云服务器内容精选
-
注意事项 证书和加速 域名 需要匹配,您需要配置域名或泛域名对应的证书,泛域名证书配置请参见如何配置泛域名证书。 配置项停用后证书配置信息将会被清除,再次开启HTTPS配置需要重新配置证书相关信息。 如果您的证书发生了变更,需及时同步更新CDN控制台HTTPS配置项里面的证书信息。 自有证书请参考更新HTTPS证书完成证书更新。 SCM证书请参考配置HTTPS证书为域名配置最新的证书。 如果您需要实现全链路HTTPS加密,还需要将修改回源协议配置为HTTPS(源站服务器需要支持HTTPS协议)。 关闭HTTPS证书后,客户端HTTPS请求的SSL握手会失败,从而导致所有客户端HTTPS请求失败。
-
背景信息 CDN支持HTTPS安全加速,您可以通过在CDN控制台配置加速域名的HTTPS证书,启用HTTPS加速服务,证书配置成功后,客户端可以使用HTTPS协议请求CDN节点。HTTP和HTTPS协议的区别如下: HTTP:HTTP协议以明文方式发送内容,不提供任何方式的 数据加密 ,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读取其中的信息。 HTTPS:为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
-
清理托管证书 您也可以在页面对托管证书进行删除操作。 注意事项 清理托管证书,该托管证书将从服务器端删除,不会泄露您的相关隐私。 已关联加速域名的托管证书不能清理,请先关闭HTTPS安全配置。 如果您需要再次使用托管证书,请从SSL证书管理中重新推送至CDN。 操作步骤 单击“清理托管证书”。 在弹出页面选择您需要清理的证书,单击“确定”,完成托管证书清理。 如果您需要再次使用托管证书,请从SSL证书管理中重新推送至CDN
-
启用HTTPS 登录 视频点播 控制台。 在左侧导航栏中,选择“域名管理”,进入域名管理界面。 单击自有域名右侧“配置”,选择“HTTPS配置”页签。 单击“HTTPS配置”右侧的“编辑”,弹出“启用HTTPS加速”对话框,如图1所示。 图1 启用HTTPS加速 打开“状态”开关,配置HTTPS参数,如图1 自有域名配置HTTPS证书所示。 参数配置说明,如表1所示。 图2 配置HTTPS证书 表1 证书配置 参数 说明 证书来源 HTTPS证书来源。 包含如下选项: 自有证书 SCM证书 自有证书配置 设置证书名称,使用文本工具打开获取的证书文件和私钥文件,并将对应的内容复制到对应的“证书内容”和“私钥内容”框中。不同机构颁布的证书,存在如下差异: 若证书是Root CA机构颁发的,则证书是一份完整的证书,复制该证书内容即可。 图3 HTTPS证书 若证书是中级CA机构颁发的,则证书文件会包含多份证书,您需要将所有证书拼接在一起组成一份完整的证书。具体拼接方法请参见中级CA机构颁发的证书。 SCM证书配置 VOD可以自动获取已经上传到CCM控制台的SSL证书,无需推送,配置更加方便快捷。 选择是否开启“强制跳转HTTPS”和“HTTP2.0”。 强制跳转HTTPS:开启此项配置后,当您访问点播服务中的媒资时,所有访问请求方式都将强制跳转为HTTPS访问。 HTTP2.0:开启此配置后,您访问点播服务中的媒资时的访问请求都将遵从HTTP/2协议。 验证HTTPS安全加速是否生效。 HTTPS开启后,音视频管理中播放地址为HTTPS方式的,您可以使用对应的地址播放音视频,若播放成功,则表示HTTPS安全加速生效。
-
背景信息 强制跳转HTTPS:配置HTTPS后,开启强制跳转HTTPS,若用户发起HTTP请求,服务端会返回302重定向响应,原来的HTTP请求将会被强制重定向为HTTPS请求。 HTTP 2.0:HTTP 2.0标准于2015年5月以RFC 7540正式发表。HTTP/2的标准化工作由Chrome、Opera、Firefox、Internet Explorer 11、Safari、Amazon Silk及Edge等浏览器提供支持。 相比HTTP协议,HTTPS具有如下优势: HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。 在HTTPS协议中,会对用户的关键信息进行加密,避免Session ID或Cookie内容被攻击者捕获,导致敏感信息泄露。
-
协议优势 目前,互联网使用的HTTP协议版本是HTTP1.1,HTTP/2在HTTP1.1的基础上对性能进行了很大的优化,并且兼容了HTTP1.1的语义。 HTTP/2和HTTP1.1比较主要有如下几大优势: 二进制分帧 HTTP/2采用二进制格式传输数据,而HTTP1.1采用文本格式传输数据。二进制格式传输在协议的解析和优化扩展上更具优势,提升了数据传输效率。 头部压缩 HTTP/2对消息头采用HPACK格式进行压缩传输,并在客户端和服务端通过“头部表”来跟踪和存储消息头,相同的消息头只需通过索引从“头部表”中获取并使用之前已经请求发送过的消息头。 HTTP/2通过头部压缩, 解决了HTTP1.1每次请求都会携带大量的头部冗余信息而浪费带宽资源的问题,节省了消息头占用的网络和流量。 多路复用 在HTTP/2中,多个请求或者响应可以通过一个TCP连接并发完成,而HTTP1.1中每个请求或者响应都需要按照先后顺序建立一个TCP链接。HTTP/2通过有效地并发请求,减少了服务器链接压力,缓解了网络阻塞状况。
-
证书配置概述 HTTPS是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。被广泛应用于万维网上安全敏感的通讯,例如交易支付等。 本章节的配置证书是指在VOD配置域名证书,证书配置成功后,客户端可以使用HTTPS协议请求VOD服务。如果想用HTTPS回源需配置https证书。 修改证书相关配置需要满足: 加速域名处于“已启用”或“配置中”状态,并且未被VOD锁定、禁用。 HTTPS证书未处于配置中状态。 功能 说明 SCM委托授权 如果您需要配置“SCM证书”,您需要配置“SCM委托授权”,如此,在VOD侧配置证书时就可以直接获取到证书内容。 配置HTTPS安全加速 在VOD添加证书,支持客户端以HTTPS协议访问节点,实现HTTPS安全加速。 HTTPS证书要求 介绍了不同的机构颁发证书的拼接、上传顺序。 父主题: HTTPS配置
-
RSA私钥格式要求 PEM格式的文件可以存放证书或私钥,如果*.PEM只包含私钥,一般用*.KEY代替。 通过记事本打开*.PEM或*.KEY的私钥文件,可以查看到类似图3所示的全部私钥信息。 RSA格式私钥: 以证书链“-----BEGIN RSA PRIVATE KEY-----”开头,以证书链“-----END RSA PRIVATE KEY-----”结尾。 证书链之间的内容,要求每行64个字符,最后一行允许不足64个字符。 证书内容不包含空格。
-
格式转换 配置HTTPS仅支持PEM格式的证书/私钥,其他格式均不支持。其他格式的证书/私钥需要转换成PEM格式,建议通过OpenSSL工具进行转换。下面是几种比较流行的证书格式转换为PEM格式的方法。 以下示例均假设转换前证书名为old_certificate,私钥名为old_key,转换后证书名为new_certificate,私钥文件名为new_key。 DER转换为PEM openssl x509 -inform der -in old_certificate.cer -out new_certificate.pem openssl rsa -inform DER -outform pem -in old_key.der -out new_key.pem P7B转换为PEM openssl pkcs7 -print_certs -in old_certificate.p7b -out new_certificate.cer PFX转换为PEM openssl pkcs12 -in old_certificat.pfx -nokeys -out new_certificate.pem openssl pkcs12 -in old_certificat.pfx -nocerts -out new_key.pem 若需要将PK CS 8格式私钥转换为PKCS1格式,则参考如下方法: openssl rsa -in old_certificat.pem -out pkcs1.pem
-
中级CA机构颁发的证书 中级机构颁发的证书文件包含多份证书,配置HTTPS时,需要将所有证书拼接在一起组成一份完整的证书后再上传。拼接后的证书类似图2。 通过记事本打开所有*.PEM格式的证书文件,将服务器证书放在首位,再放置中间证书。一般情况下,机构在颁发证书的时候会有对应说明,请注意查阅相关规则。通用的规则如下: 证书之间没有空行。 证书链的格式如下: -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----
-
Root CA机构颁发的证书 Root CA机构颁发的证书是一份完整的证书,配置HTTPS时,仅上传该证书即可。 通过记事本打开*.PEM格式的证书文件,可以查看到类似图1所示的全部证书信息。 PEM格式证书: 以证书链“-----BEGIN CERTIFICATE-----”开头,以证书链“-----END CERTIFICATE-----”结尾。 证书链之间的内容,要求每行64个字符,最后一行允许不足64个字符。 证书内容不包含空格。
