Private Certificate Authority (PCA) adalah layanan Alibaba Cloud untuk mengelola sertifikat digital sepanjang siklus hidupnya. PCA memungkinkan organisasi Anda membangun infrastruktur kunci publik (Public Key Infrastructure/PKI) pribadi tanpa perlu mengelola perangkat keras CA sendiri, sehingga mendukung otentikasi identitas dan enkripsi data untuk aplikasi internal, perangkat IoT, dan klien seluler.
Konsep utama
PCA menggunakan hierarki tiga tingkat: root CA, intermediate CA, dan sertifikat entitas akhir.
-
Root CA: Jangkar kepercayaan dalam rantai sertifikat. Hanya digunakan untuk menerbitkan sertifikat intermediate CA. Kami menyarankan agar Anda mengontrol penggunaan dan izinnya secara ketat.
-
Intermediate CA: Menerbitkan sertifikat entitas akhir. Kami menyarankan agar Anda membuat intermediate CA terpisah untuk unit organisasi atau lini bisnis yang berbeda guna memungkinkan manajemen terisolasi.
-
Sertifikat entitas akhir: Diterbitkan oleh intermediate CA dan diterapkan pada server, klien, dan perangkat.
Kasus penggunaan
Private CA cocok untuk otentikasi identitas dan komunikasi aman di lingkungan perusahaan atau IoT yang tidak memerlukan kepatuhan regulasi eksternal.
Skenario khas:
-
Otentikasi perangkat IoT: Mengotentikasi komunikasi vehicle-to-vehicle (V2V) dan vehicle-to-infrastructure (V2I) dalam aplikasi Internet of Vehicles (IoV). Misalnya, satu kendaraan mungkin memerlukan lima sertifikat atau lebih.
-
Sistem perusahaan internal: Mengaktifkan otentikasi timbal balik (mTLS) antar sistem internal, seperti sistem Office Automation (OA) dan Human Resources (HR).
-
Arsitektur microservices: Mengotentikasi dan mengenkripsi komunikasi antar layanan.
Keunggulan utama: Mendukung penerbitan, pencabutan, dan perpanjangan sertifikat secara otomatis untuk memenuhi kebutuhan manajemen penerapan perangkat berskala besar.
Prosedur
Ikuti langkah-langkah berikut untuk membangun platform sertifikat pribadi bagi organisasi Anda. Di bawah satu root CA, Anda dapat membeli beberapa intermediate CA sesuai struktur organisasi untuk mengelola sertifikat pribadi tiap departemen secara terpisah.
-
Beli Private CA
Saat pertama kali membuat Private CA, Anda harus membeli root CA pribadi. Untuk informasi selengkapnya, lihat Purchase a private root CA. Untuk informasi tentang pengembalian dana, lihat Refund policies for PCA. Setelah pengembalian dana diproses, Anda dapat menghapus instans CA tersebut secara manual dari daftar CA.
CatatanTiap instans root CA mencakup: 1 root CA, 1 intermediate CA, dan kuota gratis 10 sertifikat pribadi. Kuota gratis ini tunduk pada aturan berikut:
-
Periode penggunaan kuota: Anda harus menggunakan kuota gratis untuk menerbitkan sertifikat dalam waktu 30 hari sejak pembelian. Kuota yang tidak digunakan akan kedaluwarsa dan dihapus setelah periode tersebut.
-
Periode validitas sertifikat: Sertifikat yang diterbitkan menggunakan kuota gratis berlaku selama 30 hari sejak tanggal penerbitan dan tidak diperpanjang saat root CA diperbarui. Periode validitas sertifikat yang dibeli secara terpisah dapat dikustomisasi.
-
-
Aktifkan root CA dan intermediate CA
Setelah pembelian, aktifkan root CA terlebih dahulu, lalu intermediate CA. Untuk informasi selengkapnya, lihat Enable a private CA.
CatatanUntuk mengubah informasi Private CA yang telah diaktifkan, reset root CA atau intermediate CA yang dituju, lalu aktifkan kembali. Untuk informasi selengkapnya, lihat Reset a private CA.
-
Tetapkan kuota sertifikat pribadi
Tetapkan kuota penerbitan sertifikat ke intermediate CA. Intermediate CA menggunakan kuota ini untuk menerbitkan sertifikat pribadi. Untuk informasi selengkapnya, lihat Assign a private certificate quota.
CatatanSecara default, tiap root CA mencakup kuota gratis 10 sertifikat pribadi. Anda dapat membeli kuota tambahan sesuai kebutuhan. Untuk informasi selengkapnya, lihat Purchase a private certificate quota.
-
Terbitkan sertifikat pribadi
Gunakan intermediate CA yang telah diaktifkan untuk menerbitkan sertifikat pribadi. Untuk informasi selengkapnya, lihat Issue a private certificate.
CatatanPenerbitan sertifikat pribadi menghabiskan kuota sertifikat yang sesuai. Kuota yang telah digunakan tidak dapat dikembalikan.
-
Unduh dan instal sertifikat pribadi
Unduh sertifikat pribadi yang telah diterbitkan dan terapkan pada entitas yang dituju. Untuk informasi selengkapnya, lihat Download a private certificate.
Penagihan
-
PCA menggunakan model prabayar. Anda ditagih secara terpisah untuk instans CA dan kuota sertifikat. Untuk aturan penagihan lengkap, lihat Billing of PCA.
-
Untuk informasi tentang pengembalian dana, lihat Refund policies for PCA. Setelah pengembalian dana diproses, Anda dapat menghapus instans CA yang sesuai secara manual dari daftar CA.
FAQ
Apa saja batasan kuota gratis?
-
Anda harus menggunakan kuota gratis dalam waktu 30 hari sejak pembelian root CA. Kuota yang tidak digunakan akan kedaluwarsa setelah periode tersebut.
-
Sertifikat yang diterbitkan menggunakan kuota gratis berlaku selama 30 hari dan tidak diperpanjang saat root CA diperbarui.
-
Periode validitas sertifikat yang dibeli secara terpisah dapat dikustomisasi.
Bagaimana cara mengubah informasi CA yang telah diaktifkan?
Reset CA tersebut, lalu aktifkan kembali. Untuk informasi selengkapnya, lihat Reset a private CA.
Bagaimana cara menghapus CA yang tidak digunakan?
Setelah pengembalian dana untuk CA diproses, Anda dapat menghapus instans CA tersebut secara manual dari daftar CA. Untuk informasi tentang pengembalian dana, lihat Refund policies for PCA.