Use Case :Authenticated Origin Pulls (AOP) (mTLS) cho Zone

Authenticated Origin Pulls (AOP) giúp Origin server của bạn biết được request đến từ Cloudflare network thay vì có người nào cố tính request trực tiếp thẳng đến server bạn không qua proxy Cloudflare.

Cung cấp lớp bảo mật bổ sung trong mode Full hoặc Full (strict) SSL.

không dành cho mode off hoặc flexible

Bạn có thể lựa chọn cấu hình cho một Hostname hoặc All domain (zone-level)

Cấu hình cho Zone-level:

Yêu cầu : mode Full hoặc Full(strict)

1. Upload certificate to origin:

Bạn có thể sử dụng Cloudflare Cer ( được cấp CA cụ thể ), download file .pem tại đây và Upload trên Origin của bạn. File này không giống Cloudflare origin CA certificate nên đừng mò ở đây mà tải xuống file .pem. File .pem này file chung Cloudflare nên không có tính Exclusive (riêng biệt, độc quyền) cho origin bạn.

Để đảm bảo tính Exclusive thì upload custom certificate thông qua API. xem hướng dẫn tại đây ( đổi đuôi enpoint thành origin_tls_client_auth ( xem tại đây )

2. Configure origin to accept client certificates

Apache

SSLVerifyDepth 1

SSLCACertificateFile /path/to/origin-pull-ca.pem

Nginx

ssl_verify_client optional;

ssl_client_certificate /etc/nginx/certs/cloudflare.crt;

3. Configure Cloudflare to use client certificate

Go to SSL/TLS > Origin Server.
For Authenticated Origin Pulls, bật On.

4. Enable Authenticated Origin Pulls for all hostnames in a zone

sử dụng API cloudflare để PUT request để enable Authenticated Origin Pull. xem hướng dẫn cách dùng API

5.Enforce validation check on your origin

Apache

SSLVerifyClient require

Nginx

ssl_verify_client on;

Nếu đã enforce validation xong thì check curl https://IPOrigin nếu nó trả về lỗi ssl thì đúng.

Vậy là thành công , chặn các request trực tiếp bằng IP.

6. (Optional) cấu hình Alerts hết hạn Cer cho zone-level Authenticated Origin Pulls.

Sử dụng Zone-level Authenticated Origin Pulls Certificate Expiration Alert

PreviousPhần 2 : Hướng dẫn cấu hình SSL/TLS trên Cloudflare NextSo sánh giữa AOP giữa Zone và Per-hosname

Last updated 1 year ago

hashtagCấu hình cho Zone-level:

hashtag1. Upload certificate to origin:

hashtag2. Configure origin to accept client certificates

hashtag3. Configure Cloudflare to use client certificate

hashtag4. Enable Authenticated Origin Pulls for all hostnames in a zone

hashtag5.Enforce validation check on your origin

hashtag6. (Optional) cấu hình Alerts hết hạn Cer cho zone-level Authenticated Origin Pulls.

Cấu hình cho Zone-level:

1. Upload certificate to origin:

2. Configure origin to accept client certificates

3. Configure Cloudflare to use client certificate

4. Enable Authenticated Origin Pulls for all hostnames in a zone

5.Enforce validation check on your origin

6. (Optional) cấu hình Alerts hết hạn Cer cho zone-level Authenticated Origin Pulls.