全部产品
Search

搜索本产品

    Certificate Management Service:Beli dan aktifkan CA pribadi

    文档中心

    Certificate Management Service:Beli dan aktifkan CA pribadi

    更新时间:Nov 28, 2025

    Otoritas sertifikat pribadi (CA) biasanya digunakan untuk aplikasi internal perusahaan, seperti sistem otomatisasi kantor (OA) dan sumber daya manusia (HR), yang memerlukan enkripsi data tetapi tidak tunduk pada persyaratan kepatuhan regulasi atau industri. Topik ini menjelaskan cara membeli dan mengaktifkan layanan Private Certificate Authority (PCA).

    Pilih jenis CA pribadi

    Sebelum memulai, pilih jenis CA pribadi berdasarkan kebutuhan Anda. Layanan PCA menyediakan dua jenis CA: Enterprise private CA dan Alibaba Cloud shared CA. Keduanya berbeda dalam kemampuan kustomisasi, metode pengaktifan, fleksibilitas arsitektur, dan biaya.

    Item

    Enterprise private CA

    Alibaba Cloud shared CA

    CA customization

    Didukung. Anda dapat sepenuhnya menyesuaikan identitas penerbit, organisasi, dan informasi lainnya untuk CA root serta semua tingkat CA perantara.

    Tidak didukung. Anda berbagi CA root yang dibuat dan dikelola oleh Alibaba Cloud dengan pengguna lain.

    Enablement method

    Manual enablement. Setelah membeli layanan, Anda harus mengonfigurasi dan mengaktifkan CA root dan CA perantara secara manual.

    Automatic enablement. CA root dan CA perantara diaktifkan secara default setelah Anda membeli layanan dan dapat langsung digunakan.

    Organizational structure support

    Didukung. Anda dapat membuat CA perantara multi-level untuk menyesuaikan hierarki departemen atau organisasi yang kompleks.

    Tidak didukung. Anda tidak dapat membuat arsitektur CA multi-level. Strukturnya datar.

    Cost

    Biaya lebih tinggi. Cocok untuk perusahaan besar yang memerlukan kontrol kuat atas CA dan kustomisasi merek.

    Biaya lebih rendah. Cocok untuk skenario yang memerlukan enkripsi cepat dan murah untuk aplikasi internal.

    Enterprise private CA

    Dengan Enterprise private CA, Anda dapat membuat CA root dan CA perantara. Hal ini memungkinkan Anda menyesuaikan informasi seperti identitas penerbit dan organisasi. Anda juga dapat membuat CA perantara multi-level untuk memenuhi kebutuhan struktur organisasi multi-level.

    Langkah 1: Beli CA root pribadi

    Saat pertama kali membuat CA pribadi, Anda harus membeli CA root pribadi. Setelah pembelian selesai, Anda akan menerima satu CA root dan satu CA perantara. Secara default, CA root mencakup sumber daya untuk menerbitkan 10 sertifikat pribadi.

    1. Masuk ke Certificate Service console.

    2. Di panel navigasi sebelah kiri, pilih Certificate Management > PCA Certificate Management. Pada halaman PCA Certificate Management, pilih wilayah tempat layanan PCA berada.

    3. Pada tab Private CAs, klik Purchase Private Root CA.

    4. Pada halaman Pembelian, pilih algoritma sertifikat dan durasi langganan, klik Buy Now, lalu selesaikan pembayaran.

      • Certificate Algorithm: Algoritma enkripsi yang digunakan untuk menerbitkan sertifikat. Opsi: RSA, SM, atau ECC.

      • Subscription Duration: Periode langganan untuk layanan Private Certificate Authority (PCA). Anda dapat menerbitkan sertifikat selama periode ini.

        Penting

        • Setelah layanan kedaluwarsa, Anda tidak dapat lagi menerbitkan sertifikat, meskipun masih memiliki kuota penerbitan sertifikat yang tersisa.

        • Periode validitas sertifikat yang diterbitkan oleh otoritas sertifikat (CA) tidak boleh melebihi durasi langganan layanan PCA. Misalnya, jika Anda berlangganan layanan PCA selama satu bulan, sertifikat yang diterbitkan oleh CA tidak boleh berlaku lebih dari 30 hari.

    Langkah 2: Aktifkan CA root pribadi dan CA perantara

    Setelah membeli CA root pribadi, Anda harus mengaktifkan CA root terlebih dahulu, lalu CA perantara. Anda hanya dapat mengaktifkan CA perantara setelah CA root diaktifkan.

    Aktifkan CA root

    1. Pada tab Private CAs, temukan CA root target. Di kolom Actions, klik Enabled.

    2. Pada panel CA Information, konfigurasikan informasi CA root, lalu klik Confirm and Enable.

      Layanan Manajemen Sertifikat mendukung beberapa metode untuk mengaktifkan CA root. Pilih metode sesuai kebutuhan Anda dan lengkapi konfigurasi.

      Create CA Certificate

      Configuration item

      Description

      Enable Mode

      Pilih Create CA Certificate.

      Common Name (CN)

      Nama umum atau singkatan organisasi yang akan dikaitkan dengan CA. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Alibaba Cloud.

      Organizational Unit (OU)

      Nama unit organisasi yang akan dikaitkan dengan CA. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: IT Department.

      Organization (O)

      Nama organisasi yang akan dikaitkan dengan CA. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Alibaba Cloud Computing Co., Ltd.

      City (L)

      Kota tempat organisasi berlokasi. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Hangzhou.

      Province (S)

      Provinsi tempat organisasi berlokasi. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Zhejiang.

      Country/Region (C)

      Negara atau wilayah tempat organisasi berlokasi. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: China.

      Private Key Algorithm

      Algoritma enkripsi kunci privat yang digunakan oleh CA.

      Algoritma kunci privat yang didukung bervariasi berdasarkan algoritma enkripsi yang Anda pilih saat membeli layanan PCA. Daftar berikut menjelaskan opsi tersebut:

      • Jika algoritma enkripsi CA adalah RSA, algoritma kunci privat yang didukung adalah RSA_1024, RSA_2048, dan RSA_4096.

      • Jika algoritma enkripsi CA adalah SM (Chinese Cryptographic Algorithm), algoritma kunci privat yang didukung adalah SM2_256.

      • Jika algoritma enkripsi CA adalah ECC, algoritma kunci privat yang didukung adalah ECC_256, ECC_384, dan ECC_512.

      Validity Period

      Periode validitas CA root.

      Periode validitas CA root bergantung pada durasi langganan layanan CA root. Rincian sebagai berikut:

      • Jika durasi langganan layanan CA root kurang dari 1 tahun, periode validitas CA root dapat berkisar antara 1 hingga 20 tahun.

      • Jika durasi langganan layanan CA root 1 tahun atau lebih, periode validitas CA root dapat berkisar antara 1 hingga 100 tahun.

      Catatan

      Anda hanya dapat menerbitkan sertifikat dalam durasi langganan layanan PCA. Setelah layanan kedaluwarsa, Anda tidak dapat menerbitkan sertifikat, dan sumber daya sertifikat pribadi yang belum digunakan menjadi tidak tersedia.

      Enable CRL Service

      Menentukan apakah layanan Certificate Revocation List (CRL) diaktifkan. Jika Anda mengaktifkan layanan ini, Anda dapat melihat informasi tentang sertifikat CA yang dicabut di CRL. Untuk informasi lebih lanjut, lihat CRL service.

      Upload CA Certificate and Private Key

      Configuration item

      Description

      Enable Mode

      Pilih Upload CA Certificate and Private Key.

      Certificate File

      Masukkan konten file sertifikat yang dikodekan dalam format PEM.

      Anda dapat menggunakan editor teks untuk membuka file sertifikat dalam format PEM atau CRT, menyalin isinya, lalu menempelkannya ke kotak teks. Anda juga dapat mengklik Upload and Parse File, memilih file sertifikat dari komputer Anda, lalu mengunggah kontennya ke kotak teks.

      Certificate Key

      Masukkan konten file kunci privat yang dikodekan dalam format PEM.

      Anda dapat menggunakan editor teks untuk membuka file kunci privat dalam format KEY, menyalin isinya, lalu menempelkannya ke kotak teks. Anda juga dapat mengklik Upload and Parse File, memilih file kunci privat dari komputer Anda, lalu mengunggah kontennya ke kotak teks.

    3. Pada kotak dialog Tip, konfirmasi informasi lalu klik OK.

      Setelah CA root diaktifkan, statusnya berubah menjadi Enabled. Jika informasi CA root salah, Anda dapat mereset CA untuk memodifikasi informasi tersebut. Untuk informasi lebih lanjut, lihat Reset a private CA.

    Aktifkan CA perantara

    1. Pada tab Private CAs, temukan CA root target lalu klik ikon Collapse icon di sebelah nama CA root.

    2. Temukan CA perantara target. Di kolom Actions, klik Enable.

    3. Pada panel CA Information, konfigurasikan informasi CA perantara, lalu klik Confirm and Enable.

      Layanan Manajemen Sertifikat mendukung beberapa metode untuk mengaktifkan CA perantara. Pilih metode sesuai kebutuhan Anda dan lengkapi konfigurasi.

      Create CA Certificate

      Configuration item

      Description

      Enable Mode

      Pilih Create CA Certificate.

      CA Usage

      Pilih Intermediate CA atau User CA berdasarkan tujuan CA perantara.

      • Intermediate CA: Dapat digunakan untuk menerbitkan CA subordinat.

      • User CA: Hanya dapat digunakan untuk menerbitkan sertifikat entitas akhir, seperti Sertifikat server dan Sertifikat klien.

      Length Limit

      Jika Anda mengatur CA Usage ke Intermediate CA, Anda harus mengonfigurasi batasan panjang jalur. Parameter ini menentukan kedalaman maksimum jalur sertifikasi yang dapat diterbitkan dari CA perantara ini.

      Nilai yang valid: 1 hingga 5.

      Penting

      Jika Length Limit diatur ke 1, CA subordinatnya adalah User CA.

      Common Name (CN)

      Nama umum atau singkatan organisasi yang akan dikaitkan dengan CA. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Alibaba Cloud.

      Organizational Unit (OU)

      Nama unit organisasi yang akan dikaitkan dengan CA. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: IT Department.

      Organization (O)

      Nama organisasi yang akan dikaitkan dengan CA. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Alibaba Cloud Computing Co., Ltd.

      City (L)

      Kota tempat organisasi berlokasi. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Hangzhou.

      Province (S)

      Provinsi tempat organisasi berlokasi. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: Zhejiang.

      Country/Region (C)

      Negara atau wilayah tempat organisasi berlokasi. Mendukung bahasa Tiongkok dan Inggris.

      Contoh: China.

      Private Key Algorithm

      Algoritma enkripsi kunci privat yang digunakan oleh CA.

      Algoritma kunci privat yang didukung bervariasi berdasarkan Encryption Algorithm yang Anda pilih saat membeli layanan PCA. Daftar berikut menjelaskan opsi tersebut:

      • Jika algoritma enkripsi CA adalah RSA, algoritma kunci privat yang didukung adalah RSA_1024, RSA_2048, dan RSA_4096.

      • Jika algoritma enkripsi CA adalah SM (Chinese Cryptographic Algorithm), algoritma kunci privat yang didukung adalah SM2_256.

      • Jika algoritma enkripsi CA adalah ECC, algoritma kunci privat yang didukung adalah ECC_256, ECC_384, dan ECC_512.

      Validity Period

      Periode validitas CA perantara.

      Periode validitas CA perantara bergantung pada durasi langganan CA perantara pribadi. Rincian sebagai berikut:

      • Jika durasi langganan kurang dari 1 tahun, periode validitas CA perantara dapat berkisar antara 1 hingga 20 tahun.

      • Jika durasi langganan 1 tahun atau lebih, periode validitas CA perantara dapat berkisar antara 1 hingga 100 tahun.

      Enable CRL Service

      Menentukan apakah layanan CRL diaktifkan. Jika Anda mengaktifkan layanan ini, Anda dapat melihat informasi tentang sertifikat CA yang dicabut di CRL. Untuk informasi lebih lanjut tentang CRL, lihat CRL service.

      Extended Key Usage

      Pilih penggunaan kunci diperluas. Ini berfungsi sebagai pengidentifikasi sertifikat untuk membantu Anda membedakan antar sertifikat.

      Upload CA Certificate and Private Key

      Configuration item

      Description

      Enable Mode

      Pilih Upload CA Certificate and Private Key.

      Certificate File

      Masukkan konten file sertifikat yang dikodekan dalam format PEM.

      Anda dapat menggunakan editor teks untuk membuka file sertifikat dalam format PEM atau CRT, menyalin isinya, lalu menempelkannya ke kotak teks. Anda juga dapat mengklik Upload and Parse File, memilih file sertifikat dari komputer Anda, lalu mengunggah kontennya ke kotak teks.

      Certificate Key

      Masukkan konten file kunci privat yang dikodekan dalam format PEM.

      Anda dapat menggunakan editor teks untuk membuka file kunci privat dalam format KEY, menyalin isinya, lalu menempelkannya ke kotak teks. Anda juga dapat mengklik Upload and Parse File, memilih file kunci privat dari komputer Anda, lalu mengunggah kontennya ke kotak teks.

    4. Pada kotak dialog Tip, konfirmasi informasi lalu klik OK.

      Setelah CA perantara diaktifkan, statusnya berubah menjadi Enabled. Jika informasi CA perantara salah, Anda dapat mereset CA untuk memodifikasi informasi tersebut. Untuk informasi lebih lanjut, lihat Reset a private CA.

    Langkah 3: (Opsional) Beli CA perantara pribadi

    Anda dapat membuat beberapa CA perantara pribadi di bawah CA root yang sudah ada untuk menyesuaikan struktur organisasi perusahaan Anda. Misalnya, Anda dapat membuat CA perantara terpisah untuk departemen berbeda dalam perusahaan Anda. CA perantara yang baru dibeli tidak mencakup sumber daya sertifikat apa pun secara default.

    1. Pada tab Private CAs, temukan CA root target. Di kolom Actions, klik Create Private Intermediate CA.

    2. Pada panel Create Private Intermediate CA, konfigurasikan parameter pembelian.

      Penting

      Algoritma CA perantara harus sama dengan algoritma CA root dan tidak dapat diubah.

    3. Baca dan pilih Terms of Service, lalu klik Buy Now untuk menyelesaikan pembayaran.

    Langkah 4: Konfigurasikan sertifikat pribadi

    Setelah membeli dan mengaktifkan CA pribadi, Anda dapat mengonfigurasi sertifikat pribadi. Untuk informasi lebih lanjut, lihat Manage private certificates.