Certificate Management Service：Panduan troubleshooting kegagalan penerapan Sertifikat SSL

Langkah-langkah troubleshooting

1. Periksa apakah Port 443 terbuka di server.

   • Jika Anda menggunakan server Elastic Compute Service (ECS) Alibaba Cloud, buka halaman Security Group di Konsol ECS untuk memeriksa apakah Port 443 terbuka. Untuk informasi selengkapnya tentang cara mengonfigurasi security group, lihat Mengelola security group.

     

   • Jika Anda menggunakan Web Application Firewall (WAF), periksa pengaturan firewall server Anda untuk memastikan tidak memblokir akses eksternal ke Port 443.

     1. Masuk ke Konsol Web Application Firewall 3.0. Dari bilah menu atas, pilih kelompok sumber daya dan wilayah (Chinese Mainland atau Outside Chinese Mainland) untuk instans WAF.

     2. Di panel navigasi kiri, klik Onboarding.

     3. Pada tab CNAME Record, periksa apakah Port 443 mengizinkan akses eksternal.

        

2. Periksa file konfigurasi server web.

   • Pastikan nama file dan path sertifikat dalam file konfigurasi benar. Path penyimpanan sertifikat dan nama file yang ditentukan dalam file konfigurasi harus persis sesuai dengan path dan nama file aktual di server. Berikut adalah contoh konfigurasi untuk Nginx:

     server {
         # Port 443 adalah port default untuk HTTPS
         listen 443 ssl;
         server_name example.com;
     
         # Ganti path berikut dengan path ke file Sertifikat SSL dan file kunci privat Anda
         ssl_certificate /etc/nginx/ssl/example.com.crt;
         ssl_certificate_key /etc/nginx/ssl/example.com.key;
     
         # Konfigurasi lainnya...
     }

   • Pastikan perubahan pada file konfigurasi telah disimpan.

   • Beberapa server web, seperti Nginx dan Apache, memerlukan restart agar perubahan pada file konfigurasi berlaku.

     • Restart layanan Nginx.

       sudo nginx -s reload

     • Restart layanan Apache.

       sudo systemctl restart httpd

3. Periksa validitas sertifikat.

   • Periksa apakah sertifikat masih dalam periode validitas.

     1. Masuk ke Konsol Layanan Manajemen Sertifikat.

     2. Di panel navigasi kiri, pilih Certificate Management > SSL Certificate Management.

     3. Pada halaman SSL Certificate Management, temukan sertifikat yang diterapkan dan periksa apakah sudah kedaluwarsa.

        Jika sertifikat telah kedaluwarsa, segera lakukan perpanjangan. Untuk informasi selengkapnya tentang cara memperpanjang sertifikat berbayar, lihat Memperpanjang Sertifikat SSL dan mengelola sertifikat yang akan kedaluwarsa.

        

   • Verifikasi bahwa Status sertifikat adalah Issued dan bahwa Bound Domains benar.

     

   • Pastikan sertifikat telah diinstal dengan benar. Ini mencakup menempatkan file sertifikat di folder sertifikat yang benar dan mengonfigurasi bagian sertifikat pada file konfigurasi server web, seperti untuk Nginx atau Apache, agar menerapkan sertifikat tersebut.

   • Jika Anda menggunakan sertifikat tanda tangan sendiri (self-signed certificate), pastikan browser Anda mempercayainya.

     Langkah-langkah berikut menggunakan Chrome sebagai contoh untuk menunjukkan cara memastikan apakah browser mempercayai sertifikat tersebut.

     1. Buka website yang menggunakan sertifikat tanda tangan sendiri di browser Anda.

     2. Klik ikon di bilah alamat. Jika browser mempercayai sertifikat, tidak ada ikon peringatan di sebelah kiri bilah alamat. Jika tidak mempercayai sertifikat, ikon peringatan merah akan muncul seperti pada gambar berikut.

        

     3. Lihat detail sertifikat. Jika browser tidak mempercayai sertifikat, jendela informasi sertifikat akan menampilkan peringatan terkait.

   • Jika Anda menggunakan sertifikat non-self-signed, pastikan sertifikat tersebut dikeluarkan oleh otoritas sertifikasi (CA) tepercaya. Jika tidak, browser mungkin memblokir koneksi karena tidak mempercayai sertifikat tersebut.

     Langkah-langkah berikut menggunakan Chrome sebagai contoh untuk menunjukkan cara memastikan apakah sertifikat non-self-signed dikeluarkan oleh CA tepercaya.

     • Lihat informasi sertifikat:

       1. Klik ikon di sebelah kiri bilah alamat.

       2. Klik Connection is secure untuk menampilkan detail koneksi.

       3. Klik Certificate is valid atau opsi serupa. Jika sertifikat dikeluarkan oleh CA tepercaya, browser akan menunjukkan bahwa sertifikat valid dan tidak menampilkan peringatan.

          

     • Lihat informasi penerbit. Di jendela informasi sertifikat yang muncul, temukan bidang Issuer. Periksa common name (CN), organisasi (O), dan informasi terkait lainnya untuk melihat apakah mencantumkan nama CA terkenal.

       

4. Verifikasi bahwa resolusi nama domain berjalan dengan benar.

   • Verifikasi bahwa Rekaman DNS mengarah ke alamat IP yang benar, terutama jika Anda baru saja mengubah host atau alamat IP Anda.

     1. Masuk ke Konsol DNS Alibaba Cloud.

     2. Pada halaman Authoritative DNS Resolution, pada tab Authoritative Domain Names, klik nama domain target untuk membuka halaman Settings.

        

     3. Pada halaman Settings, klik tombol Add Record. Verifikasi bahwa Record Value sesuai dengan alamat IP Anda. Jika tidak sesuai, klik tombol Modify untuk memperbaikinya.

        

   • Jika Anda baru saja mengubah pengaturan resolusi nama domain, mungkin terjadi penundaan sebelum perubahan tersebut berlaku. Anda dapat mencoba menghapus cache DNS lokal dan mencoba lagi, atau menunggu hingga perubahan tersebar.

     Bagian berikut menjelaskan cara menghapus cache DNS lokal pada sistem operasi yang berbeda:

     Windows

     1. Buka command prompt. Tekan Win + R, masukkan cmd, lalu tekan Enter.

     2. Di command prompt, masukkan perintah berikut dan tekan Enter:

        ipconfig /flushdns

     3. Pesan "Successfully flushed the DNS Resolver Cache" menunjukkan bahwa cache DNS lokal telah dihapus.

     macOS

     1. Buka Terminal.

        Tekan Command + Space untuk membuka Spotlight Search, lalu masukkan "Terminal" untuk menemukannya.

     2. Di Terminal, masukkan perintah berikut untuk menghapus cache DNS di macOS, lalu tekan Enter:

        # dscacheutil adalah antarmuka baris perintah yang digunakan untuk berinteraksi dengan layanan cache sistem.
        sudo dscacheutil -flushcache

     3. Selanjutnya, masukkan perintah berikut di Terminal untuk me-restart proses mDNSResponder dengan mengirimkan sinyal HUP, lalu tekan Enter:

        # mDNSResponder adalah proses latar belakang yang bertanggung jawab atas layanan DNS. Me-restart proses ini memastikan cache benar-benar dihapus.
        sudo killall -HUP mDNSResponder

     4. Jika tidak muncul pesan error, perintah berhasil dieksekusi.

     Catatan

     Anda mungkin diminta memasukkan password administrator selama proses berlangsung. Masukkan password dan tekan Enter.

     Linux

     Pada sistem Linux, metode untuk menghapus cache DNS lokal bergantung pada layanan caching DNS yang digunakan sistem. Bagian berikut menjelaskan cara menghapus cache untuk beberapa layanan caching DNS umum:

     1. systemd-resolved

        Jika sistem Linux Anda menggunakan systemd-resolved untuk mengelola cache DNS, Anda dapat menjalankan perintah berikut untuk menghapus cache:

        sudo systemd-resolve --flush-caches

     2. nscd (Name Service Cache Daemon)

        Jika sistem Linux Anda menggunakan nscd untuk mengelola cache DNS, Anda dapat menghapus cache dengan me-restart layanan nscd:

        sudo service nscd restart

        Atau:

        sudo systemctl restart nscd

     3. dnsmasq

        Jika sistem Linux Anda menggunakan dnsmasq untuk mengelola cache DNS, Anda dapat menghapus cache dengan me-restart layanan dnsmasq:

        sudo service dnsmasq restart

        Atau:

        sudo systemctl restart dnsmasq

     4. BIND

        Jika sistem Linux Anda menggunakan BIND (Berkeley Internet Name Domain) untuk mengelola cache DNS, Anda dapat menghapus cache dengan perintah berikut:

        sudo rndc flush

     5. NetworkManager

        Beberapa distribusi Linux menggunakan NetworkManager untuk mengelola pengaturan jaringan, termasuk cache DNS. Anda dapat menghapus cache dengan me-restart layanan NetworkManager:

        sudo service network-manager restart

        Atau:

        sudo systemctl restart NetworkManager

     Catatan

     Pilih perintah yang sesuai berdasarkan layanan caching DNS yang digunakan sistem Anda. Menjalankan perintah-perintah ini biasanya memerlukan izin administratif, sehingga Anda mungkin perlu menambahkan sudo sebelum perintah. Setelah Anda menghapus cache DNS, sistem akan mengambil informasi resolusi nama domain terbaru dari Server DNS. Hal ini dapat membantu menyelesaikan masalah akses jaringan.

5. Hapus cache browser.

   • Browser mungkin menyimpan cache informasi Sertifikat SSL lama. Coba hapus cache browser, lalu akses kembali website Anda.

   • Coba akses website Anda dalam mode incognito atau private. Operasi untuk Chrome ditunjukkan pada gambar berikut. Jika Anda menggunakan Edge, Anda perlu mengklik New InPrivate window.

     

6. Verifikasi bahwa rantai sertifikat lengkap.

   Pastikan seluruh rantai sertifikat lengkap, termasuk sertifikat perantara dan otoritas sertifikat root. Browser harus memverifikasi rantai sertifikat lengkap, mulai dari otoritas sertifikat root hingga sertifikat server. Jika rantai tidak lengkap, browser mungkin tidak mempercayai sertifikat tersebut.

   Catatan

   • Otoritas sertifikat root adalah titik awal dari rantai kepercayaan sertifikat dan digunakan untuk memverifikasi keaslian semua sertifikat bawahan yang dikeluarkan oleh CA tersebut. Untuk Sertifikat SSL yang dikeluarkan oleh CA tepercaya, otoritas sertifikat root-nya telah dipra-instal di browser web utama (seperti Google Chrome, Mozilla Firefox, dan Microsoft Edge) atau sistem operasi (seperti Windows, macOS, Android, dan iOS). Namun, untuk klien yang tidak memiliki otoritas sertifikat root yang dipra-instal (seperti aplikasi, klien Java, browser lama, dan perangkat IoT), Anda perlu mengunduh secara manual otoritas sertifikat root yang sesuai dengan jenis sertifikat server Anda dan menginstalnya pada klien yang sesuai. Hal ini memastikan klien dapat membuat koneksi HTTPS yang aman dengan server. Untuk mengunduh secara manual otoritas sertifikat root yang sesuai dengan jenis Sertifikat SSL Anda, lihat Mengunduh dan menginstal otoritas sertifikat root.

   • Sertifikat perantara berada di antara otoritas sertifikat root dan sertifikat entitas pengguna (seperti Sertifikat SSL) dan dikeluarkan oleh CA tingkat lebih tinggi kepada CA tingkat lebih rendah. Di Layanan Manajemen Sertifikat Alibaba Cloud, file PEM yang diunduh berisi sertifikat server dan sertifikat perantara. Kunci privat (file KEY) dipasangkan dengan sertifikat server untuk memastikan komunikasi HTTPS yang aman. Menggunakan sertifikat perantara membantu mengurangi risiko otoritas sertifikat root menandatangani langsung Sertifikat SSL. Jika otoritas sertifikat root perlu dicabut, semua sertifikat yang ditandatangani langsung akan kehilangan kepercayaan. Menandatangani Sertifikat SSL pengguna dengan kunci privat sertifikat perantara dapat secara efektif mengurangi risiko ini. Untuk mengunduh sertifikat perantara, lihat Mengunduh Sertifikat SSL.

   Rantai sertifikat yang tidak lengkap merupakan penyebab umum kegagalan validasi Sertifikat SSL. Sebagian besar browser desktop dapat mengambil sertifikat perantara menggunakan URL Authority Information Access (AIA). Namun, beberapa browser seluler, terutama di Android, tidak mendukung fitur ini. Hal ini dapat menyebabkan sertifikat ditandai sebagai tidak tepercaya. Untuk mengatasi hal ini, Anda harus menggabungkan sertifikat server dan rantai sertifikat lengkap ke dalam satu file, lalu menerapkannya di server Anda. Saat browser terhubung, server mengirimkan rantai lengkap, sehingga browser dapat mempercayai sertifikat tersebut. Struktur rantai Sertifikat SSL adalah sebagai berikut:

   -----BEGIN CERTIFICATE-----
   Website certificate
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   CA intermediate certificate authority
   -----END CERTIFICATE-----
   
   -----BEGIN CERTIFICATE-----
   CA root certificate authority
   -----END CERTIFICATE-----

   Catatan

   Struktur rantai Sertifikat SSL umumnya terdiri dari Website certificate > CA intermediate certificate authority > CA root certificate authority. Sertifikat perantara juga dapat memiliki struktur multilayer.

   • Cara melihat rantai Sertifikat SSL

     Bagian ini menggunakan browser Chrome sebagai contoh.

     1. Di bilah alamat browser, klik ikon dan di kartu informasi yang muncul, klik Connection is secure.

     2. Di jendela Connection is secure yang muncul, klik Certificate is valid.

     3. Klik Details dan lihat Certification Path untuk melihat rantai Sertifikat SSL. Gambar berikut menunjukkan contohnya.

        

   • Cara melengkapi rantai Sertifikat SSL

     • Jika sertifikat diminta melalui Alibaba Cloud, Anda dapat langsung mengunduh ulang file sertifikat, yang sudah berisi rantai sertifikat lengkap.

     • Di Windows, buka sertifikat secara manual, temukan sertifikat perantara, dan ekspor dalam format Base64. Kemudian, salin konten yang diekspor ke dalam sertifikat asli.

7. Konfirmasi bahwa kunci privat benar.

   • Pastikan sertifikat dan kunci privat yang diunggah ke server web cocok dan dalam format yang benar.

     Kunci privat dibuat saat Anda menghasilkan Permintaan Penandatanganan Sertifikat (CSR). Kunci privat ini harus dipasangkan dengan sertifikat yang sesuai. Langkah-langkah berikut menunjukkan cara memverifikasi bahwa kunci privat cocok dengan sertifikat di sistem Linux:

     1. Masuk ke backend server ECS dan gunakan perintah berikut untuk masuk ke folder instalasi sertifikat:

        # / adalah folder root. Path ssl hanya contoh. Gunakan path instalasi aktual sertifikat Anda.
        cd /ssl

     2. Gunakan perintah berikut untuk melihat informasi kunci publik sertifikat dan mendapatkan hash MD5-nya:

        # Ganti your_certificate.pem dengan file PEM di folder sertifikat server ECS Anda.
        sudo openssl x509 -in your_certificate.pem -noout -pubkey | openssl md5

     3. Gunakan perintah berikut untuk melihat informasi kunci publik dalam file kunci privat dan mendapatkan hash MD5-nya:

        # Ganti your_private_key.key dengan file kunci privat di folder sertifikat server ECS Anda.
        sudo openssl rsa -in your_private_key.key -pubout | openssl md5

     4. Bandingkan hash MD5 dari kedua perintah tersebut. Jika sama, kunci privat cocok dengan sertifikat.

        

   • Jika kunci privat hilang atau rusak, Anda harus menghasilkan kunci privat baru dan meminta sertifikat baru.

8. Periksa kompatibilitas browser.

   • Pastikan format sertifikat dan paket sandi Anda kompatibel dengan browser utama.

     Memastikan bahwa format sertifikat dan paket sandi di server Anda kompatibel dengan browser utama merupakan langkah penting dalam mengamankan website Anda. Berikut adalah beberapa metode untuk memastikan kompatibilitas:

     • Gunakan otoritas sertifikasi (CA) tepercaya

       • Pilih CA tepercaya untuk menerbitkan Sertifikat SSL/TLS Anda. Browser utama secara otomatis mempercayai sertifikat yang dikeluarkan oleh CA tersebut.

     • Gunakan format sertifikat yang benar

       • Pastikan sertifikat Anda dalam format X.509, yang merupakan format standar untuk sertifikat SSL/TLS.

         Untuk memeriksa apakah sertifikat Anda dalam format X.509, Anda dapat memeriksa konten dan format file sertifikat menggunakan metode berikut.

         Gunakan antarmuka baris perintah openssl untuk melihat konten sertifikat

         # Ganti /ssl/cert.pem dengan path instalasi aktual file sertifikat Anda.
         sudo openssl x509 -in /ssl/cert.pem -text -noout

         Jika sertifikat dalam format X.509, perintah ini akan mengeluarkan informasi detail tentang sertifikat, termasuk versi, nomor seri, algoritma tanda tangan, penerbit, periode validitas, dan informasi kunci publik.

         Contoh output:

         Certificate:
             Data:
                 Version: 3 (0x2)
                 Serial Number:
                      01:23:45:67:89:ab:cd:ef:01:23:45:67:89:ab:cd:ef
                 Signature Algorithm: sha256WithRSAEncryption
                 Issuer: C = US, O = DigiCert Inc
                 Validity
                     Not Before: Jan 17 00:00:00 2025 GMT
                     Not After : Jan 17 23:59:59 2026 GMT
                 Subject: CN = example.com
                 Subject Public Key Info:
                     Public Key Algorithm: rsaEncryption
                         RSA Public-Key: (2048 bit)
                         ......

         Jika perintah ini berhasil dijalankan dan menampilkan informasi detail tentang sertifikat, sertifikat Anda dalam format X.509.

       • Gunakan format PEM (biasanya file .crt atau .pem) untuk menyimpan sertifikat dan rantai sertifikat perantara.

     • Gunakan paket sandi modern

       • Konfigurasikan server untuk menggunakan paket sandi modern, seperti TLS 1.2 atau TLS 1.3. Versi-versi ini memberikan keamanan dan kompatibilitas yang lebih baik.

       • Nonaktifkan protokol dan algoritma enkripsi yang tidak aman, seperti SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1, RC4, dan 3DES.

   • Uji koneksi pada browser dan perangkat yang berbeda.

9. Pastikan folder yang berisi file sertifikat memiliki izin baca yang benar.

   Pastikan server web memiliki izin baca untuk folder yang berisi file sertifikat.

   Langkah-langkah berikut menunjukkan cara mengonfirmasi bahwa folder file sertifikat memiliki izin baca yang sesuai di Linux.

   1. Gunakan perintah ls -ld untuk melihat izin folder.

      # Ganti path contoh /ssl dengan path instalasi aktual file sertifikat Anda.
      sudo ls -ld /ssl

      Ini akan menghasilkan informasi yang mirip dengan berikut:

      

      Catatan

      Arti bidang izin (seperti drwxr-xr-x):

      • Karakter pertama d menunjukkan bahwa ini adalah folder.

      • Tiga karakter berikutnya rwx merepresentasikan izin pemilik: baca (r), tulis (w), dan eksekusi (x).

      • Tiga karakter tengah r-x merepresentasikan izin untuk pengguna dalam grup yang sama: baca (r) dan eksekusi (x).

      • Tiga karakter terakhir r-x merepresentasikan izin untuk pengguna lain: baca (r) dan eksekusi (x).

   2. Konfirmasi bahwa izin tersebut sesuai.

      • Izin baca: Pastikan pengguna atau layanan terkait memiliki izin baca (r) untuk folder tersebut.

      • Izin eksekusi: Untuk folder, izin eksekusi (x) memungkinkan pengguna memasuki folder tersebut, yaitu menggunakan perintah cd untuk berpindah ke folder tersebut.

   3. (Opsional) Ubah izin.

      Untuk mengubah izin, Anda dapat menggunakan perintah chmod sebagai berikut:

      # Ganti path contoh /ssl dengan path instalasi aktual file sertifikat Anda.
      sudo chmod 750 /ssl

      Catatan

      Izin 750 berarti:

      • Pemilik memiliki izin baca, tulis, dan eksekusi.

      • Pengguna dalam grup yang sama memiliki izin baca dan eksekusi.

      • Pengguna lain tidak memiliki izin apa pun.

   Dengan mengikuti langkah-langkah ini, Anda dapat mengonfirmasi dan menyesuaikan izin baca folder di server Linux Anda untuk memastikan keamanan dan fungsionalitas.