HTTPS通过加密和完整性校验保障了数据的安全传输,而HTTP/2则通过多项技术改进大幅提升了数据传输的效率和速度。结合使用HTTPS和HTTP/2,可以为用户提供更加安全、快速和流畅的网络体验。
配置HTTPS安全加速
功能介绍
安全超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,简称 HTTPS)是以安全为目标的HTTP通道,通过SSL或TLS协议进行封装。阿里云直播服务提供HTTPS安全加速方案,并支持对证书进行查看、停用、启用、编辑操作。证书配置正确且处于开启状态,同时支持HTTP访问和HTTPS访问。证书不匹配或者停用证书,仅支持HTTP访问。
HTTPS加速优势
传输过程中对用户的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。
传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患。
注意事项
配置相关
功能 | 说明 |
停用和启用HTTPS功能 |
|
查看证书 | 允许用户查看证书,但是只支持查看证书,由于私钥信息敏感不支持私钥查看,请您妥善保管证书相关信息。 |
修改编辑证书 | 支持修改编辑证书,但注意生效时间是5分钟,请慎重操作。 |
证书相关
视频直播支持两种证书部署:阿里云云盾证书和自有证书。
开启HTTPS安全加速功能的加速域名,须上传证书,包含证书或私钥,均为PEM格式。
直播服务采用的Tengine服务是基于Nginx的,因此只支持Nginx能读取的证书,即PEM格式。
只支持带SNI信息的SSL或TLS握手。
您上传的证书和私钥要匹配,否则会校验出错。
更新证书的生效时间是5分钟。
不支持带密码的私钥。
操作步骤
步骤一:购买证书
开启HTTPS安全加速,需要具备匹配加速域名的证书。您可以在云盾证书服务单击立即购买,购买证书。如果自有证书,可不用购买。
步骤二:配置直播域名
步骤三:验证证书是否生效
设置完成待证书1分钟后全网生效,使用HTTPS方式访问资源,如果浏览器中出现锁样的标识,则HTTPS安全加速生效。
配置HTTP/2
功能介绍
HTTP/2也被称为HTTP 2.0,相对于HTTP 1.1新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性,解决了在HTTP 1.1中一直存在的问题,优化了请求性能,同时兼容了HTTP 1.1的语义。目前,Chrome、Edge、Safari和Firefox等浏览器已经支持HTTP/2协议。
HTTP/2的优势
二进制协议:相比于HTTP 1.x基于文本的解析,HTTP/2将所有的传输信息分割为更小的消息和帧,并对它们采用二进制格式编码。基于二进制可以使协议有更多的扩展性。例如,引入帧来传输数据和指令。
多路复用(MultiPlexing):在HTTP1.x中,我们经常会使用到雪碧图、使用多个域名等方式来优化性能,因为浏览器限制了同一个域名下的请求数量,当页面需要请求很多资源的时候,队头阻塞(Head of line blocking)会导致在达到最大请求时,资源需要等待其他资源请求完成后才能继续发送。HTTP2.0中,基于二进制分帧层,HTTP2.0可以在共享TCP连接的基础上同时发送请求和响应,在另一端根据流标识符和首部将他们重新组装起来,通过该技术,可以避免HTTP旧版本的队头阻塞问题,极大提高传输性能。
Header压缩(Header compression):HTTP请求头带有大量信息,而且每次都要重复发送。HTTP/2采用HPACK格式进行压缩传输,通讯双方各自缓存一份头域索引表,相同的消息头只发送索引号,从而提高效率和速度。
服务端推送(Server Push):服务端可以对一个客户端请求发送多个响应,服务端向客户端推送资源无需客户端明确的请求。
注意事项
执行该操作前,请您确保已成功配置HTTPS安全加速。
如果您是第一次配置HTTPS证书,则需要等证书配置完成且生效后,才能开启HTTP/2。
如果您关闭了HTTPS证书功能,HTTP/2设置系统默认置灰,无法开启。
如果您开启HTTP/2后,关闭了HTTPS证书功能,HTTP/2也会自动失效。
开启或关闭HTTP/2
- 登录视频直播控制台。
在左侧导航栏单击推/播流域名管理,进入域名管理页面。
选择您要配置的播流域名,单击域名配置。
在指定域名的左侧导航栏,单击HTTPS配置。
在HTTP/2设置区域,打开或者关闭HTTP/2功能。
强制跳转
执行该操作前,请您确保已成功配置HTTPS安全加速。
功能介绍
如果您的加速域名开启了HTTPS安全加速,您可以自定义设置,将终端用户的原请求方式进行强制跳转。
例如,您开启HTTP -> HTTPS,终端用户发起了一个HTTP请求,服务端返回301重定向响应,原来的HTTP请求强制重定向为HTTPS请求,如下图所示。
操作步骤
- 登录视频直播控制台。
在左侧导航栏单击推/播流域名管理,进入域名管理页面。
选择您要配置的播流域名,单击域名配置。
单击。
单击修改配置。
选择跳转类型。
跳转类型
说明
默认
同时支持HTTP和HTTPS方式的请求。
HTTPS -> HTTP
客户端到边缘节点的请求将强制重定向为HTTP方式。
HTTP -> HTTPS
客户端到边缘节点的请求将强制重定向为HTTPS方式,确保访问安全。
单击确定。
证书格式说明
视频直播支持的证书格式和不同证书格式的转换方式。
ROOT CA机构颁发的证书
Root CA机构颁发的每个证书都是唯一的,颁发的证书可以用于多种服务器软件,包括Apache、IIS、Nginx和Tomcat。视频直播通常使用Nginx服务器来处理证书,证书文件通常以.crt为扩展名,证书私钥文件通常以.key为扩展名。
证书上传格式为:
证书上传时,请确保包含开头的
-----BEGIN CERTIFICATE-----和结尾的-----END CERTIFICATE-----。每行64字符,最后一行不超过64字符。
在Linux环境下,PEM格式的证书示例如下图。
中级机构颁发的证书
中级机构颁发的证书文件包含多份证书,您需要将服务器证书与中间证书拼接后,一起上传。
拼接规则为:服务器证书放第一份,中间证书放第二份。一般情况下,机构在颁发证书的时候会有对应说明, 请注意规则说明。
中级机构颁发的证书链:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
证书链规则:
证书之间不能有空行。
每一份证书遵守证书上传的格式说明。
RSA私钥格式要求
RSA私钥规则:
本地生成私钥:
openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem为您的私钥文件。以
-----BEGIN RSA PRIVATE KEY-----开头,以-----END RSA PRIVATE KEY-----结尾,请将这些内容一并上传。每行64字符,最后一行长度可以不足64字符。
如果您并未按照上述方案生成私钥,得到如-----BEGIN PRIVATE KEY-----或-----END PRIVATE KEY-----样式的私钥时,您可以按照如下方式转换:
openssl rsa -in old_server_key.pem -out new_server_key.pem然后将new_server_key.pem的内容与证书一起上传。
证书格式转换方式
HTTPS配置只支持PEM格式的证书,其他格式的证书需要转换成PEM格式,建议通过openssl工具进行转换。下面是几种比较流行的证书格式转换为PEM格式的方法。
转换方式 | 说明 |
DER转换为PEM | DER格式一般出现在Java平台中。
|
P7B转换为PEM | P7B格式一般出现在Windows Server和Tomcat中。
|
PFX转换为PEM | PFX格式一般出现在Windows Server中。
|