HTTPS通過SSL或TLS協議保障了資料轉送的安全性,阿里雲直播服務提供HTTPS安全加速方案,支援靈活的認證管理,確保直播服務的安全性和可靠性。
功能介紹
安全超文字傳輸通訊協定 (HTTPS)(Hyper Text Transfer Protocol over Secure Socket Layer,簡稱 HTTPS)是以安全為目標的HTTP通道,通過SSL或TLS協議進行封裝。阿里雲直播服務提供HTTPS安全加速方案,並支援對認證進行查看、停用、啟用、編輯操作。認證配置正確且處於開啟狀態,同時支援HTTP訪問和HTTPS訪問。認證不匹配或者停用認證,僅支援HTTP訪問。
HTTPS加速優勢
傳輸過程中對使用者的關鍵資訊進行加密,防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感資訊泄露等安全隱患。
傳輸過程中對資料進行完整性校正,防止DNS或內容遭第三方劫持、篡改等中間人攻擊(MITM)隱患。
注意事項
配置相關
功能 | 說明 |
停用和啟用HTTPS功能 |
|
查看認證 | 允許使用者查看認證,但是只支援查看認證,由於私密金鑰資訊敏感不支援私密金鑰查看,請您妥善保管認證相關資訊。 |
修改編輯認證 | 支援修改編輯認證,但注意生效時間是5分鐘,請謹慎操作。 |
認證相關
ApsaraVideo for Live支援兩種認證部署:阿里雲Apsara Stack Security認證和自有認證。
開啟HTTPS安全加速功能的加速網域名稱,須上傳認證,包含認證或私密金鑰,均為PEM格式。
直播服務採用的Tengine服務是基於Nginx的,因此只支援Nginx能讀取的認證,即PEM格式。
只支援帶SNI資訊的SSL或TLS握手。
您上傳的認證和私密金鑰要匹配,否則會校正出錯。
更新認證的生效時間是5分鐘。
不支援帶密碼的私密金鑰。
認證與網域名稱匹配規則
配置直播網域名稱 HTTPS 認證時,需確保認證的適配網域名稱範圍與實際業務網域名稱匹配,否則可能導致認證選擇失敗或 HTTPS 不生效。請注意以下規則:
網域名稱層級匹配:認證的適配網域名稱需與業務網域名稱的層級保持一致。例如,直播網域名稱為第三層網域名(如 live.example.com)時,需選擇明確覆蓋該第三層網域名的認證。
萬用字元認證的作用範圍:萬用字元認證(如 *.example.com)通常僅能匹配其下一級的單層子網域名稱,不支援跨級匹配多層子網域名稱(如 *.s2.example.com 或更深層級)。若業務網域名稱存在多級子網域名稱結構,需申請對應層級的萬用字元認證或多網域名稱認證。
配置HTTPS安全加速
步驟一:購買認證
開啟HTTPS安全加速,需要具備匹配加速網域名稱的認證。您可以在Apsara Stack Security認證服務單擊立即购买,購買認證。如果自有認證,可不用購買。
步驟二:配置直播網域名稱
開啟HTTPS安全加速。
在左側導覽列單擊推/播流網域名稱管理,進入網域名稱管理頁面。
選擇需要配置HTTPS安全加速的推流網域名稱,並單擊網域名稱配置。
單擊HTTPS配置,並開啟HTTPS認證開關。
選擇認證。
阿里雲Apsara Stack Security認證:在認證類型選項中單擊雲盾,選擇在Apsara Stack Security認證服務購買過的認證,可以通過認證名稱直接選擇適配該加速網域名稱。
自有認證:在認證類型選項中單擊自訂,輸入認證名稱後並上傳認證內容和私密金鑰,該認證將會在Apsara Stack Security認證控制台儲存,可以在認證應用倉庫部分查看。
跨帳號綁定認證:當ApsaraVideo for Live網域名稱與 SSL 憑證不在同一阿里雲帳號(不同帳號)時,無法直接選擇Apsara Stack Security認證。需要在持有認證的帳號下將認證下載為 Nginx 格式(含認證檔案和私密金鑰檔案),然後在直播控制台的 HTTPS 配置中選擇自訂模式,手動填寫認證名稱,並在內容地區粘貼認證檔案內容,在私密金鑰地區粘貼私密金鑰檔案內容,完成認證綁定。
說明僅支援PEM的認證格式。
步驟三:驗證認證是否生效
設定完成待認證1分鐘後全網生效,使用HTTPS方式訪問資源,如果瀏覽器中出現鎖樣的標識,則HTTPS安全加速生效。在瀏覽器地址欄中,單擊鎖形表徵圖,彈出面板顯示串連是安全的,表明認證已生效。
認證格式說明
ApsaraVideo for Live支援的認證格式和不同認證格式的轉換方式。
ROOT CA機構頒發的認證
Root CA機構頒發的每個認證都是唯一的,頒發的認證可以用於多種伺服器軟體,包括Apache、IIS、Nginx和Tomcat。ApsaraVideo for Live通常使用Nginx伺服器來處理認證,認證檔案通常以.crt為副檔名,認證私密金鑰檔案通常以.key為副檔名。
認證上傳格式為:
認證上傳時,請確保包含開頭的
-----BEGIN CERTIFICATE-----和結尾的-----END CERTIFICATE-----。每行64字元,最後一行不超過64字元。
在Linux環境下,PEM格式的認證樣本如下。
-----BEGIN CERTIFICATE-----
MIIDRjCCAq+gAwIBAgIJAJn3ox4K13xxx
xxx
-----END CERTIFICATE-----中級機構頒發的認證
中級機構頒發的認證檔案包含多份認證,您需要將伺服器憑證與中間認證拼接後,一起上傳。
拼接規則為:伺服器憑證放第一份,中間認證放第二份。一般情況下,機構在頒發認證的時候會有對應說明, 請注意規則說明。
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
憑證鏈結規則:
認證之間不能有空行。
每一份認證遵守認證上傳的格式說明。
RSA私密金鑰格式要求
RSA私密金鑰規則:
本地產生私密金鑰:
openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem為您的私密金鑰檔案。以
-----BEGIN RSA PRIVATE KEY-----開頭,以-----END RSA PRIVATE KEY-----結尾,請將這些內容一併上傳。每行64字元,最後一行長度可以不足64字元。
-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDOOkt3vfjY9...
...(私密金鑰內容)...
-----END RSA PRIVATE KEY-----如果您並未按照上述方案產生私密金鑰,得到如-----BEGIN PRIVATE KEY-----或-----END PRIVATE KEY-----樣式的私密金鑰時,您可以按照如下方式轉換:
openssl rsa -in old_server_key.pem -out new_server_key.pem然後將new_server_key.pem的內容與認證一起上傳。
認證格式轉換方式
HTTPS配置只支援PEM格式的認證,其他格式的認證需要轉換成PEM格式,建議通過openssl工具進行轉換。下面是幾種比較流行的認證格式轉換為PEM格式的方法。
轉換方式 | 說明 |
DER轉換為PEM | DER格式一般出現在Java平台中。
|
P7B轉換為PEM | P7B格式一般出現在Windows Server和Tomcat中。
|
PFX轉換為PEM | PFX格式一般出現在Windows Server中。
|