Apple FairPlay 授權需求和設定
警告
Azure 媒體服務將於 2024 年 6 月 30 日淘汰。 如需詳細資訊,請參閱 AMS淘汰指南。
Azure 媒體服務可讓您使用 Apple FairPlay Streaming (AES-128 CBC) 加密 HLS 內容。 媒體服務也提供傳遞 FairPlay 授權的服務。 FairPlay 串流是 Apple 技術,僅適用於透過 iOS 裝置、Apple TV 和 macOS 上的 Safari HTTP 即時串流 (HLS) 傳輸的視訊。 當 Apple 用戶端嘗試透過 HLS 格式播放 FairPlay 保護的內容時,會將要求傳送至授權傳遞服務以取得授權。 如果授權服務核准要求,就會發出授權以傳送給用戶端,並將它用來解密和播放所指定內容。
媒體服務也會提供您可以用來設定 FairPlay 授權的 API。 本主題討論 FairPlay 授權需求,並示範如何使用媒體服務 API 設定 FairPlay 授權。
必要條件
當使用媒體服務搭配 Apple FairPlay 來加密您的 HLS 內容,以及使用媒體服務來傳遞 FairPlay 授權時,需要下列項目:
Apple 要求內容擁有者必須取得 部署套件。 說明您已使用媒體服務實作金鑰安全性模組 (KSM),現在想要求最終的 FPS 套件。 最終 FPS 套件包含相關指示,用以產生憑證和取得應用程式密碼金鑰 (ASK)。 您可使用 ASK 來設定 FairPlay。
必須在媒體服務金鑰/授權傳遞端設定下列各項︰
應用程式憑證 (AC)︰這是包含私密金鑰的 .pfx 檔案。 您可建立這個檔案並以密碼加密。 .pfx 檔案應採用 Base64 格式。
下列步驟說明如何產生 FairPlay 的 .pfx 憑證檔案:
從 https://slproweb.com/products/Win32OpenSSL.html 安裝 OpenSSL。
移至 FairPlay 憑證和其他 Apple 提供檔案所在的資料夾。
從命令列執行下列命令。 這會將 .cer 檔案轉換成 .pem 檔案。
"C:\OpenSSL-Win32\bin\openssl.exe" x509 -inform der -in FairPlay.cer -out FairPlay-out.pem
從命令列執行下列命令。 這會將 .pem 檔案轉換為包含私密金鑰的 .pfx 檔案。 OpenSSL 程式會接著要求 .Pfx 檔案的密碼。
"C:\OpenSSL-Win32\bin\openssl.exe" pkcs12 -export -out FairPlay-out.pfx -inkey privatekey.pem -in FairPlay-out.pem -passin file:privatekey-pem-pass.txt
應用程式憑證密碼 - 用來建立 .pfx 檔案的密碼。
ASK:當您使用 Apple 開發人員入口網站產生憑證時,會收到此金鑰。 每個開發小組都會收到一個唯一的 ASK。 儲存一份 ASK,並將它存放在安全的地方。 您必須使用媒體服務將 ASK 設定為 FairPlayAsk。
FPS 用戶端必須設定下列各項︰
- 應用程式憑證 (AC):這是 .cer/.der 檔案,其中包含作業系統用來加密某些承載的公開金鑰。 媒體服務必須了解它,因為播放程式需要它。 金鑰傳遞服務會使用對應的私密金鑰來解密。
若要播放 FairPlay 加密的資料流,請先取得真正的 ASK,然後產生真正的憑證。 該處理程序會建立所有 3 個部分︰
- .der 檔案
- .pfx 檔案
- .pfx 的密碼
注意
Azure 媒體服務不會在封裝或金鑰傳遞期間檢查憑證到期日。 憑證到期之後,其將會繼續運作。
FairPlay 和播放應用程式
當您透過 Apple FairPlay 加密內容時,個別的視訊和音訊範例會使用 AES-128 CBC 模式加密。 FairPlay 串流 (FPS) 已整合至裝置工作系統,在 iOS 和 Apple 電視上具有原生支援。 OS X 上的 Safari 使用加密媒體擴充功能 (EME) 介面支援來啟用 FPS。
Azure 媒體播放器也支援 FairPlay 播放。 如需詳細資訊,請參閱 Azure 媒體播放器文件 \(英文\)。
您可以使用 iOS SDK 開發自己的播放應用程式。 為了能夠播放 FairPlay 內容,您必須實作授權交換通訊協定。 此通訊協定不是由 Apple 指定。 而是由每個應用程式如何傳送金鑰傳遞要求而決定。 媒體服務 FairPlay 金鑰傳遞服務會對即將到來的 SPC 視為如下列格式的 www-form-url 已編碼張貼訊息:
spc=<Base64 encoded SPC>
在 Azure 金鑰保存庫 中儲存 FairPlay 私鑰 (.pfx)
您從 Apple 收到的私鑰 (.pfx) 應該視為安全憑證,而且可以儲存在 Azure 金鑰保存庫 中。
- 系統管理員應該先將 .pfx 憑證檔案轉換成Base 64 文字檔
- 轉換之後,此檔案可以儲存在 Azure DevOps Services 為安全的文本檔。
- 字串接著可以手動儲存在 Azure KeyVault 中作為「秘密物件」,或作為解決方案部署/建置腳本的一部分。 您可以在 Gridwich 專案範例程式代碼中看到將 FairPlay 私人憑證儲存在 Azure KeyVault 中的範例
- 或者,將 .pfx 檔案的密碼儲存為密鑰保存庫中的秘密。
範例 CLI 腳本
若要將base64編碼的私鑰檔案複製到 Azure KeyVault:
set -eu
echo key vault : $SHARED_KV_NAME
echo "Copying FairPlay certificate to key vault as secret"
az keyvault secret set --vault-name $SHARED_KV_NAME -n ams-fairPlay-certificate-b64 -f $(FairPlayCertificate.secureFilePath) --output none
取得說明及支援
您可以連絡媒體服務並提出問題,或遵循下列其中一種方法來追蹤我們的更新:
- 問與答
-
Stack Overflow。 使用
azure-media-services
標記問題。 - @MSFTAzureMedia 或使用 @AzureSupport 來要求支援。
- 透過 Azure 入口網站 開啟支援票證。