Authenticated Origin Pulls

Ein Ursprungs-Pull tritt auf, wenn Cloudflare keinen Inhalt aus unserem Netzwerk-Cache liefern kann. Cloudflare ermöglicht Origin Pulls, die durch einen Zertifikatvalidierungsprozess authentifiziert werden.


Überblick

Cloudflare befindet sich im Netzwerk zwischen Endbenutzer-Webbrowsern und Website-Ursprungsservern.  Der Datenverkehr wird vom Webbrowser zu Cloudflare geleitet.  Cloudflare erfüllt die Anforderung aus dem Cache, wann immer dies erforderlich ist. Andernfalls geht er in einer zweiten Verbindung zum Ursprungswebserver zurück.  Diese Art von Anfrage wird als Origin-Pull bezeichnet.


Browser zu Cloudflare

Die Verbindung zwischen Endbenutzer-Webbrowsern und Cloudflare profitiert von einer starken Sicherheitstechnologie – starken Verschlüsselungen, SSL mit automatisch bereitgestellten Zertifikaten und der öffentlichen CA-Infrastruktur, die Zertifikate Domainnamen zuordnet.  Browser prüfen das Serverzertifikat, um sicherzustellen, dass sie mit dem richtigen Webserver kommunizieren.


Cloudflare zu Ursprungsserver

Dank authentifizierter Origin-Pulls können Origin-Webserver nachdrücklich überprüfen, ob eine Webanfrage von Cloudflare stammt.  Wir verwenden die TLS-Client-Zertifikatauthentifizierung, eine Funktion, die von den meisten Webservern unterstützt wird, und legen beim Herstellen einer Verbindung zwischen Cloudflare und dem Ursprungsserver ein Cloudflare-Zertifikat vor.  Durch Überprüfen dieses Zertifikats in der Ursprungsserverkonfiguration kann der Zugriff auf Cloudflare-Verbindungen beschränkt werden.

Authentifizierte Origin-Pulls sind besonders wichtig, wenn Sie die Sicherheitsfunktionen der Cloudflare Web Application Firewall (WAF) nutzen.  Durch die Verwendung von Authenticated Origin Pulls mit einer auf Cloudflare beschränkten Konfiguration können Websites sicherstellen, dass der gesamte Datenverkehr von einer Web Application Firewall, die auf dem neusten Stand der Technik beruht, verarbeitet wurde.

 
Sobald Authenticated Origin Pulls von Ihrem Ursprungsserver erzwungen werden, schlagen alle HTTPS-Anfragen außerhalb von Cloudflare an Ihren Ursprungsserver fehl, einschließlich der an Einträgen mit grauem Wolkensymbol in Cloudflare.

TLS-Handshake

Ohne Authenticated Origin Pulls sieht die TLS-Sitzung zwischen Cloudflare und dem Ursprungsserver wie folgt aus:

Normaler TLS-Handshake

Mit Authenticated Origin Pulls sehen die Verbindungen folgendermaßen aus:

Client-authentifizierter TLS-Handshake


Installation unter Apache und NGINX

 
Derzeit ist die Funktion Authenticated Origin Pulls nicht mit Railgun kompatibel.

Klicken Sie unten, um Anweisungen zum Konfigurieren von TLS Authenticated Origin Pulls für NGINX- oder Apache Ursprungswebserver zu erweitern:


Origin Pull-Zertifikat

Cloudflare verwendet die folgende Zertifizierungsstelle, um Zertifikate für den Authenticated Origin Pull-Dienst zu signieren:

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk