All Products
Search

This Product

    VPN Gateway:Buat dan kelola server SSL

    Document Center

    VPN Gateway:Buat dan kelola server SSL

    Last Updated:Apr 02, 2026

    Server SSL menentukan jaringan dan resource yang dapat diakses oleh klien. Sebelum menggunakan fitur SSL-VPN, Anda harus terlebih dahulu membuat server SSL.

    Prasyarat

    Anda telah membuat instans VPN Gateway dan mengaktifkan fitur SSL-VPN untuk instans tersebut. Untuk informasi selengkapnya, lihat Buat dan kelola instans VPN Gateway.

    Jika Anda tidak mengaktifkan fitur SSL-VPN saat membuat instans VPN Gateway, Anda dapat mengaktifkannya kapan saja. Untuk informasi selengkapnya, lihat Aktifkan fitur SSL-VPN.

    Buat server SSL

    1. Masuk ke Konsol VPN Gateway.

    2. Pada panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Pada bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server SSL.

      Server SSL harus berada di wilayah yang sama dengan instans VPN Gateway terkait.

    4. Pada halaman SSL Servers, klik Create SSL Server.

    5. Pada panel Create SSL Server, konfigurasikan parameter dan klik OK.

      Parameter

      Deskripsi

      Name

      Masukkan nama untuk server SSL.

      Resource Group

      Pilih kelompok sumber daya tempat instans VPN Gateway berada.

      Sistem secara otomatis menambahkan server SSL ke kelompok sumber daya yang sama dengan instans VPN Gateway.

      VPN Gateway

      Pilih instans VPN Gateway yang akan dikaitkan dengan server SSL.

      Pastikan fitur SSL-VPN telah diaktifkan untuk instans VPN Gateway yang dipilih.

      Local Network

      Blok CIDR tujuan yang dapat diakses oleh client melalui koneksi SSL-VPN.

      Jaringan lokal dapat berupa blok CIDR dari Virtual Private Cloud (VPC), vSwitch, pusat data yang terhubung ke VPC melalui sirkuit Express Connect, atau layanan cloud seperti Object Storage Service (OSS) atau ApsaraDB RDS.

      Klik Add Local CIDR Block untuk menambahkan beberapa blok CIDR. Anda dapat menambahkan hingga lima jaringan lokal. Rentang alamat IP berikut tidak dapat digunakan untuk jaringan lokal:

      • 127.0.0.0 hingga 127.255.255.255

      • 169.254.0.0 hingga 169.254.255.255

      • 224.0.0.0 hingga 239.255.255.255

      • 255.0.0.0 hingga 255.255.255.255

      Catatan

      Panjang awalan jaringan lokal harus antara 8 hingga 32 bit.

      Client CIDR Block

      Kolam alamat IP tempat instans VPN Gateway memberikan alamat IP kepada antarmuka jaringan virtual client. Kolam ini terpisah dari jaringan pribadi client. Saat client terhubung, instans VPN Gateway memberikan alamat IP dari kolam ini untuk mengakses sumber daya cloud.

      Pastikan blok CIDR client menyediakan setidaknya empat kali jumlah alamat IP dari jumlah maksimum koneksi SSL bersamaan yang didukung oleh instans VPN Gateway.

      • Klik untuk melihat alasannya.

        Misalnya, jika Anda menetapkan 192.168.0.0/24 sebagai blok CIDR client, sistem membagi subnet /30, seperti 192.168.0.4/30, untuk menangani satu koneksi. Satu alamat IP dari subnet ini diberikan kepada client, sedangkan tiga lainnya dicadangkan oleh sistem untuk komunikasi jaringan. Oleh karena itu, setiap koneksi client mengonsumsi empat alamat IP dari kolam. Agar semua client dapat terhubung, jumlah total alamat IP yang tersedia dalam blok CIDR client Anda harus minimal empat kali jumlah maksimum koneksi SSL untuk instans VPN Gateway.

      • Klik untuk melihat blok CIDR yang tidak didukung.

        • 100.64.0.0 hingga 100.127.255.255

        • 127.0.0.0 hingga 127.255.255.255

        • 169.254.0.0 hingga 169.254.255.255

        • 224.0.0.0 hingga 239.255.255.255

        • 255.0.0.0 hingga 255.255.255.255

      • Klik untuk melihat rekomendasi blok CIDR client untuk jumlah koneksi SSL yang berbeda.

        • Untuk 5 koneksi SSL, panjang awalan yang direkomendasikan adalah 27 atau kurang. Contoh: 10.0.0.0/27 atau 10.0.0.0/26.

        • Untuk 10 koneksi SSL, panjang awalan yang direkomendasikan adalah 26 atau kurang. Contoh: 10.0.0.0/26 atau 10.0.0.0/25.

        • Untuk 20 koneksi SSL, panjang awalan yang direkomendasikan adalah 25 atau kurang. Contoh: 10.0.0.0/25 atau 10.0.0.0/24.

        • Untuk 50 koneksi SSL, panjang awalan yang direkomendasikan adalah 24 atau kurang. Contoh: 10.0.0.0/24 atau 10.0.0.0/23.

        • Untuk 100 koneksi SSL, panjang awalan yang direkomendasikan adalah 23 atau kurang. Contoh: 10.0.0.0/23 atau 10.0.0.0/22.

        • Untuk 200 koneksi SSL, panjang awalan yang direkomendasikan adalah 22 atau kurang. Contoh: 10.0.0.0/22 atau 10.0.0.0/21.

        • Untuk 500 koneksi SSL, panjang awalan yang direkomendasikan adalah 21 atau kurang. Contoh: 10.0.0.0/21 atau 10.0.0.0/20.

        • Untuk 1.000 koneksi SSL, panjang awalan yang direkomendasikan adalah 20 atau kurang. Contoh: 10.0.0.0/20 atau 10.0.0.0/19.

      Penting

      • Panjang awalan blok CIDR client harus antara 16 hingga 29 bit.

      • Pastikan blok CIDR client tidak tumpang tindih dengan Local Network, blok CIDR VPC, atau entri rute CIDR apa pun yang terkait dengan client.

      • Gunakan blok CIDR pribadi seperti 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, atau subnetnya. Jika Anda harus menggunakan rentang alamat IP publik, Anda harus mengonfigurasinya sebagai blok CIDR yang ditentukan pengguna untuk VPC guna memastikan perutean yang tepat. Untuk informasi selengkapnya, lihat FAQ VPC dan FAQ VPC.

      • Setelah membuat server SSL, sistem secara otomatis menambahkan entri rute untuk blok CIDR client ke tabel rute VPC. Jangan menambahkan entri rute ini secara manual karena dapat mengganggu traffic SSL-VPN.

      Advanced Configuration

      Protocol

      Protokol untuk koneksi SSL-VPN. Nilai yang valid:

      • UDP

      • TCP (Default)

      Port

      Port yang digunakan oleh server SSL. Nilainya harus berupa bilangan bulat dari 1 hingga 65535. Nilai default-nya adalah 1194.

      Catatan

      Port berikut tidak didukung: 22, 2222, 22222, 9000, 9001, 9002, 7505, 80, 443, 53, 68, 123, 4510, 4560, 500, dan 4500.

      Encryption Algorithm

      Algoritma enkripsi untuk koneksi SSL-VPN.

      • Jika client menggunakan Tunnelblick atau client OpenVPN versi 2.4.0 atau lebih baru, algoritma enkripsi dinegosiasikan secara dinamis. Negosiasi memprioritaskan algoritma paling aman yang didukung oleh server dan client. Algoritma yang ditentukan untuk server SSL tidak berlaku.

      • Jika client menggunakan client OpenVPN versi sebelum 2.4.0, client menggunakan algoritma yang ditentukan untuk server SSL. Algoritma yang didukung meliputi:

        • AES-128-CBC (Default)

        • AES-192-CBC

        • AES-256-CBC

        • none

          Opsi ini menonaktifkan enkripsi.

      Compressed

      Aktifkan atau nonaktifkan kompresi data untuk koneksi SSL-VPN. Nilai yang valid:

      • Yes

      • No (Default)

      Two-factor Authentication

      Aktifkan atau nonaktifkan otentikasi dua faktor. Fitur ini dinonaktifkan secara default.

      Otentikasi dua faktor menambahkan lapisan keamanan kedua pada koneksi SSL-VPN. Fitur ini mengharuskan client melewati dua pemeriksaan otentikasi terpisah: otentikasi sertifikat klien SSL default dan otentikasi username/password terhadap instans IDaaS EIAM. Client hanya mendapatkan akses setelah berhasil melewati kedua pemeriksaan tersebut. Mekanisme otentikasi ganda ini meningkatkan keamanan dengan melindungi dari pencurian identitas dan koneksi tidak sah, sehingga menjaga keamanan data sensitif dalam VPC Anda. Untuk tutorialnya, lihat Otentikasi dua faktor SSL-VPN.

      Setelah mengaktifkan fitur ini, Anda harus memilih instans IDaaS EIAM dan ID aplikasi IDaaS untuk otentikasi.

      Klik untuk mempelajari proses otentikasi dua faktor

      1. Client memulai permintaan koneksi SSL-VPN.

      2. Instans VPN Gateway menerima permintaan dan melakukan otentikasi sertifikat klien SSL. Setelah memverifikasi sertifikat, gateway meminta client untuk memasukkan username dan password.

      3. Setelah Anda memasukkan username dan password di client, perangkat lunak VPN mengirimkan kredensial tersebut ke instans VPN Gateway.

      4. Instans VPN Gateway menerima kredensial dan meneruskannya ke IDaaS untuk otentikasi.

      5. IDaaS mengotentikasi username dan password serta mengembalikan hasilnya ke instans VPN Gateway.

      6. Berdasarkan hasil dari IDaaS, instans VPN Gateway mengizinkan atau menolak koneksi SSL-VPN.

      Catatan

      • Saat pertama kali menggunakan fitur otentikasi dua faktor, Anda harus memberikan izin yang diperlukan terlebih dahulu. Untuk informasi selengkapnya, lihat Authorization.

      • Saat membuat server SSL di wilayah UAE (Dubai), kaitkan dengan instans IDaaS EIAM 2.0 di wilayah Singapura untuk mengurangi latensi cross-region.

      • Instans IDaaS EIAM 1.0 tidak lagi tersedia untuk pembelian. Jika akun Alibaba Cloud Anda memiliki instans IDaaS EIAM 1.0, Anda masih dapat mengaitkannya setelah mengaktifkan otentikasi dua faktor.

        Jika akun Alibaba Cloud Anda tidak memiliki instans IDaaS EIAM 1.0, Anda hanya dapat mengaitkan instans IDaaS EIAM 2.0.

      • Saat mengaitkan instans IDaaS EIAM 2.0, Anda mungkin diminta untuk melakukan peningkatan instans VPN Gateway. Untuk informasi selengkapnya, lihat [Notice] IDaaS EIAM 2.0 kini didukung untuk otentikasi dua faktor SSL-VPN.

    Langkah selanjutnya

    Setelah membuat server SSL, Anda harus membuat dan mengunduh sertifikat klien SSL. Kemudian instal sertifikat tersebut pada perangkat klien untuk mengotentikasi klien dan mengenkripsi data. Untuk informasi selengkapnya, lihat Buat dan kelola sertifikat klien SSL.

    Modifikasi server SSL

    Anda dapat memodifikasi konfigurasi server SSL setelah pembuatan. Bergantung pada perubahan yang dilakukan, Anda mungkin perlu mengunduh sertifikat klien baru atau membuat ulang koneksi SSL-VPN.

    Penting

    • Memodifikasi pengaturan Protocol, Compressed, atau Two-factor Authentication pada bagian Advanced Configuration membatalkan semua sertifikat klien SSL terkait. Anda harus membuat sertifikat klien baru, menginstalnya pada klien Anda, dan menyambungkan ulang.

    • Memodifikasi Local Network atau Client CIDR Block menghentikan semua koneksi SSL-VPN aktif. Klien harus membuat ulang koneksi mereka.

    1. Masuk ke Konsol VPN Gateway.

    2. Pada panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Pada bilah navigasi atas, pilih wilayah server SSL.

    4. Pada halaman SSL Servers, temukan server SSL yang ingin dimodifikasi dan klik Edit pada kolom Actions.

    5. Pada panel Modify SSL Server, ubah pengaturan sesuai kebutuhan dan klik OK.

    Hapus server SSL

    Anda dapat menghapus server SSL yang tidak lagi diperlukan. Menghapus server SSL juga akan menghapus semua sertifikat klien SSL terkait dan segera menghentikan semua koneksi klien aktif.

    1. Masuk ke Konsol VPN Gateway.

    2. Pada panel navigasi kiri, pilih Network Interconnection > VPN > SSL Servers.

    3. Pada bilah navigasi atas, pilih wilayah server SSL.

    4. Pada halaman SSL Servers, temukan server SSL yang ingin dihapus dan klik Delete pada kolom Actions.

    5. Pada kotak dialog konfirmasi, baca informasinya dan klik Delete.

    Kelola server SSL dengan API

    Anda dapat membuat, mengkueri, memodifikasi, dan menghapus server SSL dengan memanggil operasi API menggunakan alat seperti Alibaba Cloud SDK (direkomendasikan), Alibaba Cloud Command Line Interface (Alibaba Cloud CLI), Terraform, dan Resource Orchestration Service (ROS). Untuk informasi selengkapnya, lihat dokumentasi API berikut: