Buat dan kelola server SSL - VPN Gateway

Topik ini menjelaskan cara membuat dan mengelola server SSL. Anda dapat menggunakan server SSL untuk mengizinkan atau melarang klien mengakses jaringan dan sumber daya tertentu. Sebelum menggunakan fitur SSL-VPN, Anda harus membuat server SSL.

Prasyarat

Gateway VPN telah dibuat dan fitur SSL-VPN diaktifkan untuk gateway tersebut. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway VPN.

Jika Anda menonaktifkan fitur SSL-VPN saat pembuatan gateway VPN, Anda dapat mengaktifkannya setelah gateway dibuat. Untuk detail lebih lanjut, lihat bagian Aktifkan SSL-VPN dari topik "Aktifkan IPsec-VPN dan SSL-VPN".

Buat server SSL

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Interconnections > VPN > SSL Servers.
Di bilah navigasi atas, pilih wilayah server SSL.
Server SSL dan gateway VPN harus berada di wilayah yang sama.
Di halaman SSL Servers, klik Create SSL Server.

Di panel Create SSL Server, atur parameter yang diperlukan dan klik OK.

Parameter	Deskripsi
Name	Nama server SSL.
Resource Group	Grup sumber daya tempat gateway VPN berada. Grup sumber daya tempat server SSL berada harus sama dengan grup sumber daya tempat gateway VPN berada.
VPN Gateway	Pilih gateway VPN yang ingin Anda asosiasikan dengan server SSL. Pastikan bahwa SSL-VPN diaktifkan untuk gateway VPN.
Local Network	Blok CIDR lokal yang perlu diakses oleh klien Anda menggunakan koneksi SSL-VPN. Blok CIDR dapat berupa blok CIDR dari virtual private cloud (VPC), vSwitch, layanan cloud seperti Object Storage Service (OSS) atau ApsaraDB RDS, atau pusat data yang terhubung ke VPC melalui sirkuit Express Connect. Anda dapat mengklik Add Local Network untuk menambahkan hingga lima blok CIDR lokal. Anda tidak dapat menentukan blok CIDR berikut sebagai blok CIDR lokal: 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255 Catatan Subnet mask dari blok CIDR lokal yang ditentukan harus memiliki panjang 8 hingga 32 bit.
Client CIDR Block	Blok CIDR tempat alamat IP diberikan ke antarmuka jaringan virtual (NIC) klien. Jangan masukkan blok CIDR privat klien. Jika klien mengakses server SSL melalui koneksi SSL-VPN, gateway VPN akan memberikan alamat IP dari blok CIDR klien yang ditentukan kepada klien. Klien menggunakan alamat IP yang diberikan untuk mengakses sumber daya cloud. Pastikan jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN. Klik untuk melihat alasannya. Sebagai contoh, jika Anda menentukan 192.168.0.0/24 sebagai blok CIDR klien, sistem pertama-tama membagi blok CIDR subnet dengan subnet mask 30-bit dari 192.168.0.0/24, seperti 192.168.0.4/30, yang menyediakan hingga empat alamat IP. Kemudian, sistem memberikan alamat IP dari 192.168.0.4/30 kepada klien dan menggunakan tiga alamat IP lainnya untuk memastikan komunikasi jaringan. Dalam kasus ini, satu klien mengonsumsi empat alamat IP. Oleh karena itu, untuk memastikan bahwa alamat IP diberikan kepada klien Anda, Anda harus memastikan bahwa jumlah alamat IP dalam blok CIDR klien minimal empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN yang terkait dengan server SSL. Klik untuk melihat blok CIDR yang tidak didukung. 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255 Blok CIDR klien yang direkomendasikan untuk jumlah koneksi SSL-VPN yang berbeda Jika jumlah koneksi SSL-VPN adalah 5, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 27-bit. Contoh: 10.0.0.0/27 dan 10.0.0.0/26. Jika jumlah koneksi SSL-VPN adalah 10, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 26-bit. Contoh: 10.0.0.0/26 dan 10.0.0.0/25. Jika jumlah koneksi SSL-VPN adalah 20, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 25-bit. Contoh: 10.0.0.0/25 dan 10.0.0.0/24. Jika jumlah koneksi SSL-VPN adalah 50, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 24-bit. Contoh: 10.0.0.0/24 dan 10.0.0.0/23. Jika jumlah koneksi SSL-VPN adalah 100, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 23-bit. Contoh: 10.0.0.0/23 dan 10.0.0.0/22. Jika jumlah koneksi SSL-VPN adalah 200, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 22-bit. Contoh: 10.0.0.0/22 dan 10.0.0.0/21. Jika jumlah koneksi SSL-VPN adalah 500, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 21-bit. Contoh: 10.0.0.0/21 dan 10.0.0.0/20. Jika jumlah koneksi SSL-VPN adalah 1.000, kami sarankan Anda menentukan blok CIDR klien dengan subnet mask kurang dari atau sama dengan 20-bit. Contoh: 10.0.0.0/20 dan 10.0.0.0/19. Penting Subnet mask dari blok CIDR klien harus memiliki panjang 16 hingga 29 bit. Pastikan bahwa blok CIDR klien tidak tumpang tindih dengan local CIDR block, blok CIDR VPC, atau blok CIDR rute yang terkait dengan klien. Kami sarankan Anda menggunakan 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, atau salah satu subnet mereka sebagai blok CIDR klien. Jika Anda ingin menentukan blok CIDR publik sebagai blok CIDR klien, Anda harus menentukan blok CIDR publik sebagai blok CIDR pengguna VPC. Dengan cara ini, VPC dapat mengakses blok CIDR publik. Untuk informasi lebih lanjut, lihat bagian Apa itu blok CIDR pengguna? dan Bagaimana cara mengonfigurasi blok CIDR pengguna? dari topik "FAQ". Setelah Anda membuat server SSL, sistem secara otomatis menambahkan rute yang menunjuk ke blok CIDR klien ke tabel rute VPC. Jangan tambahkan rute yang menunjuk ke blok CIDR klien ke tabel rute VPC lagi. Jika tidak, koneksi SSL-VPN tidak dapat bekerja sesuai harapan.
Advanced Configuration
Protocol	Protokol yang digunakan oleh koneksi SSL-VPN. Nilai default: TCP(Disarankan). Nilai valid: UDP TCP(Recommended)
Port	Port yang digunakan oleh server SSL. Nilai valid berada dalam rentang 1 to 65535. Nilai default: 1194. Catatan Port berikut tidak didukung: 22, 2222, 22222, 9000, 9001, 9002, 7505, 80, 443, 53, 68, 123, 4510, 4560, 500, dan 4500.
Encryption Algorithm	Algoritma enkripsi yang digunakan oleh koneksi SSL-VPN. Jika klien menggunakan Tunnelblick atau OpenVPN versi 2.4.0 atau lebih baru, server SSL secara dinamis bernegosiasi dengan klien tentang algoritma enkripsi dan menggunakan algoritma enkripsi paling aman yang didukung oleh server SSL dan klien. Algoritma enkripsi yang Anda tentukan untuk server SSL tidak berlaku. Jika klien menggunakan OpenVPN versi lebih lama dari 2.4.0, server SSL dan klien menggunakan algoritma enkripsi yang Anda tentukan untuk server SSL. Anda dapat menentukan salah satu algoritma enkripsi berikut untuk server SSL: AES-128-CBC AES-192-CBC AES-256-CBC none Nilai none menunjukkan bahwa tidak ada algoritma enkripsi yang digunakan.
Compressed	Menentukan apakah akan mengompresi data yang ditransmisikan melalui koneksi SSL-VPN. Nilai default: Tidak. Nilai valid: Yes No (default)
Two-factor Authentication	Menentukan apakah akan mengaktifkan autentikasi dua faktor untuk gateway VPN. Secara default, autentikasi dua faktor dinonaktifkan. Autentikasi dua faktor memverifikasi identitas klien menggunakan sertifikat klien SSL default dan nama pengguna serta kata sandi IDaaS EIAM sebelum koneksi SSL-VPN dibuat. Klien harus melewati kedua autentikasi sebelum koneksi dapat dibuat. Autentikasi dua faktor membantu mencegah pencurian identitas pengguna dan koneksi SSL-VPN yang tidak sah. Ini secara efisien meningkatkan keamanan koneksi SSL-VPN dan melindungi data sensitif di VPC terhadap pelanggaran data. Untuk informasi lebih lanjut, lihat Autentikasi dua faktor SSL-VPN. Setelah autentikasi dua faktor diaktifkan, Anda dapat memilih instance IDaaS EIAM dan ID aplikasi IDaaS yang digunakan untuk autentikasi. Klik untuk melihat prosedur autentikasi dua faktor Klien memulai permintaan koneksi SSL-VPN. Setelah gateway VPN menerima permintaan, gateway VPN memverifikasi sertifikat klien SSL klien. Setelah klien melewati autentikasi, Anda perlu memasukkan nama pengguna dan kata sandi di klien. Kemudian, perangkat lunak VPN meneruskan nama pengguna dan kata sandi ke gateway VPN. Setelah gateway VPN menerima nama pengguna dan kata sandi, ia mengirimkannya ke IDaaS untuk autentikasi. IDaaS memverifikasi nama pengguna dan kata sandi, dan mengembalikan hasil autentikasi ke gateway VPN. Gateway VPN menerima atau menolak permintaan koneksi SSL-VPN berdasarkan hasil autentikasi. Catatan Jika Anda menggunakan fitur autentikasi dua faktor untuk pertama kalinya, Anda harus terlebih dahulu otorisasi VPN untuk mengakses sumber daya cloud. Saat Anda membuat server SSL di wilayah UAE (Dubai), kami sarankan Anda mengasosiasikan server SSL dengan instance IDaaS EIAM 2.0 di Singapura untuk mengurangi latensi. Anda tidak dapat lagi membeli instance IDaaS EIAM 1.0. Jika akun Alibaba Cloud Anda memiliki instance IDaaS EIAM 1.0, Anda masih dapat menentukan instance IDaaS EIAM 1.0 setelah Anda mengaktifkan fitur autentikasi dua faktor. Jika akun Alibaba Cloud Anda tidak memiliki instance IDaaS EIAM 1.0, Anda hanya dapat menentukan instance IDaaS EIAM 2.0 setelah Anda mengaktifkan fitur autentikasi dua faktor. Anda mungkin perlu memperbarui gateway VPN untuk mengasosiasikannya dengan instance IDaaS EIAM 2.0. Untuk informasi lebih lanjut, lihat Pengumuman tentang perubahan mendukung instance IDaaS EIAM 2.0 untuk autentikasi dua faktor koneksi SSL-VPN.

Apa yang harus dilakukan selanjutnya

Setelah server SSL dibuat, buat sertifikat klien SSL berdasarkan server tersebut dan instal sertifikat pada klien untuk autentikasi identitas dan enkripsi data. Untuk informasi lebih lanjut, lihat Buat dan Kelola Sertifikat Klien SSL.

Modifikasi server SSL

Setelah server SSL dibuat, Anda dapat memodifikasi konfigurasinya. Setelah modifikasi, mungkin perlu mengunduh dan menginstal ulang sertifikat klien SSL atau memulai ulang koneksi SSL-VPN.

Penting

Jika Anda mengubah nilai parameter Protocol, Compressed, atau Two-factor Authentication di bagian Advanced Configuration, sertifikat klien SSL terkait menjadi tidak valid. Dalam kasus ini, buat sertifikat klien SSL baru, instal sertifikat pada klien, dan mulai ulang koneksi SSL-VPN.
Jika Anda mengubah nilai parameter Local Network atau Client CIDR Block, semua koneksi SSL-VPN ke server SSL terputus. Dalam kasus ini, mulai ulang koneksi SSL-VPN dari klien.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Interconnections > VPN > SSL Servers.
Di bilah navigasi atas, pilih wilayah server SSL.
Di halaman SSL Servers, temukan server SSL yang ingin dimodifikasi dan klik Edit di kolom Actions.
Di panel Modify SSL Server, ubah nama, blok CIDR lokal, blok CIDR klien, atau pengaturan lanjutan server SSL, lalu klik OK.

Hapus server SSL.

Anda dapat menghapus server SSL yang tidak lagi diperlukan. Setelah penghapusan, sistem otomatis menghapus semua sertifikat klien SSL terkait. Dalam kasus ini, koneksi SSL-VPN dari klien tempat sertifikat diinstal akan terputus secara otomatis.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Interconnections > VPN > SSL Servers.
Di bilah navigasi atas, pilih wilayah server SSL.
Di halaman SSL Servers, temukan server SSL yang ingin dihapus dan klik Delete di kolom Actions.
Di pesan yang muncul, konfirmasikan informasi dan klik Delete.

Buat dan kelola server SSL dengan memanggil operasi API

Anda dapat memanggil operasi API untuk membuat, menanyakan, memodifikasi, atau menghapus server SSL menggunakan Alibaba Cloud SDK, Antarmuka Baris Perintah Alibaba Cloud (CLI), Terraform, atau Resource Orchestration Service (ROS). Kami sarankan Anda memanggil operasi API menggunakan Alibaba Cloud SDK. Untuk informasi lebih lanjut tentang operasi API, lihat topik berikut:

CreateSslVpnServer: membuat server SSL.
DeleteSslVpnServer: menghapus server SSL.
ModifySslVpnServer: memodifikasi konfigurasi server SSL.
DescribeSslVpnServers: menanyakan server SSL.