Konfigurace a licenční požadavky pro Apple FairPlay

---

Upozornění

Služba Azure Media Services bude vyřazena 30. června 2024. Další informace najdete v průvodci vyřazením AMS.

Azure Media Services umožňuje šifrovat obsah HLS pomocí Apple FairPlay Streaming (AES-128 CBC). Media Services také poskytuje službu pro doručování licencí FairPlay. FairPlay Streaming je technologie Společnosti Apple, která je dostupná jenom pro video přenášené přes HTTP Live Streaming (HLS) na zařízeních s iOSem, v Apple TV a v Safari v systému macOS. Když se klient Apple pokusí přehrát obsah chráněný FairPlay ve formátu HLS, odešle se do služby doručování licencí žádost o získání licence. Pokud licenční služba žádost schválí, vydá licenci, která se odešle klientovi a použije se k dešifrování a přehrání zadaného obsahu.

Služba Media Services také poskytuje rozhraní API, která můžete použít ke konfiguraci licencí FairPlay. Toto téma popisuje licenční požadavky FairPlay a ukazuje, jak můžete nakonfigurovat licenci FairPlay pomocí rozhraní API služby Media Services.

Požadavky

Při použití služby Media Services k šifrování obsahu HLS pomocí Apple FairPlay a použití Media Services k doručování licencí FairPlay jsou vyžadovány následující:

• Zaregistrujte se v Apple Development Program.

• Apple vyžaduje, aby vlastník obsahu získal balíček pro nasazení. Uveďte, že jste již implementovali modul zabezpečení klíčů (KSM) se službou Media Services a že požadujete konečný balíček FPS. V konečném balíčku FPS jsou pokyny pro vygenerování certifikace a získání tajného klíče aplikace (ASK). Pomocí příkazu ASK nakonfigurujete FairPlay.

• Na straně doručování klíčů nebo licencí služby Media Services je potřeba nastavit následující věci:

  • App Cert (AC): Toto je soubor .pfx, který obsahuje privátní klíč. Tento soubor vytvoříte a zašifrujete ho heslem. Soubor .pfx by měl být ve formátu Base64.

    Následující kroky popisují, jak vygenerovat soubor certifikátu .pfx pro FairPlay:

    1. Nainstalujte OpenSSL z https://slproweb.com/products/Win32OpenSSL.html.

       Přejděte do složky, ve které je certifikát FairPlay a další soubory doručované společností Apple.

    2. V příkazovém řádku spusťte následující příkaz. Tím se soubor .cer převede na soubor .pem.

       "C:\OpenSSL-Win32\bin\openssl.exe" x509 -inform der -in FairPlay.cer -out FairPlay-out.pem

    3. V příkazovém řádku spusťte následující příkaz. Tím se soubor .pem převede na soubor .pfx s privátním klíčem. OpenSSL pak požádá o heslo k souboru .pfx.

       "C:\OpenSSL-Win32\bin\openssl.exe" pkcs12 -export -out FairPlay-out.pfx -inkey privatekey.pem -in FairPlay-out.pem -passin file:privatekey-pem-pass.txt

  • Heslo certifikátu aplikace: Heslo pro vytvoření souboru .pfx.

  • ZEPTEJTE SE: Tento klíč se obdrží při vygenerování certifikace pomocí portálu Pro vývojáře Apple. Každý vývojový tým obdrží jedinečný DOTAZ. Uložte kopii příkazu ASK a uložte ji na bezpečném místě. S Media Services musíte nakonfigurovat ASK jako FairPlayAsk.

• Na straně klienta FPS musí být nastaveny následující věci:

  • App Cert (AC): Jedná se o soubor .cer/.der, který obsahuje veřejný klíč, který operační systém používá k šifrování určité datové části. Služba Media Services o tom musí vědět, protože je vyžadována přehrávačem. Služba doručování klíčů ho dešifruje pomocí odpovídajícího soukromého klíče.

• Pokud chcete přehrát šifrovaný stream FairPlay, nejprve získejte skutečný ASK a pak vygenerujte skutečný certifikát. Tento proces vytvoří všechny tři části:

  • Soubor .der
  • Soubor .pfx
  • heslo pro .pfx

Poznámka

Azure Media Services nekontroluje datum vypršení platnosti certifikátu během balení nebo doručení klíče. Po vypršení platnosti certifikátu bude dál fungovat.

Aplikace FairPlay a přehrávače

Když je váš obsah šifrovaný pomocí Apple FairPlay, jednotlivé ukázky videa a zvuku se šifrují pomocí režimu AES-128 CBC . FairPlay Streaming (FPS) je integrovaný do operačních systémů zařízení s nativní podporou na iOS a Apple TV. Safari v OS X umožňuje FPS pomocí podpory rozhraní EME (Encrypted Media Extensions).

Azure Media Player podporuje také přehrávání FairPlay. Další informace najdete v dokumentaci k Azure Media Playeru.

Pomocí sady iOS SDK můžete vyvíjet vlastní aplikace přehrávače. Abyste mohli přehrávat obsah FairPlay, musíte implementovat protokol výměny licencí. Tento protokol není společností Apple určen. Je na jednotlivých aplikacích, jak odesílat žádosti o doručení klíčů. Služba doručování klíčů FairPlay služby Media Services očekává, že SPC přijde jako zpráva s kódováním www-form-url v následujícím formátu:

spc=<Base64 encoded SPC>

Uložení soukromého klíče FairPlay (.pfx) v Azure Key Vault

Privátní klíč (.pfx), který obdržíte od Společnosti Apple, by se měl považovat za zabezpečený certifikát a je možné ho uložit v azure Key Vault.

• Soubor certifikátu .pfx by měl správce nejprve převést na základní textový soubor 64.
• Po převodu lze tento soubor uložit do Azure DevOps Services jako zabezpečený textový soubor.
• Řetězec pak můžete ručně uložit ve službě Azure KeyVault jako tajný objekt nebo jako součást skriptu nasazení/sestavení pro vaše řešení. Příklad uložení privátního certifikátu FairPlay ve službě Azure KeyVault najdete v ukázkovém kódu projektu Gridwich.
• Volitelně můžete heslo k souboru .pfx uložit jako tajný kód v trezoru klíčů.

Ukázkový skript rozhraní příkazového řádku

Zkopírování souboru privátního klíče s kódováním base64 do služby Azure KeyVault:

set -eu
echo key vault : $SHARED_KV_NAME
echo "Copying FairPlay certificate to key vault as secret"
az keyvault secret set --vault-name $SHARED_KV_NAME -n ams-fairPlay-certificate-b64 -f $(FairPlayCertificate.secureFilePath) --output none

Získání nápovědy a podpory

Media Services můžete kontaktovat s dotazy nebo sledovat naše aktualizace jedním z následujících způsobů:

• Q & A
• Stack Overflow Označit otázky pomocí azure-media-services.
• @MSFTAzureMedia nebo použijte @AzureSupport a požádejte o podporu.
• Otevřete lístek podpory prostřednictvím Azure Portal.