HTTPS は、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) プロトコルを使用してデータ伝送を保護します。ApsaraVideo Live は、柔軟な証明書管理を備えた HTTPS セキュアアクセラレーションソリューションを提供し、ライブストリーミングサービスのセキュリティと信頼性を確保します。
機能紹介
Hypertext Transfer Protocol Secure (HTTPS) は、SSL または TLS プロトコルによるカプセル化を使用したセキュアな HTTP チャンネルです。ApsaraVideo Live は、証明書の表示、無効化、有効化、編集が可能な HTTPS セキュアアクセラレーションソリューションを提供します。証明書が正しく設定され有効化されている場合、HTTP と HTTPS の両方でのアクセスがサポートされます。証明書が無効または使用不可の場合、HTTP アクセスのみがサポートされます。
HTTPS アクセラレーションのメリット
伝送中に主要なユーザー情報を暗号化します。これにより、攻撃者がセッション ID や Cookie をキャプチャすることによって引き起こされる機密情報の漏洩などのセキュリティリスクを防ぎます。
伝送中のデータ整合性を検証します。これにより、DNS ハイジャック、コンテンツハイジャック、コンテンツ改ざんなどの中間者 (MITM) 攻撃を防ぎます。
注意事項
設定
機能 | 説明 |
無効 と Enabled |
|
証明書の表示 | 証明書情報を表示できます。ただし、秘密鍵は機密情報であるため表示できません。証明書情報は安全に保管してください。 |
証明書の変更または編集 | 証明書を変更または編集できます。変更が有効になるまで 5 分かかりますので、ご注意ください。 |
証明書
ApsaraVideo Live は、Alibaba Cloud Security の証明書とカスタム証明書の 2 種類の証明書デプロイメントをサポートしています。
HTTPS の有効化 機能を有効にした高速化ドメイン名では、証明書とその秘密鍵を PEM フォーマットでアップロードする必要があります。
ApsaraVideo Live サービスは Nginx ベースの Tengine を使用しているため、ApsaraVideo Live は Nginx で読み取り可能な PEM フォーマットの証明書のみをサポートします。
サーバ名表示 (SNI) 情報を含む SSL または TLS ハンドシェイクのみがサポートされます。
アップロードする証明書と秘密鍵は一致している必要があります。一致しない場合、検証エラーが発生します。
更新された証明書が有効になるまで約 5 分かかります。
パスワードで保護された秘密鍵はサポートされていません。
HTTPS セキュアアクセラレーションの設定
ステップ 1:証明書の購入
HTTPS の有効化 を有効にするには、高速化ドメイン名と一致する証明書が必要です。証明書サービス ページに移動し、Buy Now をクリックします。カスタム証明書を使用する場合は、このステップをスキップできます。
ステップ 2:ライブストリーミングドメイン名の設定
HTTPS セキュアアクセラレーションを有効にします。
ApsaraVideo Live コンソールにログインします。
左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理をクリックしてドメイン管理ページに移動します。
HTTPS セキュアアクセラレーションを設定するアップストリーミングドメインを選択し、ドメイン設定 をクリックします。
HTTPS をクリックし、HTTPS 証明書 スイッチをオンにします。
証明書を選択します。
Alibaba Cloud 発行の証明書: 証明書タイプには Alibaba Cloud Security を選択し、Alibaba Cloud 証明書サービスで購入した証明書を選択します。高速化ドメイン名に一致する証明書を直接選択できます。
カスタム証明書: 「証明書タイプ」オプションで、カスタム を選択します。次に、証明書名を入力し、証明書の内容と秘密鍵をアップロードします。証明書は Alibaba Cloud セキュリティ証明書コンソール に保存され、[マイ証明書] セクションで表示できます。
説明PEM フォーマットの証明書のみがサポートされています。
ステップ 3:証明書の有効性の検証
設定が完了すると、証明書がネットワーク全体で有効になるまで約 1 分かかります。設定を検証するには、HTTPS 経由でリソースにアクセスします。ブラウザのアドレスバーにロックアイコンが表示された場合、HTTPS セキュアアクセラレーションは有効になっています。
証明書フォーマットの説明
このセクションでは、ApsaraVideo Live がサポートする証明書フォーマットと、証明書を必要なフォーマットに変換する方法について説明します。
ルート CA によって発行された証明書
ルート認証局 (CA) によって発行された証明書は、Apache、IIS、Nginx、Tomcat などのさまざまな種類のサーバーソフトウェアで使用できます。ApsaraVideo Live は Nginx サーバーを使用して証明書を処理します。証明書ファイルの拡張子は通常 .crt で、秘密鍵ファイルの拡張子は通常 .key です。
証明書をアップロードする際は、次のフォーマットルールに従ってください:
ヘッダー
-----BEGIN CERTIFICATE-----とフッター-----END CERTIFICATE-----を含めます。各行には 64 文字を含める必要があります。最終行は 64 文字未満でもかまいません。
次の図は、Linux 環境における PEM フォーマットの証明書の例を示しています。
中間認証局によって発行された証明書
証明書が中間認証局によって発行された場合、証明書ファイルには複数の証明書が含まれています。アップロードする前に、サーバー証明書と中間証明書を 1 つのファイルに結合する必要があります。
連結ルール:サーバー証明書は中間証明書の前に配置する必要があります。通常、発行機関は証明書とともに説明書を提供します。提供されたルールに必ず従ってください。
中間認証局によって発行された証明書チェーン:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
証明書チェーンのルール:
証明書間に空行を含めないでください。
各証明書はフォーマット要件に準拠している必要があります。
RSA 秘密鍵のフォーマット要件
RSA 秘密鍵については、次のルールに従ってください:
ローカルで秘密鍵を生成するには、次のコマンドを実行します:
openssl genrsa -out privateKey.pem 2048。このコマンドで、privateKey.pemは秘密鍵ファイルです。キーは
-----BEGIN RSA PRIVATE KEY-----で始まり、-----END RSA PRIVATE KEY-----で終わる必要があります。キーをアップロードする際は、これらのヘッダーとフッターの行を含めてください。各行には 64 文字を含める必要があります。最終行は 64 文字未満でもかまいません。
上記の方法で秘密鍵を生成せず、-----BEGIN PRIVATE KEY----- と -----END PRIVATE KEY----- を含むフォーマットである場合は、次のように変換できます:
openssl rsa -in old_server_key.pem -out new_server_key.pemその後、new_server_key.pem の内容を証明書と一緒にアップロードします。
証明書フォーマットの変換方法
HTTPS セキュアアクセラレーションは、PEM フォーマットの証明書のみをサポートします。証明書が異なるフォーマットの場合は、PEM に変換する必要があります。OpenSSL ツールを使用して変換を実行できます。次の表に、いくつかの一般的なフォーマットから PEM フォーマットへの変換方法を示します。
変換方法 | 説明 |
DER から PEM への変換 | DER フォーマットは Java プラットフォームで一般的です。
|
P7B から PEM への変換 | P7B フォーマットは Windows Server および Tomcat で一般的です。
|
PFX から PEM への変換 | PFX フォーマットは Windows Server で一般的です。
|