perbarui sertifikat simple application server,perbarui sertifikat server ecs,menerapkan sertifikat ke ecs secara manual,sumber daya nol - Certificate Management Service

Mengelola Sertifikat SSL untuk server cloud secara manual dapat menjadi kompleks, rentan kesalahan, dan memerlukan langkah perpanjangan berulang. Untuk mengatasi tantangan ini, Certificate Management Service menyediakan fitur penerapan otomatis. Anda dapat menerapkan sertifikat ke instans ECS terpercaya tertentu hanya dengan satu klik serta memperbarui sertifikat secara otomatis pada instans ECS dan Simple Application Server yang telah dikonfigurasi sebelumnya. Hal ini meningkatkan efisiensi penerapan dan mengurangi risiko kesalahan konfigurasi.

Pilih metode penerapan

Pilih metode berdasarkan jenis server dan skenario penerapan Anda.

Fitur	Metode 1: Penerapan satu klik (untuk penerapan pertama kali)	Metode 2: Penerapan manual (untuk memperbarui sertifikat)
Mekanisme inti	Sepenuhnya otomatis. Kunci privat tidak pernah meninggalkan instans dan berkomunikasi dengan modul hardware terpercaya melalui antarmuka PKCS#11, yang menjamin keamanan tinggi.	Semi-otomatis. Mengunggah file sertifikat ke jalur tertentu di server untuk menimpa file lama.
Server yang didukung	Hanya mendukung instans Elastic Compute Service (ECS) terpercaya tertentu (arsitektur x86 generasi ke-7/ke-8). Simple Application Server tidak didukung.	Mendukung semua instans ECS dan Simple Application Server.
Sistem operasi yang didukung	Alibaba Cloud Linux 3.x, image Ubuntu 22.04 UEFI.	Semua distribusi utama Linux dan Windows Server.
Server web yang didukung	Hanya mendukung versi Nginx tertentu yang diinstal dari sumber `yum` atau `apt`.	Mendukung semua server web, seperti Nginx, Apache, dan Tomcat.
Persyaratan Sertifikat SSL	Sertifikat SSL single-domain yang menggunakan algoritma RSA.	Semua jenis Sertifikat SSL.
Skenario	Penerapan pertama kali pada instans ECS terpercaya yang memenuhi syarat untuk mengaktifkan perpanjangan sepenuhnya otomatis.	Memperbarui sertifikat yang sudah ada pada instans ECS atau Simple Application Server.

Catatan

Jika solusi di atas tidak memenuhi kebutuhan Anda, lihat Pemilihan Solusi Penerapan Sertifikat SSL untuk memilih solusi penerapan lainnya.

Metode 1: Penerapan satu klik (untuk penerapan pertama kali ke instans ECS terpercaya)

Metode ini terintegrasi dengan modul keamanan instans ECS terpercaya untuk menyediakan penerapan sertifikat dan kunci privat yang sepenuhnya otomatis serta sangat aman. Jika Anda membeli sertifikat multi-tahun, sistem akan secara otomatis memperbarui dan menerapkan sertifikat yang diperbarui.

Cakupan

Jenis dan spesifikasi instans: Instans ECS terpercaya berbasis x86 generasi ke-7 dan ke-8. Untuk informasi lebih lanjut, lihat Buat instans terpercaya. Simple Application Server tidak didukung.
Sistem operasi: Alibaba Cloud Linux 3.x, image Ubuntu 22.04 UEFI.
Server web: Versi Nginx tertentu yang diinstal dari sumber yum atau apt.
- Image Alibaba Cloud Linux 3.x: Nginx yang diinstal menggunakan yum, dengan versi dari 1.18.0-2.1.al8 hingga 1.20.1-1.0.5.al8 (tidak termasuk).
- Image Ubuntu 22.04 UEFI: Nginx yang diinstal menggunakan apt.
Jenis dan status sertifikat: Sertifikat SSL single-domain yang menggunakan algoritma RSA. Status sertifikat harus Issued.
Izin server: Anda memerlukan akun root atau akun dengan hak istimewa sudo.
Resolusi nama domain: Rekaman DNS domain telah dikonfigurasi dan di-resolve ke Alamat IP publik server.

Langkah 1: Periksa bahwa status Cloud Assistant adalah Normal

Pastikan Cloud Assistant telah terinstal dengan benar pada instans ECS. Jika tidak, fitur penerapan satu klik di konsol tidak tersedia.

Buka ECS console - ECS Cloud Assistant.
Pilih kelompok sumber daya dan Wilayah tempat resource target berada.
Pada tab ECS Instances, temukan server ECS target dan periksa statusnya di kolom Cloud Assistant Status.
Catatan
Jika Cloud Assistant belum terinstal atau statusnya abnormal, lihat Periksa status Cloud Assistant dan troubleshooting status abnormal.

Langkah 2: Konfigurasi server aplikasi web Nginx pada instans ECS

Untuk penerapan pertama kali, Anda harus memodifikasi file konfigurasi Nginx agar dapat memanggil kunci privat dari modul terpercaya melalui antarmuka PKCS#11. Langkah ini tidak diperlukan untuk pembaruan selanjutnya.

Image Alibaba Cloud Linux 3.x

Catatan

Topik ini menggunakan Nginx 1.20.1 sebagai contoh. /etc/nginx/ adalah direktori instalasi default untuk Nginx yang diinstal menggunakan yum. Jika Anda telah mengubah direktori ini, sesuaikan jalurnya.

Periksa versi Nginx.
Saat ini, hanya versi Nginx dari 1.18.0-2.1.al8 hingga 1.20.1-1.0.5.al8 (tidak termasuk) yang didukung.
Penting
Jika Nginx sudah terinstal pada instans ECS Anda, periksa versinya sebelum menggunakan fitur penerapan satu klik. Jika versinya tidak didukung, Anda harus menurunkan spesifikasinya ke versi yang didukung atau menginstal ulang.
Buka file konfigurasi /etc/nginx/nginx.conf dan tambahkan ssl_engine pkcs11; setelah pid /run/nginx.pid; untuk menentukan penggunaan library enkripsi PKCS#11. Blok kode berikut menunjukkan lokasi dan contoh lengkap:
```
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Tentukan penggunaan library enkripsi PKCS#11
ssl_engine pkcs11;
```

Buka file konfigurasi /etc/nginx/nginx.conf, hapus komentar pada bagian Settings for a TLS enabled server, dan tambahkan include "/etc/acm/ssl/nginx-acm.conf"; untuk mereferensikan konfigurasi kunci SSL.

Konten yang ditambahkan:
```
include "/etc/acm/ssl/nginx-acm.conf";
```

Lokasi dan contoh lengkap:

server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
       
        # Tentukan hostname atau Common Name (CN)
        server_name  example.com;
        root         /usr/share/nginx/html;

        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_prefer_server_ciphers on;
       
        # Referensikan konfigurasi kunci SSL
        include "/etc/acm/ssl/nginx-acm.conf";
       
        # Muat file konfigurasi untuk blok server default.
        include /etc/nginx/default.d/*.conf;

        error_page 404 /404.html;
            location = /40x.html {
        }

        error_page 500 502 503 504 /50x.html;
            location = /50x.html {
        }
    }

Buka file /usr/lib/systemd/system/nginx.service dan tambahkan P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock dan OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf untuk mengonfigurasi komunikasi dengan layanan kunci SSL.

Konten yang ditambahkan:

Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

Lokasi dan contoh lengkap:

[Unit]
Description=A high performance web server and a reverse proxy server
Documentation=man:nginx(8)
After=network.target nss-lookup.target

[Service]
Type=forking
PIDFile=/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
ExecStop=-/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid
TimeoutStopSec=5
KillMode=mixed

# Konfigurasikan komunikasi dengan layanan kunci SSL
Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

[Install]
WantedBy=multi-user.target

Catatan

Jika Anda tidak mengetahui jalur ke file konfigurasi layanan systemd Nginx, jalankan sudo find / -name "nginx.service" untuk menemukannya.

Jalankan perintah berikut untuk memuat ulang konfigurasi layanan systemd Nginx.
```
systemctl daemon-reload
```

Image Ubuntu 22.04

Catatan

Topik ini menggunakan Nginx 1.18.0 sebagai contoh. /etc/nginx/ adalah direktori instalasi default untuk Nginx yang diinstal menggunakan apt. Jika Anda telah mengubah direktori ini atau menginstal Nginx dengan metode berbeda, sesuaikan jalurnya.

Buka file konfigurasi /etc/nginx/nginx.conf dan tambahkan ssl_engine pkcs11; setelah pid /run/nginx.pid; untuk menentukan penggunaan library enkripsi SSL/TLS. Blok kode berikut menunjukkan lokasi dan contoh lengkap:
```
user www-data;
worker_processes auto;
pid /run/nginx.pid;

# Tentukan penggunaan library enkripsi PKCS#11
ssl_engine pkcs11;

include /etc/nginx/modules-enabled/*.conf;
```

Buka file /etc/nginx/sites-enabled/default, buat blok server baru dalam file default, dan tambahkan include "/etc/acm/ssl/nginx-acm.conf";.

Konten yang ditambahkan:
```
include "/etc/acm/ssl/nginx-acm.conf";
```

Lokasi dan contoh lengkap:

server {
    listen 443 ssl;
    
    # Tentukan hostname atau Common Name (CN)
    server_name example.com;
    root /var/www/html;
    index index.html index.htm;
    access_log /var/log/nginx/access_6equj5.log;
    error_log /var/log/nginx/error_6equj5.log;
    ssl on;
    
    # Referensikan konfigurasi kunci SSL
    include "/etc/acm/ssl/nginx-acm.conf";

    location / {
      try_files $uri $uri/ =404;
    }
}

Catatan

Jika Anda tidak mengetahui jalur ke file konfigurasi layanan systemd Nginx, jalankan sudo find / -name "nginx.service" untuk menemukannya.

Konten yang ditambahkan:

Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

Lokasi dan contoh lengkap:

[Unit]
Description=A high performance web server and a reverse proxy server
Documentation=man:nginx(8)
After=network.target nss-lookup.target

[Service]
Type=forking
PIDFile=/run/nginx.pid
ExecStartPre=/usr/sbin/nginx -t -q -g 'daemon on; master_process on;'
ExecStart=/usr/sbin/nginx -g 'daemon on; master_process on;'
ExecReload=/usr/sbin/nginx -g 'daemon on; master_process on;' -s reload
ExecStop=-/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid
TimeoutStopSec=5
KillMode=mixed

# Konfigurasikan komunikasi dengan layanan kunci SSL
Environment="P11_KIT_SERVER_ADDRESS=unix:path=/etc/acm/ssl/acm-p11-kit.sock"
Environment="OPENSSL_CONF=/etc/acm/ssl/openssl-acm.cnf"

[Install]
WantedBy=multi-user.target

Jalankan perintah berikut untuk memuat ulang konfigurasi layanan systemd Nginx.
```
systemctl daemon-reload
```

Langkah 3: Terapkan sertifikat dari konsol Certificate Management Service

Login ke Certificate Management Service console.
Di panel navigasi kiri, pilih Deployment and Resource Management > Deployment To Cloud Servers.
Pada halaman Deployment to Cloud Servers, klik Create Task dan ikuti langkah-langkah berikut untuk menerapkan Sertifikat SSL.
1. Pada halaman Configure Basic Information, masukkan nama tugas kustom dan klik Next.
2. Pada halaman Select Certificate, pilih jenis sertifikat dan Sertifikat SSL yang terkait dengan server cloud, lalu klik Next.
  Setiap tugas penerapan hanya dapat menerapkan satu sertifikat. Untuk menerapkan beberapa sertifikat, Anda harus membuat beberapa tugas penerapan.
3. Pada halaman Select Resource, pilih instans ECS yang mendukung penerapan satu klik dan klik Next.
  - Sistem secara otomatis mendeteksi dan mengambil semua instans ECS yang memenuhi syarat di bawah Akun Alibaba Cloud Anda. Jika tidak ada resource yang ditampilkan, klik Synchronize Cloud Resources di area Total Resources di pojok kiri atas. Waktu sinkronisasi bervariasi tergantung jumlah sumber daya cloud Anda.
  - Jika ada banyak instans dalam daftar, Anda dapat memilih Quick Deployment/Manual Deployment dari daftar drop-down All Types untuk memfilter daftar instans yang didukung.
Pada tab Quick Deployment, pastikan persyaratan lingkungan penerapan terpenuhi. Jika ya, centang Confirm that the preceding operations are complete. dan klik Continue to Deploy.
Pada kotak dialog yang muncul, klik OK.
Peringatan
Merestart server aplikasi web akan memengaruhi bisnis Anda. Kami menyarankan Anda melakukan penerapan selama jam sepi.
- Perintah referensi untuk merestart Nginx secara manual:
```
systemctl restart nginx.service
```
- Setelah merestart, Anda dapat menggunakan perintah curl untuk menguji koneksi SSL Nginx. Format perintahnya adalah curl -v https://<your_domain_name>.

Langkah 4: Periksa status tugas penerapan

Pada halaman Deployment to Cloud Servers, temukan tugas yang telah Anda buat. Jika Task Status adalah Deployed, sertifikat telah berhasil diterapkan ke server cloud.

Langkah 5: Verifikasi bahwa Sertifikat SSL berfungsi

Tugas penerapan yang berhasil tidak menjamin sertifikat berfungsi dengan benar. Anda harus memverifikasi statusnya dengan mengakses nama domain Anda.

Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain. Ganti yourdomain dengan domain aktual Anda.
Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika Anda mengalami error akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).
Mulai versi 117, ikon di bilah alamat Chrome telah diganti dengan ikon baru. Klik ikon ini untuk melihat informasi gembok.

Metode 2: Penerapan manual (memperbarui sertifikat yang sudah ada)

Metode ini digunakan untuk memperbarui sertifikat pada server cloud (ECS atau Simple Application Server) yang telah dikonfigurasi sertifikat sebelumnya. Metode ini menyederhanakan proses perpanjangan dan penggantian dengan menimpa file sertifikat lama. Metode ini tidak dimaksudkan untuk penerapan pertama kali.

Cakupan

Jenis server: Metode ini hanya berlaku untuk server Alibaba Cloud, seperti Simple Application Server dan Elastic Compute Service (ECS).
Server web: Hanya mendukung server web, seperti Nginx dan Apache, yang secara langsung mereferensikan file sertifikat dalam format PEM atau CRT. IIS tidak didukung.
Izin server: Anda memerlukan akun root atau akun dengan hak istimewa sudo.

Langkah 1: Terapkan Sertifikat SSL

Login ke Certificate Management Service console.
Di panel navigasi kiri, pilih Deployment and Resource Management > Deployment to Cloud Servers.

Pada halaman Deployment to Cloud Servers, klik Create Task.

Pada halaman Configure Basic Information, masukkan Task Name dan klik Next.
Pada halaman Select Certificate, pilih Certificate Type, pilih Associated Certificates, lalu klik Next.
- Sertifikat yang dikeluarkan oleh layanan Private CA disinkronkan ke tab Manage Uploaded Certificates.
Pada halaman Select Resource, pilih jenis server cloud, pilih instans target, lalu klik Next. Saat Anda membuka halaman ini untuk pertama kalinya, sistem secara otomatis mendeteksi dan mengambil semua instans server cloud yang memenuhi syarat di bawah Akun Alibaba Cloud Anda yang telah menerapkan aplikasi web.
Catatan
Jika tidak ada resource yang ditampilkan, Anda dapat mengklik Synchronize Cloud Resources di area Total Resources untuk menyinkronkannya secara manual. Waktu yang dibutuhkan untuk sinkronisasi bervariasi tergantung jumlah resource produk cloud.

Pada halaman Deployment Configuration, konfigurasikan parameter seperti yang dijelaskan dalam tabel berikut dan klik OK.

Penting

Certificate Path dan Private Key Path harus sesuai dengan jalur yang dikonfigurasi di aplikasi web Anda. Jika tidak, sertifikat tidak akan berlaku.

Gambar berikut menunjukkan jalur konfigurasi file sertifikat untuk Nginx pada server cloud. Jalur ini hanya sebagai referensi.

Item Konfigurasi	Deskripsi	Contoh (hanya sebagai referensi, gunakan jalur penerapan aktual Anda)
Certificate Path	Jalur mutlak tempat file sertifikat disimpan di server cloud.	Contoh Linux: /ssl/cert.pem Contoh Windows: c:\ssl\cert.pem
Private Key Path	Jalur mutlak tempat file kunci privat sertifikat disimpan di server cloud.	Contoh Linux: /ssl/cert.key Contoh Windows: c:\ssl\cert.key
Certificate Chain Path	Jalur mutlak tempat file rantai sertifikat disimpan di server cloud. Catatan Jika file rantai sertifikat dikonfigurasi di aplikasi web, masukkan jalurnya di sini.	Contoh Linux: /ssl/cert.cer Contoh Windows: c:\ssl\cert.cer
Reload Command	Jika Anda mengonfigurasi perintah restart, perintah tersebut akan dieksekusi setelah sertifikat diterapkan. Ini akan merestart aplikasi web di server cloud atau memuat ulang file konfigurasi aplikasi web agar sertifikat berlaku. Penting Jika aplikasi web gagal merestart, buka server cloud yang sesuai untuk melakukan operasi tersebut.	Perintah untuk memuat ulang file konfigurasi Nginx adalah `sudo nginx -s reload`. Perintah untuk merestart layanan Apache adalah `sudo systemctl restart httpd`.

Pada kotak dialog yang muncul, klik OK.
- Jika Anda tidak mengonfigurasi perintah restart, pesan berikut akan muncul. Klik OK. Anda kemudian harus login ke server cloud dan merestart layanan aplikasi web secara manual agar sertifikat berlaku.
- Jika Anda mengonfigurasi perintah restart, pesan berikut akan muncul. Konfirmasi risikonya dan klik OK. Setelah tugas penerapan selesai, perintah restart akan dieksekusi untuk merestart layanan aplikasi web, dan sertifikat akan langsung berlaku.

Langkah 2: Periksa status tugas penerapan

Pada halaman Deployment to Cloud Servers, temukan tugas yang telah Anda buat. Jika Task Status adalah Deployed, sertifikat telah berhasil diperbarui di server cloud.

Langkah 3: Verifikasi bahwa Sertifikat SSL berfungsi

Akses domain Anda melalui HTTPS di browser web. Misalnya, https://yourdomain. Ganti yourdomain dengan domain aktual Anda.
Jika ikon gembok muncul di bilah alamat browser, sertifikat telah berhasil diterapkan. Jika Anda mengalami error akses atau ikon gembok tidak muncul, bersihkan cache browser Anda atau coba lagi dalam mode penyamaran (privasi).
Mulai versi 117, ikon di bilah alamat Chrome telah diganti dengan ikon baru. Klik ikon ini untuk melihat informasi gembok.

Catatan

Jika masalah tetap berlanjut, lihat FAQ untuk troubleshooting.

Kuota dan batasan

Biaya penerapan:
- Penerapan sertifikat resmi tidak dikenai biaya dan tidak menghabiskan kuota penerapan.
- Men-deploy sertifikat yang Anda unggah menghabiskan kuota penerapan. Anda harus membeli paket kuota penerapan dengan biaya CNY 30 per penerapan. Jika penerapan gagal, kuota penerapan akan dikembalikan.
Batasan kuota:
Setiap tugas penerapan hanya dapat menerapkan satu sertifikat ke satu instans server cloud. Untuk menerapkan sertifikat ke beberapa instans, Anda harus membuat beberapa tugas.

Going live

Risiko gangguan layanan: Kedua metode penerapan mungkin memerlukan restart layanan web (seperti Nginx atau Apache), yang akan menyebabkan gangguan layanan singkat. Kami sangat menyarankan Anda melakukan operasi penerapan selama jam sepi.
Reload graceful: Untuk server web yang mendukung reload graceful (seperti Nginx), kami menyarankan menggunakan nginx -s reload atau systemctl reload nginx di Reload Command Metode 2 daripada restart. Ini meminimalkan dampak pada koneksi yang ada.
Pemantauan dan Peringatan: Setelah Anda menerapkan sertifikat, kami menyarankan Anda mengaktifkan fitur pemantauan nama domain untuk nama domain tersebut. Alibaba Cloud secara otomatis mendeteksi periode validitas sertifikat dan mengirimkan pengingat sebelum sertifikat kedaluwarsa untuk membantu Anda memperpanjangnya tepat waktu dan mencegah gangguan layanan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan pemantauan nama domain publik.

FAQ

Sertifikat tidak berlaku atau HTTPS tidak dapat diakses setelah instalasi atau pembaruan

Alasan umum sebagai berikut:

Port 443 tidak terbuka di security group atau firewall server.
Bound Domains dari sertifikat tidak mencakup nama domain yang sedang Anda akses.
Task Status dari tugas penerapan abnormal. Buka halaman detail tugas, klik View Failure Cause, perbarui konfigurasi sesuai petunjuk, lalu coba lagi.

Catatan

Untuk troubleshooting lebih lanjut, lihat Selesaikan masalah penerapan sertifikat berdasarkan pesan error browser dan Panduan troubleshooting penerapan Sertifikat SSL.

Apa yang harus saya lakukan jika mendapatkan error "the cloud Assistant not install or run" selama penerapan?

Penyebab: Cloud Assistant tidak terinstal pada instans ECS, atau statusnya abnormal.

Solusi 1:
1. Buka ECS console - ECS Cloud Assistant.
2. Temukan server target dan periksa status Cloud Assistant.
  1. Jika belum terinstal, Anda dapat mengklik Install untuk menginstalnya secara otomatis.
  2. Jika statusnya abnormal, lihat Troubleshoot abnormal Cloud Assistant statuses untuk solusinya.
3. Setelah status Cloud Assistant kembali normal, buat tugas Cloud Server Deployment baru di konsol Certificate Management Service.
Solusi 2:
Lihat Instal Sertifikat SSL pada server Nginx atau Tengine (Linux) untuk menginstal sertifikat secara manual pada server ECS.