Cloudflare Origin Pull

Bei der Verwendung von Cloudflare als Reverse Proxy ist es wichtig, dass der SSL-Listener in Plesk entsprechend konfiguriert wird, sodass ausschließlich Clients (Cloudflare) mit dem gültigen Cloudflare SSL-Zertifikat eine Verbindung herstellen können.


Voraussetzungen

  • Plesk-Server oder Shopware-Server


Cloudflare Origin-Pull Zertifikat herunterladen


Das Zertifikat hat aktuell eine Laufzeit von 10 Jahren und verliert seine Gültigkeit genau am 01.11.2029 um 17:00 Uhr UTC. Das aktuellste Zertifikat kann hier heruntergeladen werden. Unsere Empfehlung lautet, sich dieses Datum zu notieren und den folgenden Installationsbefehl zwei Wochen vor Ablauf in regelmäßigeren Abständen erneut auszuführen, bis ein neues Ablaufdatum erscheint, da Ihre Besucher nach dem 01.11.2029 17:00 Uhr UTC ansonsten eine Zertifikatsfehlermeldung erhalten.


Installation

Melden Sie sich mit dem Systembenutzer des zu schützenden Abonnements via SSH auf Ihrem Server an und führen Sie den folgenden Befehl aus:

wget -qO /var/www/vhosts/ihre.domain.tld/cf-origin-pull.crt https://developers.cloudflare.com/ssl/static/authenticated_origin_pull_ca.pem


Gültigkeit verifizieren

openssl x509 -in /var/www/vhosts/ihre.domain.tld/cf-origin-pull.crt -noout -text | grep "Not After"

Das ausgegebene Datum sollte je nach Überprüfungszeitraum in der Zukunft liegen. Sofern dies der Fall ist, besitzen Sie bereits das korrekte Zertifikat. Beachten Sie den o. g. Warnhinweis, sofern das Ablaufdatum bereits erreicht oder in Kürze erreicht wird.


NGINX konfigurieren

Navigieren Sie in die Hosting und DNS Einstellung des Abonnements und öffnen Sie die Apache und nginx Einstellungen.



Zusätzliche nginx-Anweisungen:


Sofern Sie den Proxymodus nicht aktiviert haben (siehe Screenshot unten) und der Apache-Web direkt verwendet wird, verwenden Sie bitte diesen Hilfecenter-Artikel, auch wenn Sie keinen LiteSpeed-Server haben.


Passen Sie ihre.domain.tld so an, dass diese dem Domainnamen in Plesk entspricht, unter dem Sie die zusätzlichen nginx-Anweisungen anpassen.

ssl_client_certificate /var/www/vhosts/ihre.domain.tld/cf-origin-pull.crt;
ssl_verify_client on;



Fügen Sie anschließend die folgenden Zeilen in die zusätzlichen nginx-Anweisungen ein, damit das Cloudflare Origin-Pull SSL-Zertifikat korrekt für die clientbasierte Authentifizierung eingerichtet wird, und speichern Sie die Konfiguration abschließend mit einem Klick auf die blau hinterlegte Schaltfläche OK.


Verifizierung

Cloudflare Reverse Proxy aktiv

Falls Sie den Cloudflare Reverse Proxy Dienst bereits aktiviert haben, müssen Sie das DNS umgehen, indem Sie etwa Ihren lokalen DNS-Resolver anpassen.

Cloudflare Reverse Proxy nicht aktiv

Sofern der Cloudflare Reverse Proxy bisher nicht aktiv ist, bedarf es keiner Anpassung.


Erwartete Fehlermeldung

Nach dem Aufruf Ihrer Domain über einen Browser sollte folgende Meldung angezeigt werden.



Das Erscheinungsbild der Fehlermeldung kann je nach Browser abweichen. Aus der Meldung sollte hervorgehen, dass Ihr Client (Browser) kein gültiges Zertifikat übermittelt hat. Sollte diese Fehlermeldung nicht erscheinen, prüfen Sie die zuvor durchgeführten Schritte und versuchen Sie es ggf. erneut.


Häufige Fehlermeldungen

ssl_client_certificate does not exist



Der Fehler tritt auf, wenn die Zertifikatsdatei unter dem angegebenen Pfad nicht existiert oder die Datei leer ist.

Wir empfehlen immer die Angabe eines absoluten Pfades, welcher immer mit einem / beginnt. In dem Beispielbild wurde ein relativer Pfad verwendet, weswegen der Webserver die Datei im Verzeichnis /etc/nginx vermutet. Folgen Sie der Anleitung erneut, um diesen Fehler zu vermeiden.

Ähnliche Artikel
Auf dieser Seite
Notfall?
In dringenden Fällen steht Ihnen unsere Notfall-Hotline rund um die Uhr unter der Rufnummer +49 2507 900 80 - 34 zur Verfügung.