HTTPS通過加密和完整性校正保障了資料的安全傳輸,而HTTP/2則通過多項技術改進大幅提升了資料轉送的效率和速度。結合使用HTTPS和HTTP/2,可以為使用者提供更加安全、快速和流暢的網路體驗。
配置HTTPS安全加速
功能介紹
安全超文字傳輸通訊協定 (HTTPS)(Hyper Text Transfer Protocol over Secure Socket Layer,簡稱 HTTPS)是以安全為目標的HTTP通道,通過SSL或TLS協議進行封裝。阿里雲直播服務提供HTTPS安全加速方案,並支援對認證進行查看、停用、啟用、編輯操作。認證配置正確且處於開啟狀態,同時支援HTTP訪問和HTTPS訪問。認證不匹配或者停用認證,僅支援HTTP訪問。
HTTPS加速優勢
傳輸過程中對使用者的關鍵資訊進行加密,防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感資訊泄露等安全隱患。
傳輸過程中對資料進行完整性校正,防止DNS或內容遭第三方劫持、篡改等中間人攻擊(MITM)隱患。
注意事項
配置相關
功能 | 說明 |
停用和啟用HTTPS功能 |
|
查看認證 | 允許使用者查看認證,但是只支援查看認證,由於私密金鑰資訊敏感不支援私密金鑰查看,請您妥善保管認證相關資訊。 |
修改編輯認證 | 支援修改編輯認證,但注意生效時間是5分鐘,請謹慎操作。 |
認證相關
ApsaraVideo for Live支援兩種認證部署:阿里雲Apsara Stack Security認證和自有認證。
開啟HTTPS安全加速功能的加速網域名稱,須上傳認證,包含認證或私密金鑰,均為PEM格式。
直播服務採用的Tengine服務是基於Nginx的,因此只支援Nginx能讀取的認證,即PEM格式。
只支援帶SNI資訊的SSL或TLS握手。
您上傳的認證和私密金鑰要匹配,否則會校正出錯。
更新認證的生效時間是5分鐘。
不支援帶密碼的私密金鑰。
操作步驟
步驟一:購買認證
開啟HTTPS安全加速,需要具備匹配加速網域名稱的認證。您可以在Apsara Stack Security認證服務單擊立即購買,購買認證。如果自有認證,可不用購買。
步驟二:配置直播網域名稱
開啟HTTPS安全加速。
在左側導覽列單擊推/播流網域名稱管理,進入網域名稱管理頁面。
選擇需要配置HTTPS安全加速的播流網域名稱,並單擊網域名稱配置。
單擊HTTPS配置,並開啟HTTPS認證開關。
選擇認證。
阿里雲Apsara Stack Security認證:在認證類型選項中單擊Apsara Stack Security,選擇在Apsara Stack Security認證服務購買過的認證,可以通過認證名稱直接選擇適配該加速網域名稱。
自有認證:在認證類型選項中單擊自訂,輸入認證名稱後並上傳認證內容和私密金鑰,該認證將會在Apsara Stack Security認證控制台儲存,可以在我的認證部分查看。
說明僅支援PEM的認證格式
步驟三:驗證認證是否生效
設定完成待認證1分鐘後全網生效,使用HTTPS方式訪問資源,如果瀏覽器中出現鎖樣的標識,則HTTPS安全加速生效。
配置HTTP/2
功能介紹
HTTP/2也被稱為HTTP 2.0,相對於HTTP 1.1新增了多工、壓縮HTTP頭、劃分請求優先順序和服務端推送等特性,解決了在HTTP 1.1中一直存在的問題,最佳化了請求效能,同時相容了HTTP 1.1的語義。目前,Chrome、Edge、Safari和Firefox等瀏覽器已經支援HTTP/2協議。
HTTP/2的優勢
二進位協議:相比於HTTP 1.x基於文本的解析,HTTP/2將所有的傳輸資訊分割為更小的訊息和幀,並對它們採用二進位格式編碼。基於二進位可以使協議有更多的擴充性。例如,引入幀來傳輸資料和指令。
多工(MultiPlexing):在HTTP1.x中,我們經常會使用到雪碧圖、使用多個網域名稱等方式來最佳化效能,因為瀏覽器限制了同一個網域名稱下的請求數量,當頁面需要請求很多資源的時候,隊頭阻塞(Head of line blocking)會導致在達到最大請求時,資源需要等待其他資源請求完成後才能繼續發送。HTTP2.0中,基於二進位分幀層,HTTP2.0可以在共用TCP串連的基礎上同時發送請求和響應,在另一端根據流標識符和首部將他們重新組裝起來,通過該技術,可以避免HTTP舊版本的隊頭阻塞問題,極大提高傳輸效能。
Header壓縮(Header compression):HTTP要求標頭帶有大量資訊,而且每次都要重複發送。HTTP/2採用HPACK格式進行壓縮傳輸,通訊雙方各自緩衝一份頭域索引表,相同的訊息頭只發送索引號,從而提高效率和速度。
服務端推送(Server Push):服務端可以對一個用戶端請求發送多個響應,服務端向用戶端推送資源無需用戶端明確的請求。
注意事項
執行該操作前,請您確保已成功配置HTTPS安全加速。
如果您是第一次配置HTTPS認證,則需要等認證配置完成且生效後,才能開啟HTTP/2。
如果您關閉了HTTPS認證功能,HTTP/2設定系統預設置灰,無法開啟。
如果您開啟HTTP/2後,關閉了HTTPS認證功能,HTTP/2也會自動失效。
開啟或關閉HTTP/2
- 登入ApsaraVideo for Live控制台。
在左側導覽列單擊推/播流網域名稱管理,進入網域名稱管理頁面。
選擇您要配置的播流網域名稱,單擊網域名稱配置。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
在HTTP/2設定地區,開啟或者關閉HTTP/2功能。
強制跳轉
執行該操作前,請您確保已成功配置HTTPS安全加速。
功能介紹
如果您的加速網域名稱開啟了HTTPS安全加速,您可以自訂設定,將終端使用者的原請求方式進行強制跳轉。
例如,您開啟HTTP -> HTTPS,終端使用者發起了一個HTTP請求,服務端返回301重新導向響應,原來的HTTP請求強制重新導向為HTTPS請求,如下圖所示。
操作步驟
- 登入ApsaraVideo for Live控制台。
在左側導覽列單擊推/播流網域名稱管理,進入網域名稱管理頁面。
選擇您要配置的播流網域名稱,單擊網域名稱配置。
單擊。
單擊修改配置。
選擇跳轉類型。
跳轉類型
說明
預設
同時支援HTTP和HTTPS方式的請求。
HTTPS -> HTTP
用戶端到邊緣節點的請求將強制重新導向為HTTP方式。
HTTP -> HTTPS
用戶端到邊緣節點的請求將強制重新導向為HTTPS方式,確保訪問安全。
單擊確定。
認證格式說明
ApsaraVideo for Live支援的認證格式和不同認證格式的轉換方式。
ROOT CA機構頒發的認證
Root CA機構頒發的每個認證都是唯一的,頒發的認證可以用於多種伺服器軟體,包括Apache、IIS、Nginx和Tomcat。ApsaraVideo for Live通常使用Nginx伺服器來處理認證,認證檔案通常以.crt為副檔名,認證私密金鑰檔案通常以.key為副檔名。
認證上傳格式為:
認證上傳時,請確保包含開頭的
-----BEGIN CERTIFICATE-----和結尾的-----END CERTIFICATE-----。每行64字元,最後一行不超過64字元。
在Linux環境下,PEM格式的認證樣本如下圖。
中級機構頒發的認證
中級機構頒發的認證檔案包含多份認證,您需要將伺服器憑證與中間認證拼接後,一起上傳。
拼接規則為:伺服器憑證放第一份,中間認證放第二份。一般情況下,機構在頒發認證的時候會有對應說明, 請注意規則說明。
中級機構頒發的憑證鏈結:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
憑證鏈結規則:
認證之間不能有空行。
每一份認證遵守認證上傳的格式說明。
RSA私密金鑰格式要求
RSA私密金鑰規則:
本地產生私密金鑰:
openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem為您的私密金鑰檔案。以
-----BEGIN RSA PRIVATE KEY-----開頭,以-----END RSA PRIVATE KEY-----結尾,請將這些內容一併上傳。每行64字元,最後一行長度可以不足64字元。
如果您並未按照上述方案產生私密金鑰,得到如-----BEGIN PRIVATE KEY-----或-----END PRIVATE KEY-----樣式的私密金鑰時,您可以按照如下方式轉換:
openssl rsa -in old_server_key.pem -out new_server_key.pem然後將new_server_key.pem的內容與認證一起上傳。
認證格式轉換方式
HTTPS配置只支援PEM格式的認證,其他格式的認證需要轉換成PEM格式,建議通過openssl工具進行轉換。下面是幾種比較流行的認證格式轉換為PEM格式的方法。
轉換方式 | 說明 |
DER轉換為PEM | DER格式一般出現在Java平台中。
|
P7B轉換為PEM | P7B格式一般出現在Windows Server和Tomcat中。
|
PFX轉換為PEM | PFX格式一般出現在Windows Server中。
|