全部产品
Search

搜索本产品

    Certificate Management Service:Pasang sertifikat SSL pada server Tomcat (Windows)

    文档中心

    Certificate Management Service:Pasang sertifikat SSL pada server Tomcat (Windows)

    更新时间:Nov 19, 2025

    Situs web yang menggunakan protokol HTTP tanpa enkripsi rentan terhadap pencurian data. Browser menandai situs tersebut sebagai "Tidak Aman", yang dapat merusak kepercayaan pengguna dan membahayakan keamanan bisnis. Anda dapat mengaktifkan komunikasi HTTPS terenkripsi dengan menerapkan Sertifikat SSL pada server Tomcat yang berjalan di Windows. Topik ini menjelaskan cara menerapkan Sertifikat SSL pada server Tomcat yang berjalan di Windows serta memverifikasi koneksi HTTPS setelah pemasangan.

    Catatan Penggunaan

    Sebelum memulai, pastikan Anda memenuhi persyaratan berikut:

    • Status sertifikat: Anda memiliki Sertifikat SSL yang dikeluarkan oleh Otoritas Sertifikat tepercaya. Jika sertifikat hampir kedaluwarsa atau telah kedaluwarsa, perbarui Sertifikat SSL terlebih dahulu.

    • Pencocokan nama domain: Pastikan sertifikat tersebut cocok dengan semua nama domain yang ingin diamankan. Untuk menambah atau mengubah nama domain, Anda dapat Membeli sertifikat resmi atau Menambahkan dan mengganti nama domain.

      • Nama domain yang cocok persis: Hanya berlaku untuk domain yang ditentukan.

        • example.com hanya melindungi example.com.

        • www.example.com hanya melindungi www.example.com.

      • Nama domain wildcard: Hanya berlaku untuk subdomain tingkat pertama.

        • *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.

        • *.example.com tidak melindungi domain root example.com atau subdomain multi-level seperti a.b.example.com.

      Catatan

      Untuk mencocokkan subdomain multi-level, bidang Bound Domains harus berisi domain yang tepat, seperti a.b.example.com, atau domain wildcard yang sesuai, seperti *.b.example.com.

    • Izin server: Anda harus menggunakan akun Administrator atau akun dengan izin administrator.

    • Resolusi nama domain: Rekaman DNS domain telah dikonfigurasi dan di-resolve ke Alamat IP publik server.

    • Dependensi lingkungan: Topik ini menggunakan Windows Server 2025 dan Tomcat 9.0.105 sebagai contoh. Jalur instalasi contoh untuk Tomcat adalah C:\apache-tomcat-9.0.105.

      Catatan

      Langkah-langkah penerapan dapat berbeda tergantung pada versi sistem operasi atau server web Anda.

    Prosedur

    Langkah 1: Siapkan Sertifikat SSL

    1. Buka halaman SSL Certificates. Pada kolom Actions untuk sertifikat target, klik More untuk membuka halaman detail sertifikat. Kemudian, pada tab Download, unduh sertifikat dengan Server Type Tomcat.

    2. Ekstrak paket sertifikat yang diunduh. Paket tersebut berisi file sertifikat (.pfx atau .jks) dan file kata sandi (.txt).

      Catatan

      Jika Anda menggunakan alat seperti OpenSSL atau Keytool untuk menghasilkan file Permintaan Penandatanganan Sertifikat (CSR) saat meminta sertifikat, file kunci privat hanya disimpan di mesin lokal Anda. Paket sertifikat yang diunduh tidak berisi kunci privat. Jika kunci privat hilang, sertifikat tidak dapat digunakan. Anda harus membeli sertifikat baru dan menghasilkan CSR serta kunci privat baru.

    3. Unggah file sertifikat dan kunci privat ke server Anda dan simpan di direktori eksternal yang aman. Jalur contoh dalam topik ini adalah D:\cert.

      Catatan

      Langkah-langkah berikut menggunakan Instance ECS Alibaba Cloud sebagai contoh. Untuk jenis server lainnya, lihat dokumentasi resmi server tersebut.

      1. Buka ECS console - Instances. Di bilah navigasi atas, pilih Wilayah dan kelompok sumber daya target.

      2. Arahkan ke halaman detail instans. Klik Remote Connection dan pilih Connect Via Workbench. Ikuti petunjuk untuk masuk ke desktop server.

      3. Klik menu Start di pojok kiri bawah server. Temukan dan buka This PC, Computer, atau File Explorer.

      4. Di bawah Redirected Drives And Folders, klik ganda Workbench On ***. Seret file sertifikat dari mesin lokal Anda ke direktori ini, lalu klik kanan di dalam folder dan pilih Refresh.

        image

      5. Salin file objek ke direktori D:\cert.

        Penting

        Saat Anda menyambung ulang atau keluar dari instans, Workbench secara otomatis melakukan purge terhadap semua file yang diunggah dari direktori Redirected Drives And Folders untuk mengosongkan ruang. Direktori ini hanya untuk transfer file. Jangan menyimpan file di direktori ini.

    Langkah 2: Konfigurasikan lingkungan sistem dan jaringan

    1. Buka port 443 di grup keamanan.

      Penting

      Jika server Anda diterapkan di platform cloud, pastikan grup keamanannya mengizinkan akses arah masuk pada port TCP 443. Jika tidak, layanan tidak dapat diakses dari Internet. Langkah-langkah berikut menggunakan ECS Alibaba Cloud sebagai contoh. Untuk platform cloud lainnya, lihat dokumentasi resminya.

      1. Buka halaman ECS instance, pilih Wilayah tempat Instance ECS target berada, lalu klik nama instans untuk membuka halaman detail instans.

      2. Klik Security Group > All Intranet Inbound Rules, dan pastikan ada aturan dengan pengaturan berikut: Authorization Policy diatur ke Allow, Protocol Type adalah TCP, Destination Port Range adalah HTTPS (443), dan Authorization Object diatur ke Anywhere (0.0.0.0/0).

      3. Jika aturan tersebut tidak ada, lihat Add a security group rule untuk menambahkan aturan yang sesuai ke grup keamanan target.

    2. Buka port 443 di firewall server.

      1. Masuk ke server Windows, klik menu Start di pojok kiri bawah, lalu buka Control Panel.

      2. Klik System And Security > Windows Firewall > Check Firewall Status.

      3. Jika firewall dimatikan, seperti yang ditunjukkan pada gambar berikut, tidak diperlukan tindakan lebih lanjut.image

      4. Jika firewall aktif, ikuti langkah-langkah berikut untuk mengizinkan aturan HTTPS.

        1. Di panel navigasi kiri, klik Advanced Settings > Inbound Rules, lalu periksa apakah ada aturan masuk dengan Protocol TCP, Local Port 443, dan Action Block.

        2. Jika aturan tersebut ada, klik kanan lalu pilih Properties. Pada tab General, ubah pengaturannya menjadi Allow The Connection lalu klik Apply.

        3. Untuk informasi selengkapnya tentang konfigurasi firewall, lihat Configure firewall rules.

    Langkah 3: Terapkan sertifikat pada server Tomcat

    1. Edit file konfigurasi Tomcat server.xml untuk mengubah pengaturan terkait sertifikat. Jalur contohnya adalah C:\apache-tomcat-9.0.105\conf\server.xml.

      Contoh konfigurasi Tomcat 9.0 format PFX

      <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           maxParameterCount="1000">
    <SSLHostConfig>
        <!-- Ganti D:/cert/example.com.pfx dengan jalur aktual ke sertifikat Anda. Ganti your_certificate_password dengan isi file pfx-password.txt. -->
        <Certificate certificateKeystoreFile="D:/cert/example.com.pfx"
                     certificateKeystorePassword="your_certificate_password" type="RSA"/>
    </SSLHostConfig>
</Connector>

      Contoh konfigurasi Tomcat 9.0 format JKS

      <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           maxParameterCount="1000">
    <SSLHostConfig>
        <!-- Ganti D:/cert/example.com.jks dengan jalur aktual ke sertifikat Anda. Ganti your_certificate_password dengan isi file jks-password.txt. -->
        <Certificate certificateKeystoreFile="D:/cert/example.com.jks"
                     certificateKeystorePassword="your_certificate_password" type="RSA" />
    </SSLHostConfig>
</Connector>

    2. Opsi tambahan: Atur pengalihan otomatis dari HTTP ke HTTPS.

      1. Edit file konfigurasi Tomcat server.xml. Temukan konektor HTTP (Tomcat mendengarkan pada port 8080 secara default) dan ubah atribut `redirectPort`. Jika atribut tersebut tidak ada, tambahkan.

        <!-- Tomcat mendengarkan pada port 8080 secara default. Ubah ini ke port HTTP aktual yang Anda gunakan. -->
<Connector port="80" protocol="HTTP/1.1"
           connectionTimeout="20000"
           redirectPort="443"
           maxParameterCount="1000"
           />

      2. Tambahkan konfigurasi berikut ke akhir file web.xml.

        <security-constraint>
    <web-resource-collection>
        <web-resource-name>SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
        Catatan

        Setelah Anda menyimpan konfigurasi ini, server akan secara otomatis mengalihkan permintaan HTTP ke HTTPS.

    3. Setelah menyimpan konfigurasi, arahkan ke direktori bin instalasi Tomcat Anda dan mulai ulang server untuk menerapkan pengaturan SSL.

      • Hentikan server Tomcat.

        shutdown.bat

      • Jalankan server Tomcat.

        startup.bat

    Langkah 4: Verifikasi penerapan

    1. Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain. Ganti yourdomain dengan domain aktual Anda.

    2. Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika Anda mengalami kesalahan akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).

      image

      Mulai dari versi 117, ikon image di bilah alamat Chrome telah diganti dengan ikon image baru. Klik ikon ini untuk melihat informasi gembok.

    Catatan

    Jika masalah tetap berlanjut, lihat bagian FAQ untuk pemecahan masalah.

    Mulai produksi

    Saat menerapkan ke lingkungan produksi, ikuti praktik terbaik berikut untuk meningkatkan keamanan, stabilitas, dan kemudahan pemeliharaan:

    • Jalankan sebagai pengguna non-administrator:

      Buat pengguna sistem khusus dengan hak istimewa rendah untuk aplikasi. Jangan pernah menjalankan aplikasi dengan akun yang memiliki hak istimewa administrator.

      Catatan

      Pendekatan yang direkomendasikan adalah mengonfigurasi SSL di lapisan gerbang. Ini melibatkan penerapan sertifikat pada Server Load Balancer (SLB) atau reverse proxy seperti Nginx. Gerbang tersebut menghentikan lalu lintas HTTPS dan meneruskan lalu lintas HTTP yang telah didekripsi ke aplikasi backend.

    • Eksternalisasi manajemen kredensial:

      Jangan pernah menyematkan kata sandi atau informasi sensitif lainnya secara langsung dalam kode atau file konfigurasi Anda. Gunakan Variabel lingkungan, Vault, atau layanan manajemen kunci penyedia cloud untuk menyuntikkan kredensial.

    • Paksa pengalihan HTTP ke HTTPS:

      Arahkan seluruh lalu lintas HTTP ke HTTPS untuk mencegah serangan man-in-the-middle.

    • Konfigurasikan protokol TLS modern:

      Nonaktifkan protokol lama dan tidak aman (seperti SSLv3, TLSv1.0, dan TLSv1.1) dalam konfigurasi server Anda. Aktifkan hanya TLSv1.2 dan TLSv1.3.

    • Pantau sertifikat dan otomatiskan perpanjangan:

      Setelah menerapkan sertifikat, aktifkan pemantauan domain. Alibaba Cloud secara otomatis memeriksa periode validitas sertifikat dan mengirimkan pengingat perpanjangan sebelum kedaluwarsa untuk membantu Anda memperpanjang tepat waktu dan menghindari gangguan layanan. Untuk petunjuk terperinci, lihat Purchase and enable public domain name monitoring.

    FAQ

    Mengapa sertifikat saya tidak berfungsi atau HTTPS tidak dapat diakses setelah instalasi atau pembaruan?

    Penyebab umumnya adalah sebagai berikut:

    • Grup keamanan atau firewall server tidak membuka port 443. Untuk informasi selengkapnya, lihat Configure the system and network environment.

    • Nama domain yang Anda akses tidak termasuk dalam bidang Bound Domains untuk sertifikat tersebut. Untuk informasi selengkapnya, lihat Domain name match.

    • Layanan Tomcat tidak dimulai ulang setelah file konfigurasi diubah. Untuk informasi selengkapnya, lihat Stop and restart the Tomcat service.

    • File sertifikat tidak diganti dengan benar, atau jalur sertifikat tidak ditentukan dengan benar dalam konfigurasi Tomcat. Periksa apakah file konfigurasi Tomcat dan file sertifikat merupakan versi terbaru dan valid.

    • Sertifikat tidak tersedia pada layanan lain: Jika domain Anda menggunakan layanan seperti Content Delivery Network (CDN), Server Load Balancer (SLB), atau Web Application Firewall (WAF), sertifikat juga harus dipasang pada layanan-layanan tersebut. Lihat Certificate deployment locations when traffic passes through multiple Alibaba Cloud services untuk menyelesaikan pengaturan.

    • Penerapan tidak lengkap pada beberapa server: Jika DNS domain Anda di-resolve ke beberapa server, sertifikat harus dipasang pada semuanya.

    Bagaimana cara memperbarui atau mengganti Sertifikat SSL yang telah dipasang di Tomcat?

    Pertama, cadangkan file sertifikat asli (.pfx atau .jks, dan file .txt) di server Anda. Kemudian, masuk ke konsol Layanan Manajemen Sertifikat, unduh file sertifikat baru, lalu unggah ke server target untuk menimpa file aslinya. Pastikan jalur dan nama file tetap sama. Terakhir, mulai ulang layanan Tomcat agar sertifikat baru berlaku.

    Setelah saya memulai ulang Tomcat, layanan gagal dimulai, dan file catalina.log menampilkan kesalahan LifecycleException atau Keystore was tampered with, or password was incorrect.

    Masalah ini biasanya disebabkan oleh salah satu alasan berikut:

    • Kata sandi salah:

      certificateKeystorePassword dalam server.xml tidak cocok dengan kata sandi sertifikat yang sebenarnya. Periksa kata sandi dengan cermat. Kata sandi bersifat case-sensitive.

    • Jalur sertifikat salah:

      Jalur yang ditentukan oleh certificateKeystoreFile salah, sehingga Tomcat tidak dapat menemukan file sertifikat. Pastikan ejaan jalurnya benar. Kami menyarankan Anda menggunakan jalur relatif terhadap conf/.

    • Jenis format sertifikat salah:

      certificateKeystoreType tidak cocok dengan format file sertifikat yang sebenarnya. Gunakan PKCS12 untuk file PFX dan JKS untuk file JKS.

    • Kata sandi berisi karakter khusus:

      Kata sandi berisi karakter khusus XML seperti &, <, atau >, tetapi tidak di-escape dalam file server.xml.

    Bagaimana cara mengalihkan permintaan HTTP ke HTTPS secara otomatis?

    Untuk informasi selengkapnya, lihat bagian Set up automatic redirection from HTTP to HTTPS. Ubah file konfigurasi lalu mulai ulang layanan.