HTTPS は、暗号化およびデータ整合性チェックによりデータ伝送を保護します。HTTP/2 は、伝送効率と速度を向上させるための複数の技術的強化機能を導入しています。HTTPS と HTTP/2 を併用することで、エンドユーザに対してより安全で、高速かつスムーズなネットワーク体験を提供できます。
HTTPS セキュアアクセラレーションの構成
概要
ハイパーテキスト転送プロトコルセキュア(HTTPS)は、SSL または TLS プロトコルを用いてセキュリティが確保された HTTP チャネルです。ApsaraVideo Live では、HTTPS セキュアアクセラレーションのソリューションを提供しており、証明書の表示、無効化、有効化、および編集が可能です。証明書が正しく構成され、有効化されている場合、HTTP および HTTPS の両方によるアクセスがサポートされます。一方、証明書がドメイン名と一致しない場合や無効化されている場合は、HTTP アクセスのみが利用可能です。
HTTPS アクセラレーションのメリット
攻撃者が通信を傍受した場合でも、セッション ID や Cookie の漏洩といったセキュリティリスクを防止するために、伝送中の機密ユーザ情報が暗号化されます。
中間者(MITM)攻撃(例:DNS ハイジャック、コンテンツハイジャック、改ざん)を防止するため、伝送中のデータ整合性チェックが実行されます。
注意事項
構成
機能 | 説明 |
Disable および 有効化 の設定 |
|
証明書の表示 | 証明書情報を表示できます。ただし、秘密鍵は機密情報であるため、表示できません。証明書情報を適切に管理してください。 |
証明書の変更または編集 | 証明書を変更または編集できます。変更は約 5 分後に有効になります。この操作は慎重に実行してください。 |
証明書
ApsaraVideo Live では、Alibaba Cloud Security 証明書およびお客様独自の証明書の 2 種類の証明書デプロイメントをサポートしています。
高速化ドメイン名に対して HTTPS の有効化 機能を有効化する場合、PEM 形式の証明書および秘密鍵をアップロードする必要があります。
ApsaraVideo Live は Nginx を基盤とする Tengine サービスを使用しているため、Nginx で読み取れる証明書(すなわち PEM 形式)のみをサポートしています。
サーバー名表示(SNI)情報を含む SSL/TLS ハンドシェイクのみをサポートしています。
アップロードする証明書と秘密鍵は一致している必要があります。一致していない場合、検証エラーが発生します。
更新された証明書は、約 5 分後に有効になります。
パスワードで保護された秘密鍵はサポートされていません。
操作手順
ステップ 1:証明書の購入
HTTPS の有効化 を有効にするには、高速化ドメイン名と一致する証明書が必要です。証明書サービスページに移動し、Buy Now をクリックして証明書を購入できます。既にお持ちの証明書がある場合は、このステップをスキップできます。
ステップ 2:ストリーミングドメインの構成
HTTPS セキュアアクセラレーションを有効化します。
ApsaraVideo Live コンソール にログインします。
左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理 をクリックします。ドメイン管理 ページが表示されます。
HTTPS セキュアアクセラレーションを構成するストリーミングドメインを選択し、ドメイン設定 をクリックします。
HTTPS の設定 をクリックし、HTTPS 証明書 のスイッチをオンにします。
証明書を選択します。
Alibaba Cloud Security 証明書:証明書タイプとして Alibaba Cloud Security をクリックします。証明書サービスで購入した証明書から、高速化ドメイン名と一致するものを名前で選択してください。
独自の証明書: 証明書タイプで、カスタム をクリックします。証明書名を入力し、証明書の内容と秘密鍵をアップロードします。この証明書は、Alibaba Cloud セキュリティコンソール に保存されます。[マイ証明書] セクションで確認できます。
説明PEM 形式の証明書のみをサポートしています。
ステップ 3:証明書の有効性確認
構成を完了すると、証明書は約 1 分以内にグローバルに有効になります。HTTPS を使用してリソースにアクセスしてください。ブラウザにロックアイコンが表示された場合、HTTPS セキュアアクセラレーションが有効化されています。
HTTP/2 の構成
はじめに
HTTP/2(HTTP 2.0)は、HTTP 1.1 と比較して、多重化、HTTP ヘッダー圧縮、リクエスト優先順位付け、サーバープッシュなどの機能を導入しています。これにより、HTTP 1.1 の制限が解消され、リクエストパフォーマンスが最適化されるとともに、HTTP 1.1 のセマンティクスとの互換性も維持されます。Chrome、Edge、Safari、Firefox などのブラウザは、HTTP/2 プロトコルをサポートしています。
HTTP/2 のメリット
バイナリプロトコル:HTTP 1.x はテキストベースの解析に依存していますが、HTTP/2 では、すべての送信情報を小さなメッセージおよびフレームに分割し、バイナリ形式でエンコードします。このバイナリ構造により、プロトコルの拡張性が向上します(例:データおよび命令専用のフレームの導入)。
多重化:HTTP 1.x では、ブラウザがドメインあたりの同時リクエスト数に制限を設けているため、スプライトや複数のドメイン名といったパフォーマンス最適化手法がよく用いられます。ページが多数のリソースを必要とする場合、ヘッドオブライン(HOL)ブロッキングにより、後続のリクエストが待機を余儀なくされます。HTTP/2 はバイナリフレーミングレイヤーに基づいているため、単一の TCP 接続上で複数のリクエストおよび応答を同時に送信できます。受信側では、ストリーム識別子およびヘッダーを用いて再構成されるため、HOL ブロッキングが解消され、伝送パフォーマンスが大幅に向上します。
ヘッダー圧縮:HTTP リクエストヘッダーには、大量の重複情報が含まれています。HTTP/2 では HPACK 圧縮フォーマットを採用しており、両エンドポイントがヘッダーフィールドのキャッシュインデックステーブルを保持します。同一のヘッダーの場合、インデックス番号のみを送信するため、効率性および速度が向上します。
サーバープッシュ:サーバーは、クライアントからの単一のリクエストに対して複数の応答を能動的に送信でき、クライアントからの明示的なリクエストを待たずにリソースを配信できます。
注意事項
この操作を実行する前に、HTTPS セキュアアクセラレーションが構成済みであることを確認してください。
初めて HTTPS 証明書を構成する場合は、証明書の構成が完了し、有効化された後に HTTP/2 を有効化してください。
HTTPS 証明書機能を無効化すると、HTTP/2 の設定は利用不可となり、有効化できなくなります。
HTTP/2 を有効化した後に HTTPS 証明書機能を無効化すると、HTTP/2 も無効化されます。
HTTP/2 の有効化または無効化
- ApsaraVideo Live コンソール にログインします。
左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理 をクリックします。ドメイン管理 ページが表示されます。
構成対象のストリーミングドメインを検索し、[操作] 列の ドメイン設定 をクリックします。
ドメインの左側ナビゲーションペインで、HTTPS の設定 をクリックします。
HTTP/2 セクションで、HTTP/2 機能をオンまたはオフに切り替えます。
強制リダイレクト
この操作を実行する前に、HTTPS セキュアアクセラレーションが構成済みであることを確認してください。
概要
高速化ドメイン名に対して HTTPS セキュアアクセラレーションを有効化している場合、エンドユーザからの元のリクエストを強制的にリダイレクトするようカスタマイズ設定できます。
たとえば、HTTP -> HTTPS を有効化すると、エンドユーザが HTTP リクエストを送信した際に、サーバーが HTTP 301 ステータスコードの応答を返し、元の HTTP リクエストを強制的に HTTPS リクエストにリダイレクトします(下図参照)。
操作手順
- ApsaraVideo Live コンソール にログインします。
左側のナビゲーションウィンドウで、アップストリームミングまたはストリーミングのドメイン名管理 をクリックします。ドメイン管理 ページが表示されます。
構成対象のストリーミングドメインを検索し、[操作] 列の ドメイン設定 をクリックします。
をクリックします。
設定の変更 をクリックします。
リダイレクトタイプ を選択します。
リダイレクトタイプ
説明
デフォルト
HTTP および HTTPS の両方のリクエストがサポートされます。
HTTPS -> HTTP
クライアントからポイント・オブ・プレゼンス(POP)へのリクエストが強制的に HTTP にリダイレクトされます。
HTTP -> HTTPS
クライアントから POP へのリクエストが強制的に HTTPS にリダイレクトされ、アクセスのセキュリティが確保されます。
OK をクリックします。
証明書フォーマットの説明
本セクションでは、ApsaraVideo Live がサポートする証明書フォーマットおよび、必要なフォーマットへの変換方法について説明します。
ルート認証局(CA)が発行した証明書
ルート認証局(CA)が発行した証明書は、Apache、IIS、Nginx、Tomcat などの各種サーバーソフトウェアで使用できます。ApsaraVideo Live では、証明書処理に Nginx サーバーを使用しています。証明書ファイルの拡張子は通常 .crt、秘密鍵ファイルの拡張子は通常 .key です。
証明書をアップロードする際は、以下のフォーマット規則に従ってください:
ヘッダー
-----BEGIN CERTIFICATE-----およびフッター-----END CERTIFICATE-----を含めてください。各行は 64 文字で構成してください。最終行は 64 文字未満でも構いません。
以下は、Linux 環境における PEM 形式の証明書の例です。
中間認証局が発行した証明書
証明書が中間認証局によって発行されている場合、証明書ファイルには複数の証明書が含まれます。アップロード前に、サーバー証明書と中間証明書を 1 つのファイルに結合する必要があります。
結合ルール:サーバー証明書を中間証明書の前に配置してください。発行元の認証局は通常、証明書とともに指示書を提供しています。必ずその指示に従ってください。
中間認証局が発行した証明書チェーン:
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
証明書チェーンのルール:
証明書間に空行を含めないでください。
各証明書は、上記のフォーマット要件を満たす必要があります。
RSA 秘密鍵のフォーマット要件
RSA 秘密鍵については、以下のルールに従ってください:
ローカルで秘密鍵を生成するには、次のコマンドを実行します:
openssl genrsa -out privateKey.pem 2048。このコマンドにおいて、privateKey.pemはお客様の秘密鍵ファイルです。鍵は
-----BEGIN RSA PRIVATE KEY-----で始まり、-----END RSA PRIVATE KEY-----で終わる必要があります。アップロード時に、これらのヘッダーおよびフッターラインを含めてください。各行は 64 文字で構成してください。最終行は 64 文字未満でも構いません。
上記の方法で秘密鍵を生成しなかった場合、または -----BEGIN PRIVATE KEY----- および -----END PRIVATE KEY----- を含む形式の秘密鍵をお持ちの場合は、以下のように変換できます:
openssl rsa -in old_server_key.pem -out new_server_key.pemその後、new_server_key.pem の内容を証明書とともにアップロードしてください。
証明書フォーマットの変換方法
HTTPS セキュアアクセラレーションでは、PEM 形式の証明書のみをサポートしています。証明書が他の形式の場合は、PEM 形式へ変換する必要があります。OpenSSL ツールを使用して変換できます。以下の表では、代表的ないくつかの形式から PEM 形式への変換方法を説明します。
変換方法 | 説明 |
DER 形式から PEM 形式への変換 | DER 形式は Java プラットフォームで一般的です。
|
P7B 形式から PEM 形式への変換 | P7B 形式は Windows Server および Tomcat で一般的です。
|
PFX 形式から PEM 形式への変換 | PFX 形式は Windows Server で一般的です。
|