  1. Login ke server.

  2. Jalankan perintah berikut di server untuk memeriksa jenis server web:

    curl -I https://yourdomain
    Catatan

    yourdomain adalah parameter yang diperlukan. Ganti dengan nama domain aktual Anda, misalnya, curl -I https://www.aliyundoc.com. Parameter -I (huruf I kapital) berarti hanya mengambil informasi header respons.

    Berikut ini contoh output:

    HTTP/1.1 200 OK
    Server: nginx/1.24.0
    Date: Thu, 15 May 2026 10:00:00 GMT
    Content-Type: text/html

    Nilai bidang Server menunjukkan jenis server web, yaitu Nginx dalam contoh ini.

    image

Konsultasikan dengan engineer pengembang website

Jika Anda masih tidak dapat menentukan jenis server web, konsultasikan dengan engineer yang membangun website tersebut. Jika mengalami masalah lain, Anda dapat menghubungi account manager Anda untuk bantuan.