オリジン プルは、Cloudflareがネットワークキャッシュからコンテンツを提供できない時にいつでも発生します。Cloudflareは証明書検証プロセスを通して、認証されたオリジン プルを有効化します。
概要
CloudflareはエンドユーザーWebブラウザとWebサイトオリジンサーバーの間のネットワークに存在します。トラフィックは、ブラウザからCloudflareに送信されます。Cloudflareは、可能な限りキャッシュからのリクエストを実行します。それができなければ、二番目の接続でオリジンWebサーバーに戻ります。このタイプのリクエストが、オリジンプルと呼ばれています。
ブラウザからCloudflareへ
強力なセキュリテイ技術(強力な暗号、自動設定される証明書、証明書をドメイン名にマッピングする公的CAインフラストラクチャなど)が、エンドユーザーWebブラウザとCloudflare間のリンクに利益をもたらしています。ブラウザは、正しいWebサーバーと通信していることを確認するために、サーバー証明書を検証します。
Cloudflareからオリジンサーバーへ
認証済みのオリジン プルによって、オリジンWebサーバー はCloudflareから受信するWebリクエストであることを確実に検証します。Cloudflareとオリジンサーバー間の接続が確立する時に、当社はTLSクライアント証明書の認証、多数のWebサーバーがサポートする機能を用いて、Cloudflare証明書を提示します。オリジンサーバー設定でこの証明書を検証すると、Cloudflare接続にアクセスの制限ができます。
Cloudflare Webアプリケーションファイアウォール(WAF)のセキュリティ 機能を活用する時、認証済みオリジン プルは特に重要なものになります。Cloudflare限定の設定で、認証済みオリジン プルを利用すると、Webサイトは全てのトラフィックが確実に最新のWebアプリケーションファイアウォールで処理されます。
TLS ハンドシェイク
認証済みオリジン プルがない場合、Cloudflareとオリジン間のTLSセッションは次のようになります:
認証済みオリジン プルがある場合、接続は次のようになります。
ApacheとNGINXにインストール
次をクリックして、NGINX配信またはApach配信のオリジンWebサーバーにTLS承認済みオリジン プルを設定する方法を展開してください:
そして、オリジンWebサーバー のSSL設定にこの行を追加します:
SSLVerifyClient は
SSLVerifyDepth 1
が必要です。
SSLCACertificateFile /path/to/origin-pull-ca.pem
そして、オリジンWebサーバー のSSL設定にこの行を追加します:
ssl_client_certificate /etc/nginx/certs/cloudflare.crt; ssl_verify_client on;
オリジンプル証明書
Cloudflareは、認証済みオリジン プルサービスの証明書に署名するため、次の認証局を利用します。