このトピックでは、ApsaraVideo LiveでHTTPSセキュアアクセラレーションを設定する方法について説明します。
概要
HTTPSは、ネットワーク上の安全な通信のためのHTTPの拡張です。 HTTPSでは、通信プロトコルはTLS (Transport Layer Security) またはSSL (Secure Sockets Layer) を使用して暗号化されます。 ApsaraVideo LiveはHTTPSセキュアアクセラレーションをサポートしており、SSL証明書を表示、有効化、無効化、または変更できます。 インジェストドメインのSSL証明書を設定および有効にすると、HTTPおよびHTTPSアクセスがサポートされます。 SSL証明書がドメイン名と一致しないか、無効になっている場合、HTTPアクセスのみがサポートされます。
メリット
HTTPSは、セッションIDやCookieなどの機密情報を暗号化して、情報漏洩を防ぎます。
HTTPSは、送信中にデータの整合性をチェックして、DNSハイジャックや改ざんなどの中間者 (MITM) 攻撃からデータを保護します。
使用上の注意
関連する API
操作 | 説明 |
HTTPSの無効化または有効化 | HTTPSを無効にすると、ApsaraVideo LiveはHTTPSリクエストをサポートしなくなります。 さらに、ApsaraVideo LiveはSSL証明書と秘密鍵を削除します。 HTTPSを有効にした後、証明書と秘密鍵を再度アップロードして証明書を有効にする必要があります。 |
証明書の表示 | 証明書を表示できます。 ただし、秘密鍵は機密であるため、表示できません。 証明書情報を安全に保ちます。 |
証明書の変更または編集 | 証明書を変更または編集できます。 更新された証明書が有効になるまでに5分かかります。 この操作は慎重に行ってください。 |
証明書管理
ApsaraVideo Liveは、Certificate Management Serviceを使用して購入した証明書とカスタム証明書をサポートします。
ドメイン名に対してHTTPSセキュアアクセラレーションを有効にした後、証明書と秘密鍵をアップロードする必要があります。どちらもPEM形式である必要があります。
ApsaraVideo LiveはNGINXベースのTengine webサーバーを使用します。 したがって、ApsaraVideo LiveはNGINXで読み取ることができるPEM証明書のみをサポートします。
ApsaraVideo Liveは、サーバー名表示 (SNI) 情報を含むSSL/TLSハンドシェイクのみをサポートします。
アップロードされた証明書は秘密鍵と一致する必要があります。 それ以外の場合、証明書と秘密鍵は検証に失敗します。
更新された証明書が有効になるまでに5分かかります。
システムは、パスワードが設定されている秘密鍵をサポートしていません。
手順
ステップ1: 証明書の購入
HTTPSセキュアアクセラレーションを有効にするには、ドメイン名と一致する証明書をアップロードする必要があります。 証明書を購入するには、証明書管理サービス購入ページの [今すぐ購入] をクリックします。 カスタム証明書を使用する場合は、この手順をスキップしてください。
手順2: ドメイン名の設定
HTTPSセキュアアクセラレーションを有効にします。
ApsaraVideo Live コンソールにログインします。
左側のナビゲーションウィンドウで、[ドメイン名] をクリックします。 ドメイン管理 ページが表示されます。
設定するストリーミングドメインを見つけて、[操作] 列の [ドメイン設定] をクリックします。
左側のナビゲーションツリーで、[ストリーミング管理]> [HTTPS設定] を選択します。 表示されるページで、HTTPS証明書をオンにします。
証明書をアップロードします。
Alibaba Cloud Certificate Management Service: 表示されるダイアログボックスで、認証局のAlibaba Cloud Securityを選択し、Certificate Management Serviceから購入した証明書を選択します。
カスタム証明書: 表示されるダイアログボックスで、認証局の [その他] を選択します。 次に、証明書名、証明書の内容、および秘密鍵を指定します。 証明書はcertificate Management Serviceコンソールに保存されます。 SSL証明書ページで証明書を表示できます。
説明PEM 形式の証明書のみがサポートされます。
リダイレクトタイプを設定します。
[強制リダイレクト] セクションで [設定の変更] をクリックします。
元のリクエストを強制的にリダイレクトすることで、クライアントにHTTPまたはHTTPSの使用を強制できます。 たとえば、リダイレクトタイプをHTTP > HTTPSに設定します。 クライアントがHTTPリクエストを開始すると、サーバーは302応答を返し、リクエストをwebページのHTTPSバージョンにリダイレクトします。
デフォルト: HTTPおよびHTTPSリクエストがサポートされています。
HTTP > HTTPS: クライアントにHTTPSの使用を強制します。
HTTPS > HTTP: クライアントにHTTPの使用を強制します。
手順3: 証明書が有効になることを確認
証明書がアップロードされた後、1分以内に有効になります。 証明書が有効であることを確認するには、HTTPSリクエストを送信してリソースにアクセスします。 URLがブラウザのアドレスバーにロックアイコンで表示されている場合、HTTPSセキュアアクセラレーションは期待どおりに機能しています。