AI 助理
备案控制台
官方文档
输入文档关键字查找
首页视频直播功能特性域名管理推流域名管理配置HTTPS安全加速

配置HTTPS安全加速

更新时间:2025-04-24 08:06:01
产品详情
我的收藏

HTTPS通过SSLTLS协议保障了数据传输的安全性,阿里云直播服务提供HTTPS安全加速方案,支持灵活的证书管理,确保直播服务的安全性和可靠性。

功能介绍

安全超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,简称 HTTPS)是以安全为目标的HTTP通道,通过SSLTLS协议进行封装。阿里云直播服务提供HTTPS安全加速方案,并支持对证书进行查看、停用、启用、编辑操作。证书配置正确且处于开启状态,同时支持HTTP访问和HTTPS访问。证书不匹配或者停用证书,仅支持HTTP访问。

HTTPS加速优势

  • 传输过程中对用户的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。

  • 传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患。

注意事项

配置相关

功能

说明

功能

说明

停用启用HTTPS功能

  • 停用后,不支持HTTPS请求且将不再保留证书或私钥信息。

  • 启用后,再次开启证书,需要重新上传证书或私钥。

查看证书

允许用户查看证书,但是只支持查看证书,由于私钥信息敏感不支持私钥查看,请您妥善保管证书相关信息。

修改编辑证书

支持修改编辑证书,但注意生效时间是5分钟,请慎重操作。

证书相关

  • 视频直播支持两种证书部署:阿里云云盾证书和自有证书。

  • 开启HTTPS安全加速功能的加速域名,须上传证书,包含证书或私钥,均为PEM格式。

说明

直播服务采用的Tengine服务是基于Nginx的,因此只支持Nginx能读取的证书,即PEM格式。

  • 只支持带SNI信息的SSLTLS握手。

  • 您上传的证书和私钥要匹配,否则会校验出错。

  • 更新证书的生效时间是5分钟。

  • 不支持带密码的私钥。

配置HTTPS安全加速

步骤一:购买证书

开启HTTPS安全加速,需要具备匹配加速域名的证书。您可以在云盾证书服务单击立即购买,购买证书。如果自有证书,可不用购买。

步骤二:配置直播域名

  1. 打开HTTPS安全加速。

    1. 登录视频直播控制台

    2. 在左侧导航栏单击推/播流域名管理,进入域名管理页面。

    3. 选择需要配置HTTPS安全加速的推流域名,并单击域名配置

    4. 单击HTTPS配置,并打开HTTPS证书开关。

  2. 选择证书。

    • 阿里云云盾证书:在证书类型选项中单击云盾,选择在云盾证书服务购买过的证书,可以通过证书名称直接选择适配该加速域名。

    • 自有证书:在证书类型选项中单击自定义,输入证书名称后并上传证书内容和私钥,该证书将会在云盾证书控制台保存,可以在我的证书部分查看。

      说明

      仅支持PEM的证书格式。

步骤三:验证证书是否生效

设置完成待证书1分钟后全网生效,使用HTTPS方式访问资源,如果浏览器中出现锁样的标识,则HTTPS安全加速生效。image

证书格式说明

视频直播支持的证书格式和不同证书格式的转换方式。

ROOT CA机构颁发的证书
中级机构颁发的证书
RSA私钥格式要求

Root CA机构颁发的每个证书都是唯一的,颁发的证书可以用于多种服务器软件,包括Apache、IIS、NginxTomcat。视频直播通常使用Nginx服务器来处理证书,证书文件通常以.crt为扩展名,证书私钥文件通常以.key为扩展名。

证书上传格式为:

  • 证书上传时,请确保包含开头的-----BEGIN CERTIFICATE-----和结尾的-----END CERTIFICATE-----

  • 每行64字符,最后一行不超过64字符。

Linux环境下,PEM格式的证书示例如下图。

image

中级机构颁发的证书文件包含多份证书,您需要将服务器证书与中间证书拼接后,一起上传。

说明

拼接规则为:服务器证书放第一份,中间证书放第二份。一般情况下,机构在颁发证书的时候会有对应说明, 请注意规则说明。

中级机构颁发的证书链:

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

证书链规则:

  • 证书之间不能有空行。

  • 每一份证书遵守证书上传的格式说明。

RSA私钥规则:

  • 本地生成私钥:openssl genrsa -out privateKey.pem 2048。其中,privateKey.pem为您的私钥文件。

  • -----BEGIN RSA PRIVATE KEY-----开头,以-----END RSA PRIVATE KEY----- 结尾,请将这些内容一并上传。

  • 每行64字符,最后一行长度可以不足64字符。

image

如果您并未按照上述方案生成私钥,得到如-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----样式的私钥时,您可以按照如下方式转换: 

openssl rsa -in old_server_key.pem -out new_server_key.pem

然后将new_server_key.pem的内容与证书一起上传。

证书格式转换方式

HTTPS配置只支持PEM格式的证书,其他格式的证书需要转换成PEM格式,建议通过openssl工具进行转换。下面是几种比较流行的证书格式转换为PEM格式的方法。

转换方式

说明

转换方式

说明

DER转换为PEM

DER格式一般出现在Java平台中。

  • 证书转化: 

    openssl x509 -inform der -in certificate.cer -out certificate.pem

  • 私钥转化: 

    openssl rsa -inform DER -outform pem -in privatekey.der -out privatekey.pem

P7B转换为PEM

P7B格式一般出现在Windows ServerTomcat中。

  • 证书转化: 

    openssl pkcs7 -print_certs -in incertificat.p7b -out outcertificate.cer

    获取outcertificat.cer里面-----BEGIN CERTIFICATE----------END CERTIFICATE-----的内容作为证书上传。

  • 私钥转化:P7B证书无私钥,您只需在控制台填写证书部分,私钥无需填写。

PFX转换为PEM

PFX格式一般出现在Windows Server中。

  • 证书转化: 

    openssl pkcs12 -in certname.pfx -nokeys -out cert.pem

  • 私钥转化: 

    openssl pkcs12 -in certname.pfx -nocerts -out key.pem -nodes
上一篇:配置推流回调地址下一篇:配置HTTPS安全加速
  • 本页导读 (1)
  • 功能介绍
  • 注意事项
  • 配置HTTPS安全加速
  • 步骤一:购买证书
  • 步骤二:配置直播域名
  • 步骤三:验证证书是否生效
  • 证书格式说明
  • 证书格式转换方式