Pilih Rencana Penyebaran Sertifikat SSL - Certificate Management Service

Topik ini menjelaskan cara memilih rencana penyebaran sertifikat SSL berdasarkan kebutuhan bisnis Anda untuk mengaktifkan akses HTTPS yang aman bagi situs web dan aplikasi Anda.

Sebarkan sertifikat SSL di server (wajib): Anda harus menyebarkan sertifikat SSL di server untuk mengaktifkan HTTPS pada sebuah situs web, API, atau aplikasi.
Instal sertifikat root di klien (biasanya tidak diperlukan): Klien memerlukan sertifikat root yang sudah dipasang sebelumnya untuk memastikan komunikasi yang aman dan memverifikasi identitas server. Sebagian besar sistem operasi klien dan browser telah memiliki sertifikat root yang terpasang sebelumnya. Anda hanya perlu menginstal sertifikat root di klien jika Anda mengakses sistem yang menggunakan sertifikat tanda tangan sendiri, perangkat klien tidak dapat mengenali otoritas sertifikasi (CA), atau sertifikat root hilang atau telah kedaluwarsa.

Sebarkan sertifikat SSL di server

Ruang Lingkup

Sebelum memulai, pastikan kondisi berikut telah terpenuhi:

Status Sertifikat: Anda memiliki sertifikat SSL yang diterbitkan oleh otoritas sertifikasi tepercaya (CA). Certificate Status adalah Issued. Untuk membeli dan meminta sertifikat, lihat Beli Sertifikat Komersial dan Kirim Permintaan Sertifikat ke CA.
Pencocokan Nama Domain: Pastikan sertifikat sesuai dengan semua nama domain yang ingin Anda amankan. Untuk menambah atau memodifikasi domain, lihat Tambah dan Ganti Nama Domain.
- Nama domain yang cocok persis: Hanya berlaku untuk domain yang ditentukan.
  - example.com melindungi hanya example.com.
  - www.example.com melindungi hanya www.example.com.
- Nama domain wildcard: Berlaku hanya untuk subdomain tingkat pertama.
  - *.example.com berlaku untuk subdomain tingkat pertama seperti www.example.com dan a.example.com.
  - *.example.com tidak melindungi domain root example.com atau subdomain multi-level seperti a.b.example.com.
Catatan
Untuk melindungi subdomain multi-level, bidang Bound Domains harus berisi domain eksak, seperti a.b.example.com, atau domain wildcard yang sesuai, seperti *.b.example.com.
Resolusi DNS: Rekaman DNS domain dikonfigurasi dan diselesaikan ke alamat IP publik server.

Tentukan lokasi penyebaran sertifikat

Saat memproses lalu lintas HTTPS, Anda harus menyebarkan sertifikat SSL di semua node jaringan yang relevan. Node ini mencakup server web seperti Nginx, Apache, dan IIS, Application Load Balancer (ALB), jaringan pengiriman konten (CDN), Web Application Firewall (WAF), dan API Gateway. Menyebarkan sertifikat SSL di node ini memberikan enkripsi ujung ke ujung dari klien ke server, yang mencegah transmisi teks biasa di seluruh tautan perantara dan memastikan komunikasi yang aman.

Lalu Lintas Langsung Mencapai Server: Saat pengguna mengakses situs web menggunakan alamat IP publik server, lalu lintas langsung mencapai server tanpa melewati node perantara lainnya.
Lalu Lintas Melewati Beberapa Node Jaringan: Saat pengguna mengakses situs web menggunakan nama domain, lalu lintas biasanya melewati beberapa node jaringan, seperti jaringan pengiriman konten (CDN) dan Application Load Balancer (ALB), sebelum diteruskan ke server asal untuk diproses.

Lalu lintas langsung mencapai server

Saat lalu lintas Internet langsung mengakses server web asal tanpa proxy jaringan perantara, Anda hanya perlu menyebarkan sertifikat SSL di server web tersebut.

Lalu lintas melewati beberapa node jaringan

Jika lalu lintas melewati beberapa node perantara, seperti CDN dan WAF, sebelum mencapai server asal, Anda harus menyebarkan sertifikat di setiap node yang memproses lalu lintas HTTPS.

Penting

Topik ini menggunakan arsitektur kompleks "Pengguna → CDN → WAF → Server Load Balancer (ALB) → Server Asal" sebagai contoh. Arsitektur ini hanya digunakan untuk mendemonstrasikan metode penyebaran sertifikat dalam skenario multi-node. Anda harus menyebarkan sertifikat di node yang sesuai berdasarkan arsitektur jaringan aktual Anda.

Tabel berikut menjelaskan node penyebaran sertifikat dan ruang lingkup enkripsi transmisi dalam berbagai skenario.

Skenario	Tautan terenkripsi (HTTPS)	Tautan teks biasa (HTTP)	Node yang memerlukan sertifikat	Deskripsi
Skenario 1	Pengguna ↔ CDN	CDN → WAF → ALB → Server asal	CDN	Mengenkripsi hanya lalu lintas dari klien ke CDN. Ini adalah opsi paling hemat biaya, tetapi berisiko adanya transmisi teks biasa di jaringan internal.
Skenario 2	Pengguna ↔ WAF	WAF → ALB → Server asal	CDN, WAF	Ruang lingkup enkripsi sekarang mencakup WAF untuk meningkatkan keamanan.
Skenario 3	Pengguna ↔ ALB	ALB → Server asal	CDN, WAF, ALB	Hanya hop sebelum server asal yang menggunakan transmisi teks biasa. Ini memberikan keamanan tinggi.
Skenario 4	Pengguna ↔ Server asal	Tidak ada	CDN, WAF, ALB, server asal	Menerapkan enkripsi ujung ke ujung untuk memberikan tingkat keamanan tertinggi.

Tentukan rencana penyebaran sertifikat

Catatan

Jika Anda memerlukan bantuan selama proses penyebaran sertifikat, hubungi manajer bisnis Anda untuk bantuan.

Sebelum Anda memutuskan rencana penyebaran sertifikat SSL, tentukan metode hosting untuk server atau produk cloud Anda. Kemudian, pilih rencana penyebaran spesifik berdasarkan skenario berikut:

Men-deploy sertifikat ke Alibaba Cloud

Pilih rencana yang sesuai dari opsi berikut untuk menyebarkan sertifikat ke instance ECS, instance Simple Application Server, atau produk cloud lainnya.

ECS dan Simple Application Server

Pilih tutorial penyebaran sertifikat yang sesuai dengan server web dan sistem operasi yang Anda gunakan.

Penting

Jika Anda tidak yakin dengan jenis server web Anda, lihat Bagaimana Cara Menemukan Jenis Server Web Saya?.

Sistem Operasi Server	Tutorial Penyebaran Sertifikat
Linux	Instal Sertifikat SSL di Server Nginx atau Tengine (Linux)
	Instal Sertifikat SSL di Server Tomcat (Linux)
	Instal Sertifikat SSL di Server Apache (Linux)
	Instal Sertifikat SSL di Server Jetty (Linux)
	Instal Sertifikat SSL di Server JBoss (Linux)
	Instal Sertifikat SSL di Server GlassFish (Linux)
	Instal Sertifikat SSL di Aplikasi Spring Boot (Linux)
	Instal Sertifikat SSL di Aplikasi Python Flask (Linux)
Windows	Instal Sertifikat SSL di Server IIS (Windows)
	Sebarkan Sertifikat SSL di Server Nginx (Windows)
	Instal Sertifikat SSL di Server Apache (Windows)
	Instal Sertifikat SSL di Server Tomcat (Windows)
	Instal Sertifikat SSL di Server WebLogic (Windows)

Produk Cloud Alibaba Lainnya (tidak termasuk ECS dan Simple Application Server)

Sebarkan Sertifikat yang Menggunakan Algoritma Standar Internasional

Sebarkan dari konsol Layanan Manajemen Sertifikat Digital

Dalam skenario berikut, Anda dapat menggunakan fitur penyebaran produk cloud di konsol Layanan Manajemen Sertifikat Digital. Fitur ini memungkinkan Anda mendorong sertifikat ke produk cloud lainnya dengan satu klik dan menghilangkan kebutuhan untuk mengunggah sertifikat SSL secara manual. Untuk informasi lebih lanjut, lihat Sebarkan Sertifikat ke Produk Cloud Alibaba (Tidak Termasuk ECS dan Simple Application Server).

Catatan

Jika produk yang Anda gunakan tidak didukung oleh fitur penyebaran produk cloud, lihat dokumentasi untuk produk cloud tersebut untuk menyebarkan sertifikat.
Dalam tabel berikut, "Perbarui Sertifikat yang Ada" menunjukkan skenario di mana sertifikat sudah diterapkan ke produk cloud dan perlu diganti.

Produk cloud	Skema tugas penyebaran	Skema konfigurasi sertifikat
Container Service for Kubernetes (ACK)	Perbarui sertifikat yang ada	Klaster ACK yang dikelola dan khusus: Perbarui konfigurasi sertifikat AlbConfig dan perbarui sertifikat Secret. Penting Setelah Anda menyebarkan ke Secret, jangan modifikasi Secret secara manual di Container Service for Kubernetes (ACK).
Serverless App Engine - Rute gateway	Perbarui sertifikat yang ada	Mengonfigurasi pengalihan HTTPS untuk rute gateway (ALB dan CLB)
Function Compute (FC)	Perbarui sertifikat yang ada	Skenario fungsi HTTP
Microservices Engine - gateway cloud-native	Perbarui sertifikat yang ada	Skema rute gateway cloud-native
API Gateway	Perbarui sertifikat yang ada	Mengakses API melalui HTTPS menggunakan nama domain
Global Accelerator (GA)	Perbarui sertifikat yang ada	Mempercepat akses aman ke nama domain HTTPS
Application Load Balancer (ALB) Network Load Balancer (NLB)	Perbarui sertifikat yang ada	Menggunakan pendengar HTTPS untuk meneruskan permintaan melalui protokol HTTPS (sertifikat server) Catatan Untuk menyebarkan sertifikat klien, lihat Konfigurasikan HTTPS ujung ke ujung untuk mengenkripsi komunikasi.
Application Load Balancer (ALB) Network Load Balancer (NLB)	Perbarui sertifikat yang ada
Alibaba Cloud CDN (CDN)	Penyebaran pertama kali, pembaruan sertifikat	Skema percepatan aman HTTPS
Dynamic Content Delivery Network (DCDN)	Penyebaran pertama kali, pembaruan sertifikat	Skema percepatan aman HTTPS
Edge Security Acceleration (ESA)	Perbarui sertifikat yang ada	Skema percepatan aman HTTPS
Object Storage Service (OSS)	Perbarui sertifikat yang ada	Mengakses OSS melalui HTTPS Catatan Jika nama domain yang dipercepat CDN terpasang, Anda harus mengganti sertifikat di konsol CDN.
Web Application Firewall (WAF)	Perbarui sertifikat yang ada	Skema akses CNAME
Anti-DDoS Pro dan Anti-DDoS Premium	Perbarui sertifikat yang ada	Konfigurasi Situs Web untuk Anti-DDoS Pro dan Anti-DDoS Premium
Platform for AI (PAI)	Perbarui sertifikat yang ada	Elastic Algorithm Service (EAS): Gunakan nama domain kustom dengan gateway khusus

Sebarkan dari konsol produk cloud

Temukan produk cloud yang sesuai dalam tabel berikut, buka konsol produk tersebut, dan ikuti petunjuk dalam dokumentasi yang tercantum di kolom Referensi untuk menyelesaikan penyebaran sertifikat.

Produk cloud	Skema konfigurasi sertifikat	Referensi
Container Service for Kubernetes (ACK)	Klaster ACK yang dikelola dan khusus: Perbarui konfigurasi sertifikat AlbConfig, Perbarui sertifikat Secret Penting Saat menyebarkan ke Secret, jangan modifikasi secara manual di Container Service for Kubernetes (ACK).	Nginx Ingress ALB Ingress-Konfigurasikan sertifikat HTTPS untuk mengenkripsi komunikasi MSE Ingress-Konfigurasikan sertifikat HTTPS
Serverless App Engine - Rute gateway	Rute gateway: Konfigurasi protokol pengalihan HTTPS (ALB dan CLB)	Konfigurasikan rute gateway untuk aplikasi (ALB) Konfigurasikan rute gateway untuk aplikasi (CLB)
Function Compute (FC)	Skema fungsi HTTP	Konfigurasikan nama domain kustom
Microservices Engine - gateway cloud-native	Skema rute gateway cloud-native	Buat nama domain
API Gateway	Mengakses API melalui HTTPS menggunakan nama domain	Gunakan nama domain untuk mengakses API melalui HTTPS
Global Accelerator (GA)	Mempercepat akses aman melalui HTTPS menggunakan nama domain	Gunakan percepatan aman HTTPS untuk mengakses situs web HTTP Gunakan satu instans Global Accelerator untuk mempercepat akses ke beberapa nama domain HTTPS
Application Load Balancer (ALB) Network Load Balancer (NLB)	Menggunakan pendengar HTTPS untuk meneruskan permintaan melalui protokol HTTPS (sertifikat server) Catatan Untuk menyebarkan sertifikat klien, lihat Konfigurasikan HTTPS ujung ke ujung untuk mengenkripsi komunikasi.	ALB: Tambahkan pendengar HTTPS NLB: Tambahkan pendengar TCP/SSL
Application Load Balancer (ALB) Network Load Balancer (NLB)
Alibaba Cloud CDN (CDN)	Skema percepatan aman HTTPS	Konfigurasikan sertifikat HTTPS
Dynamic Content Delivery Network (DCDN)	Skema percepatan aman HTTPS	Konfigurasikan sertifikat HTTPS
Edge Security Acceleration (ESA)	Skema percepatan aman HTTPS	Konfigurasikan sertifikat tepi
Object Storage Service	Mengakses OSS melalui HTTPS Catatan Jika nama domain yang dipercepat CDN terpasang, ganti sertifikat di konsol CDN.	Implementasikan akses HTTPS
Web Application Firewall (WAF)	Skema akses CNAME	WAF 3.0: Tambahkan nama domain dan konfigurasikan sertifikat HTTPS WAF 2.0: Tambahkan nama domain dan konfigurasikan sertifikat HTTPS
Anti-DDoS Pro dan Anti-DDoS Premium	Skenario Konfigurasi Situs Web untuk Anti-DDoS Pro dan Anti-DDoS Premium	Ganti sertifikat server HTTPS
Platform for AI (PAI)	Elastic Algorithm Service (EAS): Gateway khusus menggunakan nama domain kustom	Gunakan nama domain kustom untuk gateway khusus

Sebarkan sertifikat ke Tencent Cloud, Huawei Cloud, dan AWS

Sebarkan dari Konsol Layanan Manajemen Sertifikat Digital
Gunakan konsol Layanan Manajemen Sertifikat Digital Alibaba Cloud untuk menyebarkan sertifikat ke platform cloud pihak ketiga. Untuk informasi lebih lanjut, lihat Sebarkan Sertifikat ke Platform Cloud Pihak Ketiga. Platform cloud dan layanan berikut didukung:
- Tencent Cloud: Content Delivery Network (CDN), Web Application Firewall (WAF), dan Classic Load Balancer (CLB)
- AWS: Amazon CloudFront (CDN) dan Load Balancer (ALB, Network Load Balancer (NLB), dan Classic Load Balancer (CLB))
- Huawei Cloud: Content Delivery Network (CDN) dan Elastic Load Balancing (ELB)
Referensi Dokumentasi Resmi Penyedia Cloud
Referensi dokumentasi resmi penyedia cloud terkait untuk menyebarkan sertifikat.

Sebarkan ke vendor lain atau server yang dikelola sendiri

Referensi dokumentasi resmi vendor terkait atau lihat Masuk ke Server untuk Menyebarkan Sertifikat (Mendukung Sertifikat SSL Internasional/SM).

Instal sertifikat root di klien

Beberapa klien, seperti perangkat IoT, sistem tertanam, sistem perusahaan internal, aplikasi offline, browser lama, dan klien Java, tidak memiliki sertifikat root CA yang sudah terpasang sebelumnya. Akibatnya, klien ini mungkin tidak mempercayai sertifikat SSL setelah diterapkan. Untuk mengatasi masalah ini, Anda perlu mengunduh dan menginstal sertifikat root di klien.

Unduh Sertifikat Root.
Instal sertifikat root di klien.
- Instal Sertifikat Root atau Perantara di Windows
- Instal Sertifikat Root di macOS

FAQ

Bagaimana cara mengunduh sertifikat root?

Untuk mengunduh sertifikat root yang didukung oleh Alibaba Cloud, lihat Unduh sertifikat root.

Apa yang harus saya lakukan jika rantai sertifikat tidak lengkap atau sertifikat perantara hilang?

Jika sertifikat root atau perantara di klien hilang atau kedaluwarsa, lihat Selesaikan rantai sertifikat SSL yang tidak lengkap. Anda dapat mengunduh dan menginstal sertifikat yang hilang, lalu mencoba mengakses situs web kembali.

Mengapa saya menerima kesalahan "Satu atau lebih sertifikat perantara dalam rantai sertifikat hilang" selama penyebaran sertifikat?

Kesalahan ini dapat terjadi saat Anda menyebarkan sertifikat SSL pada beberapa sistem server, seperti Internet Information Services (IIS) di Windows Server 2008 R2. Untuk menyelesaikan masalah ini, Anda harus menginstal sertifikat root atau perantara yang hilang di server.

Bagaimana cara menemukan jenis server web saya?

Gunakan alat pengembang browser

Gunakan browser untuk mengakses nama domain Anda.
Tekan F12 untuk membuka alat pengembang dan temukan jenis server, seperti yang ditunjukkan pada gambar berikut.

Gunakan perintah

Masuk ke server Anda.
Di server Anda, jalankan perintah berikut untuk menemukan jenis server web.
```
curl -i yourdomain
```
Catatan
yourdomain adalah parameter yang diperlukan. Gantinya dengan nama domain situs web Anda yang sebenarnya. Contohnya, curl -i www.aliyundoc.com.
Gambar berikut menunjukkan contoh keluaran perintah.

Hubungi insinyur pengembangan situs web Anda

Jika Anda masih tidak dapat menentukan jenis server web, hubungi pengembang web Anda. Jika Anda mengalami masalah lain, hubungi manajer bisnis Anda untuk bantuan.