本文介紹如何進行HTTPS安全加速配置。
功能介紹
安全超文字傳輸通訊協定 (HTTPS)(Hyper Text Transfer Protocol over Secure Socket Layer,簡稱 HTTPS)是以安全為目標的HTTP通道,通過SSL或TLS協議進行封裝。阿里雲直播服務提供HTTPS安全加速方案,並支援對認證進行查看、停用、啟用、編輯操作。認證配置正確且處於開啟狀態,同時支援HTTP訪問和HTTPS訪問。認證不匹配或者停用認證,僅支援HTTP訪問。
HTTPS加速優勢
傳輸過程中對使用者的關鍵資訊進行加密,防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感資訊泄露等安全隱患。
傳輸過程中對資料進行完整性校正,防止DNS或內容遭第三方劫持、篡改等中間人攻擊(MITM)隱患。
注意事項
配置相關
功能 | 說明 |
停用和啟用HTTPS功能 | 停用後,不支援HTTPS請求且將不再保留認證或私密金鑰資訊。啟用後,再次開啟認證,需要重新上傳認證或私密金鑰。 |
查看認證 | 允許使用者查看認證,但是只支援查看認證,由於私密金鑰資訊敏感不支援私密金鑰查看,請您妥善保管認證相關資訊。 |
修改編輯認證 | 支援修改編輯認證,但注意生效時間是5分鐘,請謹慎操作。 |
認證相關
ApsaraVideo for Live支援兩種認證部署:阿里雲Apsara Stack Security認證和自有認證。
開啟HTTPS安全加速功能的加速網域名稱,須上傳認證,包含認證或私密金鑰,均為PEM格式。
直播服務採用的Tengine服務是基於Nginx的,因此只支援Nginx能讀取的認證,即PEM格式。
只支援帶SNI資訊的SSL或TLS握手。
您上傳的認證和私密金鑰要匹配,否則會校正出錯。
更新認證的生效時間是5分鐘。
不支援帶密碼的私密金鑰。
操作步驟
步驟一:購買認證
開啟HTTPS安全加速,需要具備匹配加速網域名稱的認證。您可以在Apsara Stack Security認證服務單擊立即購買,購買認證。如果自有認證,可不用購買。
步驟二:配置直播網域名稱
開啟HTTPS安全加速。
在左側導覽列單擊推/播流網域名稱管理,進入網域名稱管理頁面。
選擇需要配置HTTPS安全加速的播流網域名稱,並單擊網域名稱配置。
單擊HTTPS配置,並開啟HTTPS認證開關。
選擇認證。
阿里雲Apsara Stack Security認證:在認證類型選項中單擊Apsara Stack Security,選擇在Apsara Stack Security認證服務購買過的認證,可以通過認證名稱直接選擇適配該加速網域名稱。
自有認證:在認證類型選項中單擊自訂,輸入認證名稱後並上傳認證內容和私密金鑰,該認證將會在Apsara Stack Security認證控制台儲存,可以在我的認證部分查看。
說明僅支援PEM的認證格式
設定跳轉類型。
單擊強制跳轉右方的修改配置。
支援設定強制跳轉,即自訂將使用者的原請求方式進行強制跳轉。例如,開啟HTTP > HTTPS跳轉後,使用者發起了一個HTTP請求,服務端返回302重新導向響應,原來的HTTP請求強制重新導向為HTTPS請求。
預設:相容使用者的HTTP和HTTPS請求。
HTTP > HTTPS跳轉:使用者的請求將強制重新導向為HTTPS請求。
HTTPS > HTTP跳轉:使用者的請求將強制重新導向為HTTP請求。
步驟三:驗證認證是否生效
設定完成待認證1分鐘後全網生效,使用HTTPS方式訪問資源,如果瀏覽器中出現鎖樣的標識,則HTTPS安全加速生效。