All Products
Search

This Product

    Certificate Management Service:Mengapa penerapan Sertifikat SSL saya gagal?

    Document Center

    Certificate Management Service:Mengapa penerapan Sertifikat SSL saya gagal?

    Last Updated:May 30, 2026

    Jika Sertifikat SSL yang Anda terapkan secara manual tidak berfungsi atau browser menampilkan peringatan keamanan, lakukan pemeriksaan di bawah ini untuk mengidentifikasi dan memperbaiki masalah tersebut.

    Daftar periksa cepat

    Tinjau daftar berikut sebelum memulai langkah-langkah mendetail. Sebagian besar kegagalan penerapan disebabkan oleh salah satu hal berikut:

    • Port 443 terbuka di firewall atau grup keamanan server Anda

    • Jalur file dan nama sertifikat dalam konfigurasi server web sesuai dengan lokasi aktual di disk

    • Server web telah direstart setelah perubahan konfigurasi

    • Sertifikat belum kedaluwarsa dan statusnya Issued

    • Bound Domains pada sertifikat sesuai dengan domain yang Anda layani

    • Sertifikat dan kunci privat dihasilkan bersama (pasangan kunci yang sesuai)

    • Sertifikat dalam format X.509, dikodekan PEM (.crt atau .pem)

    • Rantai sertifikat lengkap (sertifikat server + sertifikat perantara + sertifikat root)

    • Direktori file sertifikat memiliki izin baca untuk proses server web

    • DNS mengarah ke alamat IP yang benar

    1. Periksa apakah port 443 terbuka

    Lalu lintas HTTPS menggunakan port 443. Jika port ini diblokir, browser tidak dapat membuat koneksi aman.

    Jika Anda menggunakan Instance ECS Alibaba Cloud, periksa aturan grup keamanan:

    1. Buka halaman Security Groups Konsol ECS.

    2. Verifikasi bahwa port 443 mengizinkan inbound traffic.

    Untuk detail tentang pengelolaan aturan grup keamanan, lihat Manage security groups.

    image

    Jika Anda menggunakan Web Application Firewall (WAF), verifikasi bahwa WAF tidak memblokir akses eksternal ke port 443:

    1. Login ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instance WAF.

    2. Pada panel navigasi kiri, klik Onboarding.

    3. Pada tab CNAME Record, pastikan akses eksternal ke port 443 diizinkan.

    image

    2. Periksa konfigurasi server web

    Jalur yang salah atau lupa merestart layanan merupakan penyebab paling umum dari kegagalan penerapan.

    • Verifikasi bahwa jalur file sertifikat dan nama dalam file konfigurasi sesuai dengan lokasi aktual di disk. Contoh NGINX berikut menunjukkan bidang yang relevan:

      server {
    # Port 443 adalah port default untuk HTTPS
    listen 443 ssl;
    server_name example.com;

    # Ganti jalur ini dengan jalur sertifikat dan kunci privat Anda yang sebenarnya
    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;

    # Konfigurasi lainnya...
}

    • Pastikan file konfigurasi telah disimpan setelah Anda mengeditnya.

    • Restart server web agar perubahan diterapkan:

      • NGINX: ``bash sudo nginx -s reload ``

      • Apache HTTP Server: ``bash sudo systemctl restart httpd ``

    3. Periksa validitas dan status sertifikat

    1. Login ke Konsol Layanan Manajemen Sertifikat.

    2. Pada panel navigasi kiri, pilih Certificate Management > SSL Certificate Management.

    3. Pada halaman SSL Certificate Management, temukan sertifikat Anda dan periksa:

      • Status adalah Issued

      • Bound Domains mencantumkan domain yang benar

    imageimage

    Jika sertifikat telah kedaluwarsa, lakukan perpanjangan. Untuk langkah perpanjangan, lihat SSL Certificate Renewal and Expiration Handling.

    Jika Anda menggunakan Sertifikat tanda tangan sendiri, browser akan menampilkan peringatan karena sertifikat tanda tangan sendiri tidak dipercaya secara default. Untuk memeriksa status kepercayaan di Google Chrome:

    1. Buka situs di Chrome.

    2. Klik ikon image di bilah alamat. Tidak adanya ikon peringatan berarti browser mempercayai sertifikat tersebut. Ikon image merah berarti tidak dipercaya.

    image

    1. Klik ikon tersebut untuk melihat detail. Jika sertifikat tidak dipercaya, jendela informasi sertifikat akan menampilkan peringatan.

    Jika Anda menggunakan sertifikat komersial, pastikan sertifikat tersebut dikeluarkan oleh Certificate Authority (CA) tepercaya. Untuk memverifikasi di Chrome:

    1. Klik ikon image di bilah alamat.

    2. Klik Connection is secure.

    3. Klik Certificate (Valid). Sertifikat yang dikeluarkan CA tepercaya tidak akan menampilkan peringatan.

    image

    Pada jendela informasi sertifikat, temukan bidang Issuer dan pastikan common name (CN) serta organization name (O) sesuai dengan CA terkenal.

    image

    4. Verifikasi resolusi DNS

    Jika DNS tidak mengarah ke IP server yang benar, koneksi HTTPS akan menuju host yang salah dan sertifikat tidak akan sesuai.

    1. Login ke Konsol Alibaba Cloud DNS.

    2. Pada halaman Authoritative DNS Resolution, di bawah tab Authoritative Domain Names, klik nama domain untuk membuka halaman Settings.

    image

    1. Klik Add Record dan verifikasi Record Value sesuai dengan alamat IP server Anda. Jika tidak sesuai, klik Edit untuk memperbaruinya.

    image

    Perubahan DNS memerlukan waktu untuk tersebar. Jika Anda baru saja memperbarui pengaturan DNS, bersihkan cache DNS lokal dan coba lagi.

    Bersihkan cache DNS

    Windows

    1. Tekan Win+R, masukkan cmd, lalu tekan Enter untuk membuka command prompt.

    2. Jalankan perintah berikut:

      ipconfig /flushdns

    3. Pesan "Successfully flushed the DNS Resolver Cache." menandakan keberhasilan.

    macOS

    1. Buka aplikasi Terminal (tekan Command+Space, ketik Terminal, lalu tekan Enter).

    2. Jalankan perintah berikut:

      # dscacheutil berinteraksi dengan layanan caching sistem
sudo dscacheutil -flushcache

# Restart mDNSResponder, proses latar belakang yang bertanggung jawab atas layanan DNS
sudo killall -HUP mDNSResponder
    Anda mungkin diminta memasukkan password administrator.

    Linux

    Perintahnya bergantung pada layanan caching DNS yang digunakan sistem Anda:

    Layanan DNS

    Perintah

    systemd-resolved

    sudo systemd-resolve --flush-caches

    nscd (Name Service Cache Daemon)

    sudo service nscd restart atau sudo systemctl restart nscd

    dnsmasq

    sudo service dnsmasq restart atau sudo systemctl restart dnsmasq

    BIND (Berkeley Internet Name Domain)

    sudo rndc flush

    NetworkManager

    sudo service network-manager restart atau sudo systemctl restart NetworkManager

    Perintah-perintah ini memerlukan izin administrator. Setelah membersihkan cache, sistem akan mengambil rekaman DNS terbaru dari server hulu.

    5. Bersihkan cache browser

    Browser dapat menyimpan data sertifikat lama dalam cache. Bersihkan cache browser dan kunjungi kembali situs, atau buka situs dalam mode penyamaran (Chrome) atau mode InPrivate (Microsoft Edge) untuk melewati cache.

    image

    6. Verifikasi rantai sertifikat

    Mengapa ini penting: Browser memverifikasi rantai lengkap mulai dari sertifikat root hingga sertifikat server Anda. Hilangnya sertifikat perantara menyebabkan peringatan sertifikat tidak tepercaya, terutama pada browser Android yang tidak mendukung pengambilan sertifikat perantara melalui URL Authority Information Access (AIA).

    Rantai sertifikat harus diurutkan sebagai berikut:

    -----BEGIN CERTIFICATE-----
Sertifikat website
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Sertifikat perantara CA
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
Sertifikat root CA
-----END CERTIFICATE-----
    Urutan rantainya adalah sertifikat website > sertifikat perantara CA > sertifikat root CA. Rantai sertifikat perantara dapat memiliki beberapa lapisan.

    Lihat rantai sertifikat di Chrome

    1. Klik ikon image di bilah alamat, lalu klik Connection is secure.

    2. Pada jendela pop-up, klik Certificate is valid.

    3. Klik Details dan periksa Certification hierarchy.

    image

    Lengkapi rantai sertifikat yang hilang

    • Jika Anda meminta sertifikat dari Alibaba Cloud, unduh kembali file sertifikat tersebut. File PEM yang diunduh sudah berisi sertifikat server dan sertifikat perantara.

    • Pada Windows, buka sertifikat secara manual, temukan sertifikat perantara, ekspor dalam format Base64, lalu tambahkan konten hasil ekspor tersebut ke file sertifikat Anda.

    Untuk informasi tentang mengunduh sertifikat root dan perantara, lihat Download and install root certificates dan Download SSL Certificate.

    Sertifikat root untuk sertifikat yang dikeluarkan oleh CA tepercaya telah dipra-instal di browser utama (Google Chrome, Mozilla Firefox, Microsoft Edge), sistem operasi (Windows, macOS), dan perangkat seluler (iOS, Android). Untuk aplikasi, klien Java, browser lama, dan perangkat IoT, unduh dan instal secara manual sertifikat root yang sesuai dengan jenis sertifikat server Anda.

    7. Pastikan kunci privat sesuai dengan sertifikat

    Mengapa ini penting: Saat Anda membuat Permintaan Penandatanganan Sertifikat (CSR), kunci privat dibuat secara bersamaan. Hanya kunci privat yang sesuai yang dapat digunakan dengan sertifikat tersebut. Mengunggah kunci privat yang tidak sesuai menyebabkan handshake HTTPS gagal.

    Untuk memverifikasi kecocokan pada sistem Linux:

    1. Login ke Instance ECS Anda dan masuk ke direktori instalasi sertifikat:

      # Ganti /ssl dengan jalur instalasi sertifikat Anda yang sebenarnya
cd /ssl

    2. Dapatkan hash MD5 dari kunci publik sertifikat:

      # Ganti your_certificate.pem dengan nama file PEM Anda yang sebenarnya
sudo openssl x509 -in your_certificate.pem -noout -pubkey | openssl md5

    3. Dapatkan hash MD5 dari kunci publik kunci privat:

      # Ganti your_private_key.key dengan nama file kunci privat Anda yang sebenarnya
sudo openssl rsa -in your_private_key.key -pubout | openssl md5

    4. Bandingkan kedua hash MD5 tersebut. Jika sama, kunci privat sesuai dengan sertifikat.

    image

    Jika kunci privat hilang atau rusak, buat pasangan kunci baru dan minta sertifikat baru.

    8. Periksa kompatibilitas browser

    Format sertifikat dan paket sandi harus kompatibel dengan browser utama.

    • Gunakan CA tepercaya. Browser utama secara otomatis mempercayai sertifikat dari CA terkenal.

    • Gunakan format X.509. Verifikasi format sertifikat dengan perintah berikut:

      # Ganti /ssl/cert.pem dengan jalur file sertifikat Anda yang sebenarnya
sudo openssl x509 -in /ssl/cert.pem -text -noout

      Jika sertifikat dalam format X.509, perintah akan mengembalikan versi, nomor seri, algoritma signature, issuer, periode validitas, dan detail kunci publik:

      Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
             01:23:45:67:89:ab:cd:ef:01:23:45:67:89:ab:cd:ef
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = DigiCert Inc
        Validity
            Not Before: Jan 17 00:00:00 2025 GMT
            Not After : Jan 17 23:59:59 2026 GMT
        Subject: CN = example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)
                ......

      Simpan sertifikat dan rantai sertifikat perantara dalam format PEM (file .crt atau .pem).

    • Gunakan paket sandi modern. Konfigurasikan server untuk menggunakan TLS 1.2 atau TLS 1.3, dan nonaktifkan protokol serta algoritma yang tidak aman: SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, RC4, dan 3DES.

    • Uji situs pada beberapa browser dan perangkat untuk memastikan kompatibilitas.

    9. Verifikasi izin direktori file sertifikat

    Proses server web harus dapat membaca file sertifikat. Jika izin terlalu ketat, server tidak dapat memuat sertifikat.

    Untuk memeriksa dan mengatur izin pada server Linux:

    1. Lihat izin direktori:

      • Karakter pertama (d) menunjukkan direktori

      • Tiga karakter berikutnya (rwx) adalah izin pemilik: baca, tulis, eksekusi

      • Tiga karakter di tengah (r-x) adalah izin grup: baca, eksekusi

      • Tiga karakter terakhir (r-x) adalah izin untuk pengguna lain: baca, eksekusi

      # Ganti /ssl dengan jalur direktori sertifikat Anda yang sebenarnya
sudo ls -ld /ssl

      Outputnya mirip dengan drwxr-xr-x, di mana: image

    2. Pastikan izin baca (r) dan eksekusi (x) tersedia untuk pengguna atau grup yang menjalankan server web. Izin eksekusi pada direktori memungkinkan pengguna memasukinya (misalnya, dengan cd).

    3. (Opsional) Untuk memperbarui izin, jalankan:

      # Ganti /ssl dengan jalur direktori sertifikat Anda yang sebenarnya
sudo chmod 750 /ssl

      Izin 750 memberikan akses baca, tulis, dan eksekusi kepada pemilik; akses baca dan eksekusi kepada grup; dan tidak ada akses untuk pengguna lain.

    Implementasi website bervariasi. Tinjau file log server web dan aplikasi Anda untuk pesan error terkait SSL guna mengidentifikasi akar permasalahan. Jika masalah berlanjut, hubungi account manager Anda.

    FAQ

    Apakah mengganti Sertifikat SSL lama menyebabkan gangguan layanan?

    Mengganti sertifikat lama tidak secara langsung menyebabkan gangguan layanan. Namun, setelah menerapkan sertifikat baru, Anda biasanya perlu merestart server web atau aplikasi agar sertifikat baru berlaku. Proses restart tersebut dapat menyebabkan gangguan layanan singkat. Kami menyarankan melakukan operasi ini pada jam sepi dan memastikan sertifikat baru telah diterapkan dengan benar sebelum merestart layanan.