全部产品
Search

搜索本产品

    Certificate Management Service:Unggah, Sinkronkan, dan Bagikan Sertifikat SSL

    文档中心

    Certificate Management Service:Unggah, Sinkronkan, dan Bagikan Sertifikat SSL

    更新时间:Sep 13, 2025

    Mengelola sertifikat SSL dari berbagai sumber bisa menjadi kompleks. Layanan Manajemen Sertifikat memungkinkan Anda mengelola semua sertifikat SSL secara terpusat. Unggah sertifikat yang sudah ada, sinkronkan dari Alibaba Cloud Private Certificate Authority (PCA), dan bagikan antar akun Alibaba Cloud — semuanya melalui satu konsol untuk menyederhanakan penerapan serta meningkatkan efisiensi operasional.

    Kelola sertifikat secara terpusat dari berbagai sumber

    • Sumber Sertifikat:

      • Sertifikat yang Diunggah: Unggah sertifikat yang diunduh dari Alibaba Cloud atau diperoleh dari penyedia pihak ketiga mana pun.

      • Sertifikat dari PCA: Sinkronkan sertifikat yang diterbitkan oleh Alibaba Cloud PCA Anda sendiri.

        Sertifikat yang Dibagikan: Akses sertifikat yang dibagikan dari akun Alibaba Cloud lain dalam entitas terverifikasi yang sama. Sertifikat ini muncul di konsol untuk penerapan, sementara pemilik aslinya tetap mengelola siklus hidupnya.

    • Kemampuan Inti:

      Ketika sertifikat Anda dikelola di konsol, manfaatkan kemampuan utama berikut:

      • Pemantauan Terpadu: Lacak status, periode validitas, dan penerapan semua sertifikat Anda di konsol.

      • Penerapan Produk Cloud: Terapkan sertifikat yang dikelola ke berbagai produk Alibaba Cloud melalui konsol, seperti Server Load Balancer (SLB), Content Delivery Network (CDN), Web Application Firewall (WAF), Elastic Compute Service (ECS), dan Simple Application Server.

        Catatan

        Untuk menerapkan sertifikat SSL secara manual ke server aplikasi web, Anda harus menggunakan sertifikat yang diterbitkan oleh Alibaba Cloud.

    Unggah sertifikat

    Langkah 1: Persiapkan dan verifikasi file sertifikat

    Sebelum mengunggah, pastikan file sertifikat Anda dalam format PEM (.pem atau .crt), lengkap, dan sesuai dengan kunci privat.

    1. Pastikan sertifikat dalam format PEM.

      Untuk mengonversi format lain, seperti PFX, JKS, dan PKCS8, gunakan alat Konversi Format Sertifikat SSL yang disediakan sebelum mengunggah.

      1. Masuk ke Konsol Layanan Manajemen Sertifikat.

      2. Di panel navigasi di sebelah kiri, pilih Common Certificate Tools > Convert Certificate Format.

      3. Di halaman Convert Certificate Format, konfigurasikan parameter sesuai petunjuk dan klik Submit.

    2. (Opsional) Verifikasi bahwa sertifikat dan kunci privat cocok.

      Pastikan kunci publik sertifikat dan kunci privat merupakan pasangan. Jika tidak, unggahan akan gagal atau sertifikat tidak akan berfungsi setelah diterapkan.

      Sertifikat RSA

      # Bandingkan hash MD5 modulus dari sertifikat dan kunci privat. Mereka harus identik.
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in private.key | openssl md5

      Sertifikat ECC

      # Bandingkan hash MD5 kunci publik yang diekstraksi dari sertifikat dan kunci privat. Mereka harus identik.
openssl x509 -in certificate.pem -pubkey -noout | openssl pkey -pubin -pubout -outform der | openssl md5
openssl pkey -in private.key -pubout -outform der | openssl md5

      Sertifikat SM2

      Sertifikat SM mencakup dua pasangan kunci: satu untuk penandatanganan dan satu untuk enkripsi. Anda harus memverifikasi setiap pasangan secara terpisah.

      # Verifikasi sertifikat penandatanganan dan kunci privat penandatanganan
openssl x509 -in sign_cert.pem -pubkey -noout | openssl md5
openssl pkey -in sign_private.key -pubout | openssl md5

# Verifikasi sertifikat enkripsi dan kunci privat enkripsi
openssl x509 -in enc_cert.pem -pubkey -noout | openssl md5
openssl pkey -in enc_private.key -pubout | openssl md5

      Kesalahan validasi sering disebabkan oleh kunci privat yang dilindungi kata sandi. Gunakan perintah openssl rsa -in encrypted.key -out decrypted.key untuk menghapus kata sandi dan coba lagi.

    Langkah 2: Unggah sertifikat

    1. Masuk ke Konsol Layanan Manajemen Sertifikat.

    2. Di panel navigasi di sebelah kiri, pilih Certificate Management > SSL Certificate Management.

    3. Di tab Manage Uploaded Certificates, klik Upload Certificate.

    4. Di panel Upload Certificate, konfigurasikan parameter dan klik OK.

      Internationally Accepted Algorithm

      Parameter

      Deskripsi

      Certificate Algorithm

      Pilih Internationally Accepted Algorithm untuk mendukung algoritma umum seperti RSA dan ECC.

      Certificate Name

      Masukkan nama yang mudah diingat, seperti example.com-2024-rsa.

      Certificate File

      Masukkan isi file sertifikat (PEM encoded).

      Unggah dan parse file (direkomendasikan)

      Klik Upload and Parse File dan pilih file sertifikat yang tersimpan di komputer lokal Anda. Sistem akan secara otomatis memparse isi file ke dalam kotak teks.

      Entri manual

      Buka file sertifikat dalam format PEM atau CRT dengan editor teks, salin isinya, dan tempelkan ke dalam kotak teks ini.

      • Jika hanya sertifikat server yang perlu dipercayai, file sertifikat harus mencakup sertifikat server (①) dan sertifikat perantara (②). Jika sertifikat server dan perantara Anda berada di file terpisah, Anda dapat memasukkan isi sertifikat perantara di bidang Certificate Chain.

        image

      • Jika sertifikat klien dan server perlu dipercayai, file sertifikat harus mencakup sertifikat server (①), sertifikat perantara (②), dan sertifikat root (③). Jika sertifikat server, perantara, dan root Anda berada di tiga file terpisah, gabungkan sertifikat perantara dan root dalam urutan yang ditunjukkan pada diagram dan masukkan konten gabungan di bidang Certificate Chain.image

      Certificate Key

      Masukkan isi kunci privat sertifikat (PEM encoded).

      Unggah dan parse file (direkomendasikan)

      Klik Upload and Parse File dan pilih file kunci privat yang tersimpan di komputer lokal Anda. Sistem akan secara otomatis memparse isi file ke dalam kotak teks.

      Entri manual

      Buka file kunci privat dalam format KEY dengan editor teks. Salin isinya dan tempelkan ke dalam kotak teks ini. Format untuk isi kunci privat adalah sebagai berikut:

      • RSA

        image

      • ECC

        image

      Pilih CSR yang ada

      Anda dapat memilih CSR yang dibuat atau diunggah di Konsol Layanan Manajemen Sertifikat. Sistem akan secara otomatis mencocokkan CSR dengan file sertifikat yang sesuai. Untuk informasi lebih lanjut tentang operasi CSR, lihat Buat atau unggah CSR secara manual.

      Catatan

      Jika Anda menerima kesalahan "Sertifikat dan kunci privat tidak cocok", file kunci privat mungkin rusak atau dilindungi kata sandi. Gunakan perintah openssl rsa -in <OriginalPrivateKeyFileName> -out <CustomNewPrivateKeyFileName> untuk mengkode ulang kunci ke dalam format standar yang tidak terenkripsi sebelum mengunggahnya kembali.

      Certificate Chain

      Opsional. Masukkan sertifikat perantara atau sertifikat root (PEM encoded).

      Catatan

      Jika Anda telah memasukkan rantai sertifikat lengkap di bidang File Sertifikat, lewati parameter ini.

      Unggah dan parse file (direkomendasikan)

      Klik Upload and Parse File dan pilih file rantai sertifikat yang tersimpan di komputer lokal Anda. Sistem akan secara otomatis memparse isi file ke dalam kotak teks.

      Entri manual

      Buka file rantai sertifikat dalam format PEM atau CRT dengan editor teks. Salin isinya dan tempelkan ke dalam kotak teks ini. Format untuk isi rantai sertifikat adalah sebagai berikut:

      • Sertifikat perantara atau sertifikat root

        image

      • Sertifikat perantara (①) dan sertifikat root (②)

        image

      Resource Group

      Opsional. Konfigurasikan parameter ini berdasarkan kebijakan manajemen sumber daya Anda.

      Tag Key, Tag Value

      Opsional. Konfigurasikan parameter ini berdasarkan kebijakan manajemen sumber daya Anda.

      SM2 Algorithm

      Parameter

      Deskripsi

      Certificate Algorithm

      Pilih SM2 Algorithm.

      Certificate Name

      Masukkan nama yang mudah diingat, seperti example.com-2024-sm2.

      Certificate File

      Masukkan isi file sertifikat penandatanganan (PEM encoded).

      Klik Upload and Parse File di bawah kotak teks dan pilih file sertifikat penandatanganan lokal untuk memparse isinya ke dalam kotak teks. Anda juga dapat membuka file sertifikat dalam format PEM atau CRT, menyalin isinya, dan menempelkannya ke dalam kotak teks.

      Certificate Key

      Masukkan isi kunci privat sertifikat penandatanganan (PEM encoded).

      Klik Upload and Parse File di bawah kotak teks dan pilih kunci privat sertifikat penandatanganan lokal untuk memparse isinya ke dalam kotak teks. Anda juga dapat membuka file kunci privat sertifikat penandatanganan dalam format KEY, menyalin isinya, dan menempelkannya ke dalam kotak teks.

      Encryption Certificate

      Masukkan isi file sertifikat enkripsi (PEM encoded).

      Klik Upload and Parse File di bawah kotak teks dan pilih file sertifikat enkripsi lokal untuk memparse isinya ke dalam kotak teks. Anda juga dapat membuka file sertifikat dalam format PEM atau CRT, menyalin isinya, dan menempelkannya ke dalam kotak teks.

      Encryption Private Key

      Masukkan isi kunci privat sertifikat enkripsi (PEM encoded).

      Klik Upload and Parse File di bawah kotak teks dan pilih kunci privat sertifikat enkripsi lokal untuk memparse isinya ke dalam kotak teks. Anda juga dapat membuka file kunci privat sertifikat enkripsi dalam format KEY, menyalin isinya, dan menempelkannya ke dalam kotak teks.

      Resource Group

      Opsional. Konfigurasikan parameter ini berdasarkan kebijakan manajemen sumber daya Anda.

      Tag Key, Tag Value

      Opsional. Konfigurasikan parameter ini berdasarkan kebijakan manajemen sumber daya Anda.

    Langkah 3: Verifikasi unggahan

    Setelah unggahan berhasil, sertifikat akan muncul di daftar sertifikat yang diunggah. Untuk menghapusnya, klik Delete di kolom Actions.

    Penting

    Penghapusan ini tidak dapat dibatalkan. Ini hanya menghapus sertifikat dari daftar dan tidak memengaruhi penerapan yang sudah ada yang menggunakan sertifikat tersebut.

    Sinkronisasi massal sertifikat PCA

    Sinkronkan sertifikat secara massal dari Alibaba Cloud PCA untuk menghilangkan unggahan manual. Sertifikat yang disinkronkan muncul di tab Kelola Sertifikat yang Diunggah untuk pengelolaan terpusat.

    Langkah 1: Sinkronkan sertifikat

    1. Masuk ke Konsol Layanan Manajemen Sertifikat.

    2. Di panel navigasi di sebelah kiri, pilih Certificate Management > PCA Certificate Management. Di halaman PCA Certificate Management, pilih wilayah tempat PCA Anda berada.

    3. Klik tab Private CAs. Dalam daftar, perluas CA root target, dan di kolom Aksi dari CA perantara, klik Certificates.

      image

    4. Pilih sertifikat dari daftar dan klik Batch Synchronize to SSL Certificates. Di kotak dialog yang muncul, klik OK.

      Tunggu hingga sinkronisasi selesai. Kolom Status akan menampilkan Uploaded.

      image

    Langkah 2: Verifikasi sinkronisasi

    Setelah sinkronisasi berhasil, buka Certificate Management > SSL Certificate Management dan klik tab Manage Uploaded Certificates untuk melihat sertifikat PCA yang disinkronkan di dalam daftar.

    Bagikan sertifikat SSL dengan akun Alibaba Cloud lain

    Anda dapat membagikan sertifikat yang dibeli dari Alibaba Cloud secara gratis dengan akun Alibaba Cloud lain yang termasuk dalam entitas terverifikasi yang sama. Hal ini memungkinkan penggunaan kembali sertifikat dan penagihan terpusat.

    Langkah 1: Tinjau persyaratan berbagi

    • Verifikasi Identitas: Kedua akun harus termasuk dalam entitas hukum terverifikasi yang sama. Ini berlaku untuk akun individu maupun perusahaan.

    • Sumber Sertifikat: Hanya sertifikat yang dibeli dan diterbitkan oleh Alibaba Cloud yang dapat dibagikan. Sertifikat yang diunggah atau disinkronkan tidak didukung.

    • Batas Berbagi Tunggal: Sertifikat hanya dapat dibagikan sekali. Penerima sertifikat yang dibagikan tidak dapat membagikannya lagi.

    Langkah 2: Bagikan sertifikat

    1. Masuk ke Konsol Layanan Manajemen Sertifikat.

    2. Di panel navigasi di sebelah kiri, pilih Certificate Management > SSL Certificate Management.

    3. Di tab Official Certificate, temukan sertifikat yang telah diterbitkan yang ingin Anda bagikan. Di kolom Actions, klik More.

    4. Di tab Share Certificate, masukkan ID akun Alibaba Cloud dengan mana Anda ingin membagikan sertifikat di kotak teks Account ID. Lalu klik Confirm and Share.

    Langkah 3: Verifikasi berbagi

    Masuk sebagai penerima dan navigasikan ke tab Manage Uploaded Certificates di halaman SSL Certificate Management. Sertifikat yang dibagikan akan muncul dalam daftar, diidentifikasi oleh ikon Sharing icon pada kolom Status.

    Penting

    Anda tidak dapat mengunduh atau membagikan ulang sertifikat yang telah dibagikan.

    Operasi lainnya

    Kelola tugas tertunda

    Lihat tugas tertunda

    • Saat beralih ke tab Manage Uploaded Certificates, jika sistem mendeteksi tugas tertunda untuk sertifikat yang diunggah, seperti Expiration Notification Disabled, Remaining Amount/Required Amount, No Cloud Services Deployed, dan Pending Renewal, kotak dialog Action Items akan muncul meminta Anda untuk menanganinya.

      image

    • Anda dapat membuka kembali kotak dialog Action Items dengan mengklik Pending Items di tab Manage Uploaded Certificates.

      image

    • Jika Anda tidak perlu menangani tugas-tugas ini segera, pilih Do Not Remind Me Again for 7 Days, lalu klik Close untuk mengurangi frekuensi pengingat.

    Kelola tugas tertunda

    Kotak dialog mencantumkan jumlah item tertunda untuk setiap tugas dan tindakan yang tersedia:

    • Notifications are disabled.

      • Remaining Amount/Required Amount: Menampilkan informasi kuota notifikasi Anda saat ini. Jika kuota tidak mencukupi, klik Purchase untuk membeli tambahan kuota notifikasi.

      • One-click Notification: Filter dan pilih sertifikat dengan status Notifications are disabled. Klik Notification di bawah daftar untuk mengaktifkan notifikasi.

        image

        Catatan

        Mengaktifkan notifikasi mengonsumsi kuota sumber daya notifikasi Anda. Jika kuota saat ini tidak mencukupi, beli sumber daya notifikasi.

    • No Cloud Services Deployed

    • To Be Renewed

      • Renew: Filter sertifikat dengan status To Be Renewed. Klik Update di kolom Aksi untuk menyelesaikan pembaruan sertifikat.

        image

    Lihat peringatan risiko sertifikat

    Jika Anda mengunggah sertifikat CA pribadi dengan periode validitas lebih dari 1 tahun, sistem akan menampilkan peringatan risiko kebocoran pada kolom Validity Period untuk sertifikat tersebut. Arahkan kursor ke tag Risiko Kebocoran untuk melihat detail dan tindakan yang direkomendasikan.

    image

    Catatan

    Atur periode validitas sertifikat CA pribadi maksimal 1 tahun untuk mengurangi risiko kebocoran kunci.

    Praktik Terbaik

    • Konvensi penamaan: Gunakan skema penamaan konsisten yang mencakup domain, tahun, dan algoritma, seperti example.com-2024-rsa2048, untuk mempermudah identifikasi dan audit.

    • Manajemen tag: Tandai sertifikat berdasarkan proyek dan lingkungan (produksi/uji) guna mendukung kategorisasi sumber daya serta alokasi biaya.

    • Manajemen periode validitas: Tetapkan periode validitas sertifikat yang diterbitkan oleh CA pribadi menjadi satu tahun atau kurang demi mengurangi risiko kompromi kunci. Pastikan pengingat kedaluwarsa diaktifkan dan rencanakan pembaruan setidaknya 30 hari sebelum tanggal kedaluwarsa.

    FAQ

    Apa yang harus saya lakukan jika saya mendapatkan kesalahan "Sertifikat dan kunci privat tidak cocok" selama unggahan?

    Kesalahan ini menunjukkan bahwa kunci publik sertifikat dan file kunci privat tidak membentuk pasangan. Ikuti langkah-langkah berikut untuk memecahkan masalah:

    1. Periksa file: Pastikan Anda tidak memilih file yang salah, seperti mengunggah sertifikat untuk Domain A dengan kunci privat untuk Domain B.

    2. Jalankan verifikasi: Gunakan perintah openssl yang dijelaskan di Verifikasi bahwa sertifikat dan kunci privat cocok untuk memverifikasi bahwa modulus atau sidik jari kunci publik sertifikat dan kunci privat identik.

    3. Periksa kata sandi kunci privat: Jika file kunci privat dilindungi kata sandi, platform tidak dapat membacanya. Gunakan perintah openssl rsa -in encrypted.key -out decrypted.key untuk menghapus kata sandi, lalu coba lagi.

    Mengapa unggahan sertifikat saya gagal dengan kesalahan "Format sertifikat salah"?

    Layanan ini hanya mendukung file sertifikat yang dikodekan dalam format PEM.

    Jika sertifikat Anda dalam format lain, seperti PFX atau P12, lihat Konfirmasi format sertifikat untuk mengonversinya ke format PEM sebelum mengunggah. Pastikan konten yang Anda salin mencakup seluruh penanda -----BEGIN...----- dan -----END...-----.

    Mengapa berbagi sertifikat saya gagal?

    Periksa alasan umum berikut:

    • Verifikasi identitas tidak cocok: Akun Alibaba Cloud yang berbagi dan menerima tidak termasuk dalam entitas individu atau perusahaan terverifikasi yang sama.

    • Sumber sertifikat tidak didukung: Fitur ini hanya berlaku untuk sertifikat yang dibeli dari Alibaba Cloud. Sertifikat yang Anda unggah atau sinkronkan dari PCA tidak didukung.

    • Berbagi lintas situs: Berbagi tidak diizinkan antara akun di situs Alibaba Cloud China (aliyun.com) dan situs internasional (alibabacloud.com).