すべてのプロダクト
Search
ドキュメントセンター

ApsaraVideo Live:HTTPS 設定

最終更新日:Jun 23, 2026

HTTPS と HTTP/2 を使用することで、より安全で、より速く、よりスムーズなネットワーク体験をユーザーに提供できます。

HTTPS の設定

概要

HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer) は、SSL (Secure Socket Layer) または TLS プロトコルをカプセル化に使用するセキュアな HTTP チャネルです。ApsaraVideo Live は、コンテンツ配信を安全に高速化するために HTTPS を提供します。証明書の表示、無効化、有効化、編集が可能です。証明書がドメインに対して正しく設定され、有効化されている場合、HTTP と HTTPS の両方のリクエストがサポートされます。証明書がドメインと一致しないか、無効化されている場合は、HTTP リクエストのみがサポートされます。

HTTPS のメリット

  • セッション ID や Cookie などの機密情報を伝送中に暗号化します。これにより、データが攻撃者に傍受された場合の情報漏洩などのセキュリティリスクを防ぎます。

  • HTTPS は伝送中のデータ整合性を検証し、DNS ハイジャックやコンテンツハイジャック、改ざんといった中間者 (MITM) 攻撃から保護します。

注意事項

設定

操作

説明

HTTPS の Disable有効化

  • この機能が Disable されると、HTTPS リクエストはサポートされなくなり、証明書や秘密鍵の情報は保持されなくなります。

  • HTTPS を 有効化 するには、証明書と秘密鍵を再度アップロードする必要があります。

証明書の表示

証明書情報を表示できます。ただし、秘密鍵は機密情報であるため表示できません。証明書と秘密鍵は安全に保管してください。

証明書の編集

証明書を編集できます。変更が有効になるまで約 5 分かかります。注意して進めてください。

証明書

  • ApsaraVideo Live は、Certificate Management Service からの証明書とカスタム証明書の 2 種類の証明書デプロイメントをサポートしています。

  • ストリーミングドメインで HTTPS の有効化 を有効にするには、証明書とその秘密鍵をアップロードする必要があります。どちらも PEM 形式である必要があります。

説明

ApsaraVideo Live は Nginx をベースにした Tengine を使用しています。そのため、PEM などの Nginx 互換の証明書形式のみをサポートしています。

  • サーバ名表示 (SNI) を含む SSL/TLS ハンドシェイクのみがサポートされます。

  • アップロードする証明書と秘密鍵は一致している必要があります。一致しない場合、検証は失敗します。

  • 証明書の更新が有効になるまで約 5 分かかります。

  • パスワードで保護された秘密鍵はサポートされていません。

操作手順

ステップ 1:証明書の購入

HTTPS の有効化 を有効にするには、ストリーミングドメインに一致する証明書が必要です。お持ちでない場合は、Certificate Management Service に移動し、Buy Now をクリックします。カスタム証明書をお持ちの場合は、このステップをスキップできます。

ステップ 2:ストリーミングドメインの設定

  1. HTTPS を有効化します。

    1. ApsaraVideo Live コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理 をクリックします。ドメイン管理 ページが表示されます。

    3. HTTPS を設定するストリーミングドメインを見つけ、[操作] 列の ドメイン設定 をクリックします。

    4. HTTPS の設定 をクリックし、HTTPS 証明書 スイッチをオンにします。

  2. 証明書を選択します。

    • Certificate Management Service の証明書:[証明書タイプ] で Alibaba Cloud Security を選択します。Certificate Management Service から購入した証明書を選択します。ストリーミングドメインに一致する名前で選択できます。

    • カスタム証明書:[証明書タイプ] で カスタム を選択します。証明書名を入力し、証明書の内容と秘密鍵をアップロードします。証明書は Certificate Management Service コンソールに保存され、[マイ証明書] セクションで表示できます。

      説明

      PEM 形式の証明書のみがサポートされています。

ステップ 3:設定の確認

設定がネットワーク全体で有効になるまで約 1 分かかります。証明書が有効になったことを確認するには、https:// URL を使用してリソースにアクセスします。ブラウザのアドレスバーに鍵アイコンが表示されれば、証明書はアクティブであり、HTTPS が有効になっています。

HTTP/2 の設定

はじめに

HTTP/2 は HTTP 2.0 とも呼ばれ、多重化、ヘッダ圧縮、リクエストの優先順位付け、サーバープッシュなどの特徴を導入しています。HTTP 1.1 のセマンティクスとの互換性を保ちながら、HTTP 1.1 の制限に対処してリクエストのパフォーマンスを最適化します。Chrome、Edge、Safari、Firefox などの最新のブラウザは HTTP/2 プロトコルをサポートしています。

HTTP/2 のメリット

  • バイナリプロトコル:HTTP 1.x のテキストベースの解析とは異なり、HTTP/2 はすべての伝送情報をより小さなメッセージとフレームに分割し、バイナリ形式でエンコードします。このバイナリ基盤により、データを転送するためのフレームやコマンドの導入など、プロトコルの拡張性が向上します。

  • 多重化:HTTP 1.x では、ブラウザがドメインごとの同時リクエスト数を制限するため、パフォーマンスの最適化にはイメージスプライトや複数ドメインの使用などのテクニックがよく用いられます。ページが多くのリソースをロードする必要がある場合、head-of-line ブロッキングが発生し、リソースが他のリクエストの完了を待つことになります。HTTP/2 では、バイナリフレーミングレイヤーにより、共有された単一の TCP 接続上で複数のリクエストと応答を同時に送信できます。受信者はストリーム識別子とヘッダーを使用してそれらを再構成します。このテクニックは、古い HTTP バージョンの head-of-line ブロッキング問題を回避し、伝送性能を大幅に向上させます。

  • ヘッダ圧縮:HTTP リクエストヘッダーには大量の繰り返し情報が含まれています。HTTP/2 は HPACK 形式を使用して圧縮を行います。クライアントとサーバーの両方がヘッダーフィールドのインデックステーブルを維持します。同一のヘッダーはインデックス番号のみを使用して伝送されるため、効率と速度が向上します。

  • サーバープッシュ:サーバーは、単一のクライアントリクエストに対して複数の応答を送信できます。これにより、サーバーはクライアントが明示的にリクエストすることなく、リソースをクライアントにプッシュできます。

注意事項

続行する前に、HTTPS が有効になっていることを確認してください。

説明
  • 初めて HTTPS 証明書を設定する場合、HTTP/2 を有効にする前に、設定が有効になるのを待つ必要があります。

  • HTTPS 証明書機能を無効にすると、HTTP/2 の設定はグレーアウトし、有効にできなくなります。

  • HTTP/2 を有効にした後で HTTPS 証明書機能を無効にすると、HTTP/2 も自動的に無効になります。

HTTP/2 の有効化または無効化

  1. ApsaraVideo Live コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理 をクリックします。 ドメイン管理 ページが表示されます。

  3. 設定するストリーミングドメインを見つけ、[操作] 列の ドメイン設定 をクリックします。

  4. ドメインの左側のナビゲーションウィンドウで、HTTPS の設定 をクリックします。

  5. HTTP/2 セクションで、HTTP/2 スイッチをオンまたはオフにします。

強制リダイレクト

重要

続行する前に、HTTPS が有効になっていることを確認してください。

概要

ストリーミングドメインで HTTPS を有効にしている場合、強制リダイレクトを設定して、エンドユーザーのリクエストのプロトコルを自動的に変更できます。

たとえば、HTTP -> HTTPS リダイレクトを有効にすると、エンドユーザーが HTTP リクエストを行うと、サーバーはリクエストを HTTPS にリダイレクトする 301 応答を返します。以下のコードは例です。

$ curl http://xxx xxx xxx/' -i
HTTP/1.1 301 Moved Permanently
Server: Tengine
Date: Mon, 03 Jun 2019 13:26:01 GMT
Content-Type: text/html
Content-Length: 278
Connection: keep-alive
Location: https://xxx xxx xxx/
Via: cache2.cn201[,0]
Timing-Allow-Origin: *
EagleId: 2a786b0215595683612635433e
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<h1>301 Moved Permanently</h1>
<p>The requested resource has been assigned a new permanent URI.</p>
&lt;hr/&gt;Powered by Tengine</body>
</html>

操作手順

  1. ApsaraVideo Live コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理 をクリックします。ドメイン管理 ページが表示されます。

  3. 設定するストリーミングドメインを見つけ、[操作] 列の ドメイン設定 をクリックします。

  4. ドメインの左側のナビゲーションウィンドウで、ストリーム管理 > HTTPS の設定 をクリックします。

  5. 設定の変更 をクリックします。

    [設定の変更] ボタンは [強制リダイレクト] セクションにあります。

  6. リダイレクトタイプ を選択します。

    タイプを選択した後、[OK] をクリックします。

    リダイレクトタイプ

    説明

    デフォルト

    HTTP と HTTPS の両方のリクエストがサポートされます。

    HTTPS -> HTTP

    クライアントから POP (Point of Presence) へのリクエストは HTTP にリダイレクトされます。

    HTTP -> HTTPS

    クライアントから POP へのリクエストは HTTPS にリダイレクトされ、安全なアクセスを確保します。

  7. OK をクリックします。

証明書形式のリファレンス

このセクションでは、ApsaraVideo Live でサポートされている証明書形式と、形式間の変換方法について説明します。

ルート認証局が発行した証明書

ルート認証局によって発行された各証明書は一意であり、Apache、IIS、Nginx、Tomcat などの複数のサーバーソフトウェアプラットフォームで使用できます。ApsaraVideo Live は通常、証明書の処理に Nginx サーバーを使用します。証明書ファイルは通常 .crt 拡張子を使用し、秘密鍵ファイルは通常 .key 拡張子を使用します。

証明書のアップロード形式:

  • ヘッダー -----BEGIN CERTIFICATE----- とフッター -----END CERTIFICATE----- を含めます。

  • 各行は 64 文字でなければなりません。ただし、最終行はそれより短くてもかまいません。

Linux 環境における PEM 形式の証明書の例は次のとおりです。

-----BEGIN CERTIFICATE-----
MIIDRjCCAq+gAwIBAgIJAJn3ox4K13xxx
xxx
-----END CERTIFICATE-----

中間認証局が発行した証明書

中間認証局からの証明書には複数の証明書が含まれています。サーバー証明書と中間証明書を連結して一緒にアップロードします。

説明

連結ルール:最初にサーバー証明書を配置し、その後に中間証明書を配置します。証明書発行者は通常、具体的な指示を提供しますので、それに注意深く従ってください。

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

証明書チェーンのルール:

  • 証明書間に空白行を入れないでください。

  • 各証明書は標準のアップロード形式に従う必要があります。

RSA 秘密鍵の形式要件

RSA 秘密鍵のルール:

  • ローカルで秘密鍵を生成するには、openssl genrsa -out privateKey.pem 2048 を実行します。ここで、privateKey.pem は秘密鍵ファイルです。

  • キーは -----BEGIN RSA PRIVATE KEY----- で始まり、-----END RSA PRIVATE KEY----- で終わる必要があります。コンテンツ全体をアップロードしてください。

  • 各行は 64 文字でなければなりません。ただし、最終行はそれより短くてもかまいません。

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDOOkt3vfjY9...
...(Private key content)...
-----END RSA PRIVATE KEY-----

上記の方法で秘密鍵を生成せず、代わりに -----BEGIN PRIVATE KEY----------END PRIVATE KEY----- のような形式の秘密鍵を入手した場合は、次のように変換できます:

openssl rsa -in old_server_key.pem -out new_server_key.pem

その後、new_server_key.pem の内容を証明書と一緒にアップロードします。

証明書形式の変換方法

HTTPS 設定は PEM 形式の証明書のみをサポートしています。OpenSSL ツールを使用して他の形式を PEM に変換します。次の表に、一般的な変換方法を示します。

変換方法

説明

DER から PEM へ

DER 形式は、Java プラットフォームで一般的に使用されます。

  • 証明書の変換:

    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • 秘密鍵の変換:

    openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B から PEM へ

P7B 形式は、Windows Server および Tomcat で一般的に使用されます。

  • 証明書の変換:

    openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

    outcertificat.cer から -----BEGIN CERTIFICATE----------END CERTIFICATE----- の間のコンテンツを抽出し、証明書としてアップロードします。

  • 秘密鍵の変換:P7B 証明書には秘密鍵は含まれていません。コンソールでは証明書フィールドのみを入力してください。

PFX から PEM へ

PFX 形式は、Windows Server で一般的に使用されます。

  • 証明書の変換:

    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • 秘密鍵の変換:

    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes