Instal sertifikat SSL pada server WebLogic (Windows) - Certificate Management Service

Ketika sebuah situs web menggunakan protokol HTTP yang tidak terenkripsi, data pengguna rentan dicuri selama transmisi, dan browser mungkin menampilkan peringatan "Tidak Aman". Hal ini dapat merusak kepercayaan pengguna dan keamanan bisnis. Dengan menerapkan Sertifikat SSL pada Server WebLogic Windows, Anda dapat mengaktifkan komunikasi HTTPS terenkripsi. Topik ini menjelaskan cara menerapkan Sertifikat SSL pada server WebLogic yang berjalan di Windows dan cara memverifikasi instalasinya.

Catatan Penggunaan

Sebelum memulai, pastikan Anda memenuhi persyaratan berikut:

Status sertifikat: Anda memiliki Sertifikat SSL yang dikeluarkan oleh otoritas sertifikat tepercaya. Jika sertifikat akan segera kedaluwarsa atau telah kedaluwarsa, Anda harus memperbarui Sertifikat SSL terlebih dahulu.
Pencocokan nama domain: Pastikan bahwa sertifikat tersebut cocok dengan semua nama domain yang ingin Anda amankan. Untuk menambah atau mengubah nama domain, Anda dapat Membeli sertifikat resmi atau Menambahkan dan mengganti nama domain.
- Nama domain yang cocok persis: Hanya berlaku untuk domain tertentu.
  - example.com hanya melindungi example.com.
  - www.example.com hanya melindungi www.example.com.
- Nama domain wildcard: Hanya berlaku untuk subdomain tingkat pertama.
  - *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.
  - *.example.com tidak melindungi domain root example.com atau subdomain multi-level seperti a.b.example.com.
Catatan
Untuk mencocokkan subdomain multi-level, bidang Bound Domains harus berisi domain yang tepat, seperti a.b.example.com, atau domain wildcard yang sesuai, seperti *.b.example.com.
Izin server: Anda harus menggunakan akun Administrator atau akun dengan izin administrator.
Resolusi nama domain: Rekaman DNS domain telah dikonfigurasi dan di-resolve ke Alamat IP publik server.
Dependensi lingkungan: Topik ini menggunakan Windows Server 2022 dan WebLogic 14c (14.1.2.0) sebagai contoh. Direktori instalasi contoh untuk WebLogic adalah C:\wls141200.
Catatan
Prosedur penerapan dapat berbeda tergantung pada sistem operasi atau versi server web.

Prosedur

Langkah 1: Siapkan Sertifikat SSL

Buka halaman Manajemen Sertifikat SSL. Di kolom Actions untuk sertifikat target, klik More. Di halaman detail sertifikat, klik tab Download dan unduh sertifikat dengan Server Type yang dipilih sebagai JKS.
Paket hasil ekstraksi berisi file sertifikat (dengan ekstensi .jks dan rantai sertifikat lengkap) serta file kata sandi sertifikat (jks-password.txt).
Catatan
Jika Anda menggunakan alat seperti OpenSSL atau Keytool untuk menghasilkan Certificate Signing Request (CSR) saat mengajukan sertifikat, alat tersebut hanya menyimpan file kunci privat di mesin lokal Anda dan tidak memasukkannya ke dalam paket sertifikat yang diunduh. Jika Anda kehilangan kunci privat, sertifikat tersebut tidak dapat digunakan. Anda harus membeli sertifikat resmi baru dan menghasilkan CSR serta kunci privat baru.
Unggah file sertifikat dan kunci privat ke direktori eksternal yang aman di server Anda. Topik ini menggunakan D:\cert sebagai contoh jalur.
Catatan
Langkah-langkah berikut menggunakan Instance ECS Alibaba Cloud sebagai contoh. Untuk jenis server lainnya, lihat dokumentasi resminya.
1. Buka ECS console - Instances. Di bilah navigasi atas, pilih wilayah dan kelompok sumber daya target.
2. Di halaman detail instans target, klik Remote Connection dan pilih Connect Via Workbench. Ikuti petunjuk untuk masuk ke desktop server.
3. Di pojok kiri bawah server, klik menu Start dan buka This PC, Computer, atau File Explorer.
4. Di bawah Redirected Drives And Folders, klik ganda Workbench On ***. Seret file sertifikat dari mesin lokal Anda ke folder ini. Lalu, klik kanan folder tersebut dan pilih Refresh.
5. Salin file sertifikat ke direktori D:\cert.
  Penting
  Direktori Redirected Drives And Folders hanya digunakan untuk transfer file dan tidak boleh digunakan untuk penyimpanan. Workbench secara otomatis menghapus semua file yang diunggah dari direktori ini untuk menghemat ruang ketika Anda menyambung ulang atau keluar dari instans.

Langkah 2: Konfigurasi lingkungan sistem dan jaringan

Buka port 443 di grup keamanan.
Penting
Jika server Anda diterapkan di platform cloud, pastikan grup keamanannya mengizinkan akses arah masuk pada port TCP 443. Jika tidak, layanan tidak dapat diakses dari Internet. Langkah-langkah berikut menggunakan ECS Alibaba Cloud sebagai contoh. Untuk platform cloud lainnya, lihat dokumentasi resminya.
1. Buka halaman Instance ECS, pilih wilayah tempat instans ECS target berada, lalu klik nama instans untuk membuka halaman detail instans.
2. Klik Security Group > All Intranet Inbound Rules, dan pastikan ada aturan dengan pengaturan berikut: Authorization Policy diatur ke Allow, Protocol Type adalah TCP, Destination Port Range adalah HTTPS (443), dan Authorization Object diatur ke Anywhere (0.0.0.0/0).
3. Jika aturan tersebut tidak ada, lihat Tambahkan aturan grup keamanan untuk menambahkan aturan yang sesuai ke grup keamanan target.
Buka port 443 di firewall server.
1. Masuk ke server Windows, klik menu Start di pojok kiri bawah, lalu buka Control Panel.
2. Klik System And Security > Windows Firewall > Check Firewall Status.
3. Jika firewall dimatikan, seperti yang ditunjukkan pada gambar berikut, tidak diperlukan tindakan lebih lanjut.
4. Jika firewall aktif, ikuti langkah-langkah berikut untuk mengizinkan aturan HTTPS.
  1. Di panel navigasi kiri, klik Advanced Settings > Inbound Rules, lalu periksa apakah ada aturan arah masuk dengan Protocol TCP, Local Port 443, dan Action diatur ke Block.
  2. Jika aturan tersebut ada, klik kanan dan pilih Properties. Di tab General, ubah pengaturannya menjadi Allow The Connection lalu klik Apply.
  3. Untuk informasi lebih lanjut tentang konfigurasi firewall, lihat Konfigurasi aturan firewall.

Langkah 3: Terapkan sertifikat pada server WebLogic

Masuk ke WebLogic Remote Console dengan membuka alamat lokal default http://localhost:7001/rconsole dan memasukkan nama pengguna serta kata sandi administrator Anda.
- Sejak WebLogic Server versi 14.1.2.0.0, Konsol Manajemen lama tidak lagi didukung dan telah digantikan oleh WebLogic Remote Console.
- Jika versi WebLogic Anda lebih lama dari 14.1.2.0.0, Anda dapat langsung mengakses http://localhost:7001/console untuk masuk ke konsol manajemen. Langkah-langkah konfigurasinya serupa, dan Anda tetap dapat merujuk pada topik ini untuk menyelesaikan konfigurasi.
Catatan
Anda dapat mengakses WebLogic Remote Console dengan salah satu metode berikut, tergantung kebutuhan operasional Anda. Untuk petunjuk instalasi dan penggunaan lengkap, lihat dokumentasi resmi, Get Started with WebLogic Remote Console.
1. Penerapan hosted di server: Dalam contoh ini, WebLogic Remote Console diterapkan ke Server WebLogic sebagai aplikasi hosted, sehingga Anda dapat mengaksesnya langsung dari browser.
  1. Akses lokal: Langsung akses http://localhost:7001/rconsole.
  2. Akses jarak jauh: Jika Anda memilih untuk mengakses konsol dari jarak jauh, Anda perlu membuka port 7001 di server WebLogic.
2. Instalasi mandiri: Anda juga dapat menginstal aplikasi desktop WebLogic Remote Console dan mengaksesnya dengan membuat koneksi administrator baru menggunakan nama pengguna dan kata sandi.
Navigasi ke Environment > Servers > AdminServer untuk membuka halaman konfigurasi server. Centang kotak SSL Listen Port Enabled (②), atur SSL Listen Port (③) ke 443, lalu klik Save (④) untuk menyimpan sementara perubahan.
Penting
Contoh dalam topik ini menggunakan server administrasi default, AdminServer. Saat mengonfigurasi pengaturan, pilih nama server bisnis Anda.
Pilih Security > Keystores. Konfigurasikan pengaturan seperti yang ditunjukkan pada gambar, lalu klik Save (⑦) untuk menyimpan sementara perubahan.
1. Untuk Keystore (3), pilih Custom identity and Java Standard Trust.
2. Custom Identity Keystore (④): Masukkan jalur ke file JKS. Dalam topik ini, contoh jalurnya adalah D:\cert\example.com.jks.
3. Untuk Custom Identity Key Type, masukkan JKS.
4. Custom Identity Keystore Passphrase (⑥): Masukkan frasa sandi keystore JKS, yang disimpan di jks-password.txt.
Pilih Security > SSL. Konfigurasikan pengaturan seperti yang ditunjukkan pada gambar berikut. Lalu, klik Save (⑤) untuk menyimpan sementara perubahan konfigurasi.
1. Private Key Alias (③): Masukkan alias sertifikat JKS.
  Catatan
  - Untuk sertifikat domain tunggal, alias kunci privat sama dengan nama domain. Misalnya, alias kunci privat untuk example.com secara default adalah example.com.
  - Untuk sertifikat nama domain wildcard, alias kunci privat secara default adalah nama domain utama. Misalnya, alias kunci privat untuk *.example.com adalah example.com.
2. Private Key Passphrase (④): Masukkan kata sandi untuk sertifikat JKS, yang dapat Anda temukan di file jks-password.txt.
  Catatan
  Ini biasanya sama dengan frasa sandi keystore identitas kustom, yaitu kata sandi dalam file jks-password.txt.
Seperti yang ditunjukkan pada gambar berikut, setelah Anda mengubah konfigurasi, klik ikon di pojok kanan atas halaman. Lalu, klik Commit Changes. Perubahan akan berlaku setelah Anda me-restart server.

Langkah 4: Verifikasi penerapan

Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain. Ganti yourdomain dengan domain aktual Anda.
Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika Anda mengalami kesalahan akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).
Mulai dari versi 117, ikon di bilah alamat Chrome telah diganti dengan ikon baru. Klik ikon ini untuk melihat informasi gembok.

Catatan

Jika masalah tetap berlanjut, lihat bagian FAQ untuk pemecahan masalah.

Mulai Produksi

Saat menerapkan ke lingkungan produksi, ikuti praktik terbaik berikut untuk meningkatkan keamanan, stabilitas, dan kemudahan pemeliharaan:

Jalankan sebagai pengguna non-administrator:
Buat pengguna sistem khusus dengan hak istimewa rendah untuk aplikasi. Jangan pernah menjalankan aplikasi dengan akun yang memiliki hak istimewa administrator.
Catatan
Pendekatan yang direkomendasikan adalah mengonfigurasi SSL di lapisan gerbang. Ini melibatkan penerapan sertifikat pada Server Load Balancer (SLB) atau reverse proxy seperti Nginx. Gerbang tersebut menghentikan lalu lintas HTTPS dan meneruskan lalu lintas HTTP yang telah didekripsi ke aplikasi backend.
Eksternalisasi manajemen kredensial:
Jangan pernah menyematkan kata sandi atau informasi sensitif lainnya secara langsung dalam kode atau file konfigurasi Anda. Gunakan Variabel lingkungan, Vault, atau layanan manajemen kunci dari penyedia cloud untuk menyuntikkan kredensial.
Paksakan pengalihan HTTP ke HTTPS:
Arahkan semua lalu lintas HTTP ke HTTPS untuk mencegah serangan man-in-the-middle.
Konfigurasi protokol TLS modern:
Nonaktifkan protokol lama dan tidak aman (seperti SSLv3, TLSv1.0, dan TLSv1.1) dalam konfigurasi server Anda. Aktifkan hanya TLSv1.2 dan TLSv1.3.
Pantau sertifikat dan otomatiskan perpanjangan:
Setelah menerapkan sertifikat, aktifkan pemantauan domain. Alibaba Cloud secara otomatis memeriksa periode validitas sertifikat dan mengirimkan pengingat perpanjangan sebelum kedaluwarsa untuk membantu Anda memperbarui tepat waktu dan menghindari gangguan layanan. Untuk petunjuk lengkap, lihat Beli dan aktifkan pemantauan nama domain publik.

FAQ

Mengapa sertifikat saya tidak berfungsi atau HTTPS tidak dapat diakses setelah instalasi atau pembaruan?

Penyebab umum adalah sebagai berikut:

Grup keamanan atau firewall server tidak membuka port 443. Lihat Konfigurasi lingkungan sistem dan jaringan.
Nama domain yang Anda akses tidak termasuk dalam Bound Domains sertifikat. Untuk informasi lebih lanjut, lihat Pencocokan nama domain.
Perubahan konfigurasi WebLogic Anda belum berlaku karena Anda belum melakukan commit. Untuk petunjuk lengkap, lihat Commit changes to make all configurations take effect automatically.
File sertifikat tidak diganti dengan benar, atau jalur sertifikat tidak ditentukan dengan benar dalam konfigurasi WebLogic. Periksa apakah konfigurasi WebLogic dan file sertifikat sudah mutakhir dan valid.
Sertifikat tidak tersedia di layanan lain: Jika domain Anda menggunakan layanan seperti Content Delivery Network (CDN), Server Load Balancer (SLB), atau Web Application Firewall (WAF), sertifikat juga harus diinstal pada layanan tersebut. Lihat Lokasi penerapan sertifikat saat lalu lintas melewati beberapa Layanan Alibaba Cloud untuk menyelesaikan pengaturan.
Penerapan tidak lengkap di beberapa server: Jika DNS domain Anda di-resolve ke beberapa server, sertifikat harus diinstal di semua server tersebut.

Catatan

Untuk pemecahan masalah lebih lanjut, lihat Selesaikan masalah penerapan sertifikat berdasarkan pesan kesalahan browser dan Panduan pemecahan masalah penerapan Sertifikat SSL.

Bagaimana cara memperbarui atau mengganti Sertifikat SSL yang telah diinstal di WebLogic?

Pertama, cadangkan file sertifikat asli (.jks dan .txt) di server Anda. Kemudian, masuk ke konsol Layanan Manajemen Sertifikat, unduh file sertifikat baru, dan unggah ke server target untuk menimpa file aslinya. Pastikan jalur dan nama file identik. Terakhir, restart layanan WebLogic agar sertifikat baru berlaku.

Mengapa saya mendapatkan kesalahan saat melakukan commit perubahan di konsol WebLogic?

Periksa pengaturan berikut:

Jalur JKS:
Konfirmasi bahwa jalur file JKS yang dimasukkan dalam konfigurasi Keystores adalah jalur mutlak di server dan proses WebLogic memiliki izin untuk membaca file tersebut.
Kata sandi:
Konfirmasi bahwa semua kata sandi identik dengan isi file jks-password.txt, tanpa spasi tambahan atau line feed.