全部產品
Search
文件中心

ApsaraVideo Live:配置HTTPS安全加速

更新時間:Jul 15, 2026

HTTPS通過SSL或TLS協議保障了資料轉送的安全性,阿里雲直播服務提供HTTPS安全加速方案,支援靈活的認證管理,確保直播服務的安全性和可靠性。

功能介紹

安全超文字傳輸通訊協定 (HTTPS)(Hyper Text Transfer Protocol over Secure Socket Layer,簡稱 HTTPS)是以安全為目標的HTTP通道,通過SSL或TLS協議進行封裝。阿里雲直播服務提供HTTPS安全加速方案,並支援對認證進行查看、停用、啟用、編輯操作。認證配置正確且處於開啟狀態,同時支援HTTP訪問和HTTPS訪問。認證不匹配或者停用認證,僅支援HTTP訪問。

HTTPS加速優勢

  • 傳輸過程中對使用者的關鍵資訊進行加密,防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感資訊泄露等安全隱患。

  • 傳輸過程中對資料進行完整性校正,防止DNS或內容遭第三方劫持、篡改等中間人攻擊(MITM)隱患。

注意事項

配置相關

功能

說明

停用啟用HTTPS功能

  • 停用後,不支援HTTPS請求且將不再保留認證或私密金鑰資訊。

  • 啟用後,再次開啟認證,需要重新上傳認證或私密金鑰。

查看認證

允許使用者查看認證,但是只支援查看認證,由於私密金鑰資訊敏感不支援私密金鑰查看,請您妥善保管認證相關資訊。

修改編輯認證

支援修改編輯認證,但注意生效時間是5分鐘,請謹慎操作。

認證相關

  • ApsaraVideo for Live支援兩種認證部署:阿里雲Apsara Stack Security認證和自有認證。

  • 開啟HTTPS安全加速功能的加速網域名稱,須上傳認證,包含認證或私密金鑰,均為PEM格式。

說明

直播服務採用的Tengine服務是基於Nginx的,因此只支援Nginx能讀取的認證,即PEM格式。

  • 只支援帶SNI資訊的SSL或TLS握手。

  • 您上傳的認證和私密金鑰要匹配,否則會校正出錯。

  • 更新認證的生效時間是5分鐘。

  • 不支援帶密碼的私密金鑰。

認證與網域名稱匹配規則

配置直播網域名稱 HTTPS 認證時,需確保認證的適配網域名稱範圍與實際業務網域名稱匹配,否則可能導致認證選擇失敗或 HTTPS 不生效。請注意以下規則:

  1. 網域名稱層級匹配:認證的適配網域名稱需與業務網域名稱的層級保持一致。例如,直播網域名稱為第三層網域名(如 live.example.com)時,需選擇明確覆蓋該第三層網域名的認證。

  2. 萬用字元認證的作用範圍:萬用字元認證(如 *.example.com)通常僅能匹配其下一級的單層子網域名稱,不支援跨級匹配多層子網域名稱(如 *.s2.example.com 或更深層級)。若業務網域名稱存在多級子網域名稱結構,需申請對應層級的萬用字元認證或多網域名稱認證。

配置HTTPS安全加速

步驟一:購買認證

開啟HTTPS安全加速,需要具備匹配加速網域名稱的認證。您可以在Apsara Stack Security認證服務單擊立即购买,購買認證。如果自有認證,可不用購買。

步驟二:配置直播網域名稱

  1. 開啟HTTPS安全加速。

    1. 登入ApsaraVideo for Live控制台

    2. 在左側導覽列單擊推/播流網域名稱管理,進入網域名稱管理頁面。

    3. 選擇需要配置HTTPS安全加速的推流網域名稱,並單擊網域名稱配置

    4. 單擊HTTPS配置,並開啟HTTPS認證開關。

  2. 選擇認證。

    • 阿里雲Apsara Stack Security認證:在認證類型選項中單擊雲盾,選擇在Apsara Stack Security認證服務購買過的認證,可以通過認證名稱直接選擇適配該加速網域名稱。

    • 自有認證:在認證類型選項中單擊自訂,輸入認證名稱後並上傳認證內容和私密金鑰,該認證將會在Apsara Stack Security認證控制台儲存,可以在認證應用倉庫部分查看。

      跨帳號綁定認證:當ApsaraVideo for Live網域名稱與 SSL 憑證不在同一阿里雲帳號(不同帳號)時,無法直接選擇Apsara Stack Security認證。需要在持有認證的帳號下將認證下載為 Nginx 格式(含認證檔案和私密金鑰檔案),然後在直播控制台的 HTTPS 配置中選擇自訂模式,手動填寫認證名稱,並在內容地區粘貼認證檔案內容,在私密金鑰地區粘貼私密金鑰檔案內容,完成認證綁定。

      說明

      僅支援PEM的認證格式。

步驟三:驗證認證是否生效

設定完成待認證1分鐘後全網生效,使用HTTPS方式訪問資源,如果瀏覽器中出現鎖樣的標識,則HTTPS安全加速生效。在瀏覽器地址欄中,單擊鎖形表徵圖,彈出面板顯示串連是安全的,表明認證已生效。

認證格式說明

ApsaraVideo for Live支援的認證格式和不同認證格式的轉換方式。

ROOT CA機構頒發的認證

Root CA機構頒發的每個認證都是唯一的,頒發的認證可以用於多種伺服器軟體,包括Apache、IIS、Nginx和Tomcat。ApsaraVideo for Live通常使用Nginx伺服器來處理認證,認證檔案通常以.crt為副檔名,認證私密金鑰檔案通常以.key為副檔名。

認證上傳格式為:

  • 認證上傳時,請確保包含開頭的-----BEGIN CERTIFICATE-----和結尾的-----END CERTIFICATE-----

  • 每行64字元,最後一行不超過64字元。

在Linux環境下,PEM格式的認證樣本如下。

-----BEGIN CERTIFICATE-----
MIIDRjCCAq+gAwIBAgIJAJn3ox4K13xxx
xxx
-----END CERTIFICATE-----

中級機構頒發的認證

中級機構頒發的認證檔案包含多份認證,您需要將伺服器憑證與中間認證拼接後,一起上傳。

說明

拼接規則為:伺服器憑證放第一份,中間認證放第二份。一般情況下,機構在頒發認證的時候會有對應說明, 請注意規則說明。

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

憑證鏈結規則:

  • 認證之間不能有空行。

  • 每一份認證遵守認證上傳的格式說明。

RSA私密金鑰格式要求

RSA私密金鑰規則:

  • 本地產生私密金鑰:openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem為您的私密金鑰檔案。

  • -----BEGIN RSA PRIVATE KEY-----開頭,以-----END RSA PRIVATE KEY----- 結尾,請將這些內容一併上傳。

  • 每行64字元,最後一行長度可以不足64字元。

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDOOkt3vfjY9...
...(私密金鑰內容)...
-----END RSA PRIVATE KEY-----

如果您並未按照上述方案產生私密金鑰,得到如-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----樣式的私密金鑰時,您可以按照如下方式轉換:

openssl rsa -in old_server_key.pem -out new_server_key.pem

然後將new_server_key.pem的內容與認證一起上傳。

認證格式轉換方式

HTTPS配置只支援PEM格式的認證,其他格式的認證需要轉換成PEM格式,建議通過openssl工具進行轉換。下面是幾種比較流行的認證格式轉換為PEM格式的方法。

轉換方式

說明

DER轉換為PEM

DER格式一般出現在Java平台中。

  • 認證轉化:

    openssl x509 -inform der -in certificate.cer -out certificate.pem
  • 私密金鑰轉化:

    openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B轉換為PEM

P7B格式一般出現在Windows Server和Tomcat中。

  • 認證轉化:

    openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

    擷取outcertificat.cer裡面-----BEGIN CERTIFICATE----------END CERTIFICATE-----的內容作為認證上傳。

  • 私密金鑰轉化:P7B認證無私密金鑰,您只需在控制台填寫認證部分,私密金鑰無需填寫。

PFX轉換為PEM

PFX格式一般出現在Windows Server中。

  • 認證轉化:

    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem
  • 私密金鑰轉化:

    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes