Konfigurasikan Percepatan aman HTTPS

HTTPS mengamankan transmisi data menggunakan protokol Secure Sockets Layer (SSL) atau Transport Layer Security (TLS). ApsaraVideo Live menyediakan solusi Percepatan aman HTTPS dengan manajemen sertifikat yang fleksibel untuk memastikan keamanan dan keandalan layanan streaming langsung Anda.

Pengenalan fitur

Hypertext Transfer Protocol Secure (HTTPS) adalah saluran HTTP yang aman yang menggunakan protokol SSL atau TLS untuk enkapsulasi. ApsaraVideo Live menyediakan solusi Percepatan aman HTTPS yang memungkinkan Anda melihat, menonaktifkan, mengaktifkan, dan mengedit sertifikat. Jika sertifikat dikonfigurasi dan diaktifkan dengan benar, akses didukung baik melalui HTTP maupun HTTPS. Namun, jika sertifikat tidak valid atau dinonaktifkan, hanya akses HTTP yang didukung.

Manfaat akselerasi HTTPS

Sertifikat mengenkripsi informasi pengguna penting selama transmisi, sehingga mencegah risiko keamanan seperti kebocoran informasi sensitif akibat penyerang menangkap session ID atau cookie.
Ini memverifikasi integritas data selama transmisi dan mencegah serangan man-in-the-middle (MITM), seperti pembajakan DNS, pembajakan konten, atau perusakan konten.

Perhatian

Konfigurasi

Fitur	Deskripsi
Disabled dan Enabled fitur HTTPS	Setelah Anda mengklik Disabled, permintaan HTTPS tidak didukung, dan informasi sertifikat atau kunci privat tidak lagi disimpan. Setelah Anda Enabled fitur tersebut, Anda harus mengunggah ulang sertifikat atau kunci privat untuk menggunakan sertifikat tersebut kembali.
Lihat sertifikat	Anda dapat melihat informasi sertifikat. Namun, Anda tidak dapat melihat kunci privat karena merupakan informasi sensitif. Lindungi informasi sertifikat Anda.
Ubah atau edit sertifikat	Anda dapat mengubah atau mengedit sertifikat. Perubahan memerlukan waktu sekitar 5 menit untuk berlaku. Lakukan dengan hati-hati.

Sertifikat

ApsaraVideo Live mendukung dua jenis penerapan sertifikat: sertifikat dari Alibaba Cloud Security dan sertifikat kustom.
Untuk nama domain yang dipercepat dengan fitur Enable HTTPS diaktifkan, Anda harus mengunggah sertifikat dan kunci privatnya dalam format PEM.

Catatan

Layanan ApsaraVideo Live menggunakan Tengine, yang berbasis Nginx. Oleh karena itu, ApsaraVideo Live hanya mendukung sertifikat dalam format PEM yang dapat dibaca oleh Nginx.

Hanya proses jabat tangan SSL atau TLS yang mencakup informasi Server Name Indication (SNI) yang didukung.
Sertifikat dan kunci privat yang Anda unggah harus sesuai. Jika tidak, terjadi error validasi.
Sertifikat yang diperbarui memerlukan waktu sekitar 5 menit untuk berlaku.
Kunci privat yang dilindungi kata sandi tidak didukung.

Langkah 1: Beli sertifikat

Untuk mengaktifkan Enable HTTPS, Anda memerlukan sertifikat yang sesuai dengan nama domain yang dipercepat. Anda dapat membuka halaman Certificate Service dan mengklik Buy Now. Jika Anda ingin menggunakan sertifikat kustom, Anda dapat melewati langkah ini.

Langkah 2: Konfigurasikan nama domain streaming langsung

Aktifkan Percepatan aman HTTPS.
1. Masuk ke Konsol ApsaraVideo Live.
2. Di panel navigasi sebelah kiri, klik Domain Names untuk membuka halaman Domain Management.
3. Pilih domain ingest yang ingin Anda konfigurasikan untuk Percepatan aman HTTPS, lalu klik Domain Settings.
4. Klik HTTPS, lalu aktifkan sakelar HTTPS Certificate.
Pilih sertifikat.
- Sertifikat yang dikeluarkan oleh Alibaba Cloud: Untuk Certificate Type, pilih Alibaba Cloud Security dan pilih sertifikat yang telah Anda beli dari Alibaba Cloud Certificate Service. Anda dapat langsung memilih sertifikat yang sesuai dengan nama domain yang dipercepat.
- Sertifikat kustom: Untuk opsi Certificate Type, pilih Others. Kemudian, masukkan nama sertifikat, lalu unggah konten sertifikat dan kunci privat. Sertifikat akan disimpan di Alibaba Cloud Security Certificate Console, tempat Anda dapat melihatnya di bagian My Certificates.
  Catatan
  Hanya sertifikat dalam format PEM yang didukung.

Langkah 3: Verifikasi bahwa sertifikat berlaku

Setelah Anda menyelesaikan pengaturan, sertifikat memerlukan waktu sekitar satu menit untuk berlaku di seluruh jaringan. Untuk memverifikasi konfigurasi, akses resource melalui HTTPS. Jika ikon gembok muncul di bilah alamat browser, Percepatan aman HTTPS telah diaktifkan.

Deskripsi format sertifikat

Bagian ini menjelaskan format sertifikat yang didukung oleh ApsaraVideo Live dan cara mengonversi sertifikat ke format yang diperlukan.

Sertifikat yang dikeluarkan oleh CA root

Sertifikat yang dikeluarkan oleh otoritas sertifikat root (CA) dapat digunakan untuk berbagai jenis perangkat lunak server, seperti Apache, IIS, Nginx, dan Tomcat. ApsaraVideo Live menggunakan server Nginx untuk memproses sertifikat. File sertifikat biasanya memiliki ekstensi .crt, dan file kunci privat biasanya memiliki ekstensi .key.

Saat mengunggah sertifikat, ikuti aturan format berikut:

Sertakan header -----BEGIN CERTIFICATE----- dan footer -----END CERTIFICATE-----.
Setiap baris harus berisi 64 karakter. Baris terakhir boleh berisi kurang dari 64 karakter.

Gambar berikut menunjukkan contoh sertifikat dalam format PEM di lingkungan Linux.

Sertifikat yang dikeluarkan oleh otoritas perantara

Jika sertifikat Anda dikeluarkan oleh otoritas perantara, file sertifikat berisi beberapa sertifikat. Anda harus menggabungkan sertifikat server dan sertifikat perantara menjadi satu file sebelum mengunggahnya.

Catatan

Aturan penggabungan: Sertifikat server harus ditempatkan sebelum sertifikat perantara. Otoritas penerbit biasanya menyediakan petunjuk bersama sertifikat. Pastikan Anda mengikuti aturan yang diberikan.

Rantai sertifikat yang dikeluarkan oleh otoritas perantara:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Aturan rantai sertifikat:

Jangan sertakan baris kosong di antara sertifikat.
Setiap sertifikat harus memenuhi persyaratan format.

Persyaratan format kunci privat RSA

Ikuti aturan berikut untuk kunci privat RSA:

Untuk menghasilkan kunci privat secara lokal, jalankan perintah berikut: openssl genrsa -out privateKey.pem 2048. Dalam perintah ini, privateKey.pem adalah file kunci privat Anda.
Kunci harus dimulai dengan -----BEGIN RSA PRIVATE KEY----- dan diakhiri dengan -----END RSA PRIVATE KEY-----. Sertakan baris header dan footer ini saat mengunggah kunci.
Setiap baris harus berisi 64 karakter. Baris terakhir boleh berisi kurang dari 64 karakter.

Jika Anda tidak menghasilkan kunci privat menggunakan metode di atas, dan kunci tersebut dalam format yang mencakup -----BEGIN PRIVATE KEY----- dan -----END PRIVATE KEY-----, Anda dapat mengonversinya sebagai berikut:

openssl rsa -in old_server_key.pem -out new_server_key.pem

Kemudian, unggah konten new_server_key.pem bersama sertifikat.

Metode konversi format sertifikat

Percepatan aman HTTPS hanya mendukung sertifikat dalam format PEM. Jika sertifikat Anda dalam format lain, Anda harus mengonversinya ke format PEM. Anda dapat menggunakan tool OpenSSL untuk melakukan konversi. Tabel berikut menjelaskan cara mengonversi sertifikat dari beberapa format umum ke format PEM.

Metode konversi	Deskripsi
Konversi DER ke PEM	Format DER umum digunakan pada platform Java. Konversi sertifikat: `openssl x509 -inform der -in certificate.cer -out certificate.pem` Konversi kunci privat: `openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem`
Konversi P7B ke PEM	Format P7B umum digunakan pada Windows Server dan Tomcat. Konversi sertifikat: `openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer` Ambil konten antara `-----BEGIN CERTIFICATE-----` dan `-----END CERTIFICATE-----` dari `outcertificat.cer` dan unggah sebagai sertifikat. Konversi kunci privat: Sertifikat P7B tidak memiliki kunci privat. Anda hanya perlu memasukkan konten sertifikat di konsol. Anda tidak perlu memasukkan kunci privat.
Konversi PFX ke PEM	Format PFX umum digunakan pada Windows Server. Konversi sertifikat: `openssl pkcs12 -in certname.pfx -nokeys -out cert.pem` Konversi kunci privat: `openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes`