All Products
Search

This Product

    VPN Gateway:Buat dan kelola server SSL

    Document Center

    VPN Gateway:Buat dan kelola server SSL

    Last Updated:May 20, 2026

    Server SSL menentukan jaringan dan resource yang dapat diakses oleh klien. Anda harus membuat server SSL sebelum menggunakan fitur SSL-VPN.

    Prasyarat

    Anda harus memiliki instans VPN Gateway dengan fitur SSL-VPN yang diaktifkan. Untuk informasi selengkapnya, lihat Buat dan kelola instans VPN Gateway.

    Jika Anda tidak mengaktifkan fitur SSL-VPN saat membuat instans VPN Gateway, Anda dapat mengaktifkannya kapan saja. Untuk informasi selengkapnya, lihat Aktifkan fitur SSL-VPN.

    Buat server SSL

    1. Masuk ke Konsol VPN Gateway.

    2. Pada panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server SSL.

      Server SSL harus berada di wilayah yang sama dengan instans VPN Gateway terkait.

    4. Pada halaman SSL Servers, klik Create SSL Server.

    5. Pada panel Create SSL Server, konfigurasikan parameter berikut lalu klik OK.

      Parameter

      Deskripsi

      Name

      Masukkan nama untuk server SSL.

      Resource Group

      Pilih kelompok sumber daya tempat instans VPN Gateway berada.

      Server SSL secara otomatis ditambahkan ke kelompok sumber daya yang sama dengan instans VPN Gateway.

      VPN Gateway

      Pilih instans VPN Gateway.

      Pastikan fitur SSL-VPN telah diaktifkan untuk instans VPN Gateway yang dipilih.

      Local Network

      Menentukan Blok CIDR yang dapat diakses oleh client melalui koneksi SSL-VPN.

      Jaringan lokal dapat berupa Blok CIDR dari Virtual Private Cloud (VPC), vSwitch, pusat data lokal yang terhubung ke VPC melalui Sirkuit Express Connect, atau layanan cloud seperti Object Storage Service (OSS) atau ApsaraDB RDS.

      Klik Add Local CIDR Block untuk menambahkan beberapa Blok CIDR. Anda dapat menambahkan hingga lima jaringan lokal. Rentang alamat IP berikut tidak didukung:

      • 127.0.0.0 hingga 127.255.255.255

      • 169.254.0.0 hingga 169.254.255.255

      • 224.0.0.0 hingga 239.255.255.255

      • 255.0.0.0 hingga 255.255.255.255

      Catatan

      Panjang subnet mask jaringan lokal harus antara 8 hingga 32 bit.

      Client CIDR Block

      Kolam alamat IP tempat instans VPN Gateway memberikan alamat IP kepada client. Ini bukan Blok CIDR pribadi milik client.

      Blok CIDR client harus menyediakan setidaknya empat kali jumlah alamat IP dibandingkan jumlah maksimum koneksi SSL bersamaan yang didukung oleh instans VPN Gateway.

      • Klik untuk melihat alasannya.

        Misalnya, jika Anda menentukan 192.168.0.0/24 sebagai Blok CIDR client, sistem akan mengalokasikan subnet /30, seperti 192.168.0.4/30, untuk setiap koneksi. Satu alamat IP dari subnet ini diberikan kepada client, sedangkan tiga lainnya dicadangkan oleh sistem untuk komunikasi jaringan. Oleh karena itu, setiap koneksi client mengonsumsi empat alamat IP dari kolam tersebut. Agar semua client dapat memperoleh alamat IP, jumlah total alamat IP dalam Blok CIDR client Anda harus minimal empat kali jumlah maksimum koneksi SSL untuk instans VPN Gateway.

      • Klik untuk melihat Blok CIDR yang tidak didukung.

        • 100.64.0.0 hingga 100.127.255.255

        • 127.0.0.0 hingga 127.255.255.255

        • 169.254.0.0 hingga 169.254.255.255

        • 224.0.0.0 hingga 239.255.255.255

        • 255.0.0.0 hingga 255.255.255.255

      • Klik untuk melihat rekomendasi Blok CIDR client untuk jumlah koneksi SSL yang berbeda.

        • Untuk 5 koneksi SSL, kami merekomendasikan panjang subnet mask 27 bit atau lebih pendek. Contoh: 10.0.0.0/27 atau 10.0.0.0/26.

        • Untuk 10 koneksi SSL, kami merekomendasikan panjang subnet mask 26 bit atau lebih pendek. Contoh: 10.0.0.0/26 atau 10.0.0.0/25.

        • Untuk 20 koneksi SSL, kami merekomendasikan panjang subnet mask 25 bit atau lebih pendek. Contoh: 10.0.0.0/25 atau 10.0.0.0/24.

        • Untuk 50 koneksi SSL, kami merekomendasikan panjang subnet mask 24 bit atau lebih pendek. Contoh: 10.0.0.0/24 atau 10.0.0.0/23.

        • Untuk 100 koneksi SSL, kami merekomendasikan panjang subnet mask 23 bit atau lebih pendek. Contoh: 10.0.0.0/23 atau 10.0.0.0/22.

        • Untuk 200 koneksi SSL, kami merekomendasikan panjang subnet mask 22 bit atau lebih pendek. Contoh: 10.0.0.0/22 atau 10.0.0.0/21.

        • Untuk 500 koneksi SSL, kami merekomendasikan panjang subnet mask 21 bit atau lebih pendek. Contoh: 10.0.0.0/21 atau 10.0.0.0/20.

        • Untuk 1.000 koneksi SSL, kami merekomendasikan panjang subnet mask 20 bit atau lebih pendek. Contoh: 10.0.0.0/20 atau 10.0.0.0/19.

      Penting

      • Panjang subnet mask Blok CIDR client harus antara 16 hingga 29 bit.

      • Pastikan Blok CIDR client tidak tumpang tindih dengan Local Network, Blok CIDR VPC, atau Blok CIDR apa pun yang dirutekan pada client.

      • Kami merekomendasikan penggunaan Blok CIDR pribadi seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16, atau subnet-nya. Jika Anda harus menggunakan rentang alamat IP publik, konfigurasikan rentang alamat IP publik tersebut sebagai Blok CIDR yang ditentukan pengguna untuk VPC guna memastikan perutean yang tepat. Untuk informasi selengkapnya tentang Blok CIDR yang ditentukan pengguna, lihat FAQ VPC dan FAQ VPC.

      • Setelah membuat server SSL, sistem secara otomatis menambahkan entri rute untuk Blok CIDR client ke tabel rute VPC. Jangan tambahkan entri rute ini secara manual. Jika tidak, traffic SSL-VPN mungkin tidak dikirimkan sebagaimana mestinya.

      Advanced Configuration

      Protocol

      Protokol untuk koneksi SSL-VPN. Nilai yang valid:

      • UDP

      • TCP (default)

      Port

      Port yang digunakan oleh server SSL. Nilai yang valid: 1 hingga 65535. Nilai default: 1194.

      Catatan

      Port berikut tidak didukung: 22, 2222, 22222, 9000, 9001, 9002, 7505, 80, 443, 53, 68, 123, 4510, 4560, 500, dan 4500.

      Encryption Algorithm

      Algoritma enkripsi untuk koneksi SSL-VPN.

      • Jika client menggunakan Tunnelblick atau OpenVPN versi 2.4.0 atau lebih baru, server SSL dan client akan melakukan negosiasi dinamis terhadap algoritma enkripsi. Negosiasi ini memprioritaskan algoritma paling aman yang didukung oleh kedua belah pihak. Dalam kasus ini, algoritma enkripsi yang Anda tentukan untuk server SSL tidak berlaku.

      • Jika client menggunakan OpenVPN versi sebelum 2.4.0, server SSL dan client akan menggunakan algoritma enkripsi yang Anda tentukan untuk server SSL. Server SSL mendukung algoritma enkripsi berikut:

        • AES-128-CBC (default)

        • AES-192-CBC

        • AES-256-CBC

        • none

          Menonaktifkan enkripsi.

      Compressed

      Menentukan apakah data dikompresi melalui koneksi SSL-VPN. Nilai yang valid:

      • Yes

      • No (default)

      Two-factor Authentication

      Menentukan apakah otentikasi dua faktor diaktifkan. Secara default dinonaktifkan.

      Otentikasi dua faktor menambahkan lapisan keamanan kedua pada koneksi SSL-VPN dengan mewajibkan client melewati dua metode autentikasi: autentikasi sertifikat klien SSL default dan autentikasi username serta password terhadap instans IDaaS EIAM. Hal ini melindungi dari pencurian identitas dan koneksi tidak sah, sehingga menjaga keamanan data sensitif di VPC Anda. Untuk tutorialnya, lihat Otentikasi dua faktor SSL-VPN.

      Jika Anda mengaktifkan fitur ini, Anda harus memilih instans IDaaS EIAM dan ID aplikasi IDaaS untuk autentikasi.

      Klik untuk mempelajari proses otentikasi dua faktor

      1. Client menginisiasi permintaan koneksi SSL-VPN.

      2. Setelah memverifikasi sertifikat, instans VPN Gateway meminta client memasukkan username dan password.

      3. Setelah Anda memasukkan username dan password pada client, perangkat lunak VPN mengirimkan kredensial tersebut ke instans VPN Gateway.

      4. Instans VPN Gateway meneruskan kredensial tersebut ke IDaaS untuk autentikasi.

      5. IDaaS mengotentikasi username dan password lalu mengembalikan hasilnya ke instans VPN Gateway.

      6. Berdasarkan hasil dari IDaaS, instans VPN Gateway mengizinkan atau menolak koneksi SSL-VPN.

      Catatan

      • Jika ini pertama kalinya Anda menggunakan otentikasi dua faktor, Anda harus terlebih dahulu memberikan izin yang diperlukan. Untuk informasi selengkapnya, lihat Authorization.

      • Saat membuat server SSL di wilayah UAE (Dubai), kami merekomendasikan agar Anda mengikat instans IDaaS EIAM 2.0 di wilayah Singapura untuk mengurangi latensi cross-region.

      • Instans IDaaS EIAM 1.0 tidak lagi tersedia untuk pembelian. Jika terdapat instans IDaaS EIAM 1.0 di Akun Alibaba Cloud Anda, Anda tetap dapat mengikat instans tersebut setelah mengaktifkan otentikasi dua faktor.

        Jika tidak ada instans IDaaS EIAM 1.0 di Akun Alibaba Cloud Anda, Anda hanya dapat mengikat instans IDaaS EIAM 2.0.

      • Saat mengikat instans IDaaS EIAM 2.0, Anda mungkin diminta untuk melakukan peningkatan instans VPN Gateway. Untuk informasi selengkapnya, lihat [Change Notice] Otentikasi dua faktor SSL-VPN mendukung IDaaS EIAM 2.0.

      Custom Client DNS

      Jika diaktifkan, Anda dapat mengonfigurasi pengaturan DNS untuk semua client secara terpusat. Fitur ini hanya tersedia di beberapa wilayah. Untuk informasi selengkapnya, lihat Konfigurasikan pengaturan DNS untuk client.

    Langkah berikutnya

    Setelah membuat server SSL, buat dan unduh sertifikat klien SSL. Instal sertifikat tersebut pada perangkat klien untuk mengotentikasi klien dan mengenkripsi data. Untuk informasi selengkapnya, lihat Buat dan kelola sertifikat klien SSL.

    Ubah server SSL

    Setelah membuat server SSL, Anda dapat mengubah konfigurasinya. Bergantung pada perubahan yang dilakukan, Anda mungkin perlu mengunduh sertifikat klien SSL baru atau membuat ulang koneksi SSL-VPN.

    Penting

    • Jika Anda mengubah pengaturan pada bagian Advanced Configuration server SSL untuk Protocol, Compressed, atau Two-factor Authentication, sertifikat klien SSL yang terkait dengan server SSL tersebut menjadi tidak valid. Anda harus membuat sertifikat klien SSL baru, menginstal sertifikat baru tersebut pada klien, lalu menginisiasi ulang koneksi SSL-VPN.

    • Mengubah Local Network atau Client CIDR Block akan menghentikan semua koneksi SSL-VPN aktif pada server SSL tersebut. Klien harus membuat ulang koneksi mereka.

    1. Masuk ke Konsol VPN Gateway.

    2. Pada panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Pada bilah navigasi atas, pilih wilayah server SSL.

    4. Pada halaman SSL Servers, temukan server SSL yang akan diubah lalu klik Edit pada kolom Actions.

    5. Pada panel Modify SSL Server, ubah nama, jaringan lokal, Blok CIDR client, atau pengaturan konfigurasi lanjutan, lalu klik OK.

    Hapus server SSL

    Anda dapat menghapus server SSL yang tidak lagi diperlukan. Menghapus server SSL juga akan menghapus semua sertifikat klien SSL terkait dan segera menghentikan semua koneksi klien aktif.

    1. Masuk ke Konsol VPN Gateway.

    2. Pada panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Pada bilah navigasi atas, pilih wilayah server SSL.

    4. Pada halaman SSL Servers, temukan server SSL yang akan dihapus lalu klik Delete pada kolom Actions.

    5. Pada kotak dialog konfirmasi, tinjau informasi tersebut lalu klik Delete.

    Kelola server SSL menggunakan Operasi API

    Anda dapat memanggil operasi API untuk membuat, mengkueri, mengubah, dan menghapus server SSL menggunakan alat seperti Alibaba Cloud SDK (direkomendasikan), Alibaba Cloud CLI, Terraform, dan Resource Orchestration Service (ROS). Untuk informasi selengkapnya, lihat topik berikut: