LiteSpeed (Plesk) - Cloudflare Origin Pull
Bei der Verwendung von Cloudflare als Reverse Proxy ist es wichtig, dass der SSL-Listener in Plesk entsprechend konfiguriert wird, sodass ausschließlich Clients (Cloudflare) mit dem gültigen Cloudflare SSL-Zertifikat eine Verbindung herstellen können.
Voraussetzungen
- LiteSpeed-Webserver
Cloudflare Origin-Pull Zertifikat herunterladen
Das Zertifikat hat aktuell eine Laufzeit von 10 Jahren und verliert seine Gültigkeit genau am 01.11.2029 17:00 Uhr UTC. Das aktuellste Zertifikat kann hier heruntergeladen werden. Unsere Empfehlung lautet, sich dieses Datum zu notieren und den folgenden Installationsbefehl zwei Wochen vor Ablauf in regelmäßigeren Abständen erneut ausführen, bis ein neues Ablaufdatum erscheint, da Ihre Besucher nach dem 01.11.2029 17:00 Uhr UTC ansonsten eine Zertifikatsfehlermeldung erhalten.
Installation
Melden Sie sich mit dem Systembenutzer des zu schützenden Abonnements via SSH auf Ihrem Server an und führen Sie den folgenden Befehl aus:
wget -qO /var/www/vhosts/ihre.domain.tld/cf-origin-pull.crt https://developers.cloudflare.com/ssl/static/authenticated_origin_pull_ca.pem Gültigkeit verifizieren
openssl x509 -in /var/www/vhosts/ihre.domain.tld/cf-origin-pull.crt -noout -text | grep "Not After"Das ausgegebene Datum sollte je nach Überprüfungszeitraum in der Zukunft liegen. Sofern dies der Fall ist, besitzen Sie bereits das korrekte Zertifikat. Beachten Sie den o. g. Warnhinweis, sofern das Ablaufdatum bereits erreicht oder in Kürze erreicht wird.
SSL-Listener konfigurieren
Navigieren Sie in die Hosting und DNS Einstellung des Abonnements und öffnen Sie die Apache und nginx Einstellungen.
Fügen Sie anschließend die folgenden Zeilen in die zusätzlichen Anweisungen für HTTPS ein, damit das Cloudflare Origin-Pull SSL-Zertifikat korrekt für die Client-basierte Authentifizierung eingerichtet wird und speichern Sie die Konfiguration abschließend mit einem Klick auf die blau hinterlegte Schaltfläche OK.
Zusätzlichen Anweisungen für HTTPS:
Passen Sie ihre.domain.tld so an, dass diese dem Domainnamen in Plesk entspricht, unter dem Sie die zusätzlichen Anweisungen für HTTPS anpassen.
SSLVerifyClient require
SSLVerifyDepth 1
SSLCACertificateFile "/var/www/vhosts/ihre.domain.tld/cf-origin-pull.crt"Verifizierung
Cloudflare Reverse Proxy aktiv
Falls Sie den Cloudflare Reverse Proxy Dienst bereits aktiviert haben, müssen Sie das DNS umgehen, indem Sie beispielsweise Ihre lokalen DNS-Einstellungen anpassen.
Cloudflare Reverse Proxy nicht aktiv
Sofern der Cloudflare Reverse Proxy noch nicht aktiv ist, bedarf es keiner Anpassung.
Erwartete Fehlermeldung
Nach dem Aufruf Ihrer Domain über einen Browser sollte folgende Meldung angezeigt werden.
Das Erscheinungsbild der Fehlermeldung kann je nach Browser abweichen. Aus der Meldung sollte hervorgehen, dass Ihr Client (Browser) kein gültiges Zertifikat übermittelt hat. Sollte diese Fehlermeldung nicht erscheinen, prüfen Sie die zuvor durchgeführten Schritte und versuchen Sie es ggf. erneut.
Häufige Fehlermeldungen
SSLCACertificateFile does not exist
Der Fehler tritt auf, wenn die Zertifikatsdatei unter dem angegebenen Pfad nicht existiert oder die Datei leer ist.
Wir empfehlen immer die Angabe eines absoluten Pfades, welche immer mit einem / beginnen. In dem Beispiel-Bild wurde ein relativer Pfad verwendet, weswegen der Webserver die Datei im Verzeichnis /etc/apache2 vermutet. Folgen Sie der Anleitung erneut, um diesen Fehler zu vermeiden.