Dengan fitur Sertifikat Origin dari ESA, Anda dapat mengonfigurasi protokol dan port origin, verifikasi sertifikat origin, serta tarikan origin terautentikasi. Anda juga dapat menentukan protokol dan port yang digunakan oleh titik kehadiran (POP) ESA untuk pengambilan origin. Verifikasi sertifikat origin memastikan bahwa sertifikat yang dikembalikan dari server origin valid. Saat server origin mengaktifkan otentikasi mutual mTLS dan perlu memverifikasi identitas ESA, aktifkan tarikan origin terautentikasi untuk menerapkan otentikasi keamanan antara kedua belah pihak.
Atur protokol dan port asal
Jika dikonfigurasi, ESA POP akan meminta sumber daya menggunakan protokol dan port asal yang Anda tentukan.
Di konsol ESA, pilih Situs Web dan klik nama situs web yang ingin Anda kelola.
Di panel navigasi di sebelah kiri, pilih .
Di bagian Origin Protocol and Port, klik Configure dan atur Origin Protocol, HTTP Port, dan HTTPS Port.
Berikut adalah penjelasan opsi-opsinya:
Protokol Asal
Cocokkan Klien: Default. Saat klien mengirim permintaan HTTP atau HTTPS, ESA POP mengarahkan ulang permintaan ke server asal melalui protokol yang digunakan oleh klien.
HTTP: ESA POP hanya menggunakan HTTP untuk mengambil konten dari server asal.
HTTPS: ESA POP hanya menggunakan HTTPS untuk mengambil konten dari server asal. Pastikan bahwa server asal Anda memiliki sertifikat yang valid dan HTTPS telah diaktifkan.
Port HTTP
Port asal yang digunakan ESA POP untuk mengambil dari asal melalui protokol HTTP. Nilai port berkisar antara 1 hingga 65535.
Port HTTPS
Port asal yang digunakan ESA POP untuk mengambil dari asal melalui protokol HTTPS. Nilai port berkisar antara 1 hingga 65535.
Default: ESA POP mengarahkan ulang permintaan ke server asal melalui protokol yang digunakan oleh klien.
Klik OK.
Jika Anda tidak mengonfigurasi opsi ini, Match Client akan digunakan secara default.
Verifikasi sertifikat asal
Secara default, ESA tidak memvalidasi sertifikat origin saat pengambilan origin dilakukan melalui protokol HTTPS. Untuk mencegah pembajakan jahat terhadap lalu lintas pengambilan origin, aktifkan fitur verifikasi sertifikat origin jika Anda menginginkan keamanan yang lebih tinggi untuk situs web Anda. Setelah diaktifkan, ESA akan memeriksa detail sertifikat server origin seperti waktu kedaluwarsa, nama domain, dan verifikasi root. Jika verifikasi gagal, handshake kembali ke origin akan gagal, dan kode status 502 dikembalikan ke klien.
Verifikasi sertifikat root
Secara default, ESA menggunakan satu set sertifikat root untuk memverifikasi sertifikat origin. Sebelum Anda mengaktifkan Origin Certificate Verification, pastikan bahwa sertifikat origin Anda diterbitkan oleh sertifikat root berikut. Jika tidak, verifikasi akan gagal.
Aktifkan verifikasi sertifikat asal
Di konsol ESA, pilih Situs Web dan klik nama situs web yang ingin Anda kelola.
Di panel navigasi di sebelah kiri, pilih .
Di bagian Enforce Validation of Origin Certificate, aktifkan Enforce Validation of Origin Certificate.
Authenticated origin pulls
Mutual Transport Layer Security (mTLS) adalah ekstensi dari protokol TLS. mTLS mengharuskan klien dan server untuk saling memverifikasi identitas.
Ketika ESA mengambil data dari server asal, ia menerima dan memverifikasi sertifikat server tersebut. Dengan mTLS diaktifkan, ESA juga mengirimkan sertifikatnya ke server asal, dan server asal memverifikasi identitas ESA.
Aktifkan authenticated origin pulls (mTLS) untuk mencegah serangan man-in-the-middle dan mengurangi lalu lintas tidak sah ke server asal.
Authenticated Origin Pulls
Di konsol ESA, pilih Situs Web dan klik nama situs web yang ingin Anda kelola.
Di panel navigasi di sebelah kiri, pilih .
Di bagian Authenticated Origin Pulls, aktifkan opsi Authenticated Origin Pulls.
Konfigurasikan server asal Anda
Setelah fitur authenticated origin pulls diaktifkan, sertifikat ESA digunakan secara default. Unduh sertifikat root berikut dan terapkan di server asal Anda untuk memungkinkan asal memverifikasi identitas ESA.
-----BEGIN CERTIFICATE-----
MIIDyjCCArKgAwIBAgIUOR8lIvy8lGN/SNdnhiJbQ9TjGYAwDQYJKoZIhvcNAQEL
BQAwfTELMAkGA1UEBhMCQ04xETAPBgNVBAgTCFpoZWppYW5nMREwDwYDVQQHEwhI
YW5nWmhvdTEWMBQGA1UEChMNQWxpYmFiYSBDbG91ZDEwMC4GA1UECxMnQWxpYmFi
YSBDbG91ZCBTU0wgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTI1MDExMzA3NDcw
MFoXDTM1MDExMTA3NDcwMFowfTELMAkGA1UEBhMCQ04xETAPBgNVBAgTCFpoZWpp
YW5nMREwDwYDVQQHEwhIYW5nWmhvdTEWMBQGA1UEChMNQWxpYmFiYSBDbG91ZDEw
MC4GA1UECxMnQWxpYmFiYSBDbG91ZCBTU0wgQ2VydGlmaWNhdGUgQXV0aG9yaXR5
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAr7LF4vUGp7+RYK/UUKY1
+kw3pLOQZdklufKDknrZLZlqJYq4noQvB975uus918SS9wuted6yBHujbDADbyP3
kJQkkF26lUeenwqxMcNSub/3B0Q+gw8W8Zb+/oOzs3fdgZ6DcuxUqTBZa7+3Qx1U
UVb5YabhPT13RglSK9AX2nzeN88SQjISsj/hAM0ETsvBSSpRCgIcYEvGFgrMDwRI
b+ros1G6NjTyZaJc9LPog5c/W1gXTceQUhh+ObrwYonHc1o84VZISY3ABDpzd1RR
9/9f3OHSNQnwMko25/gucDIpcz0gnCNvEADoo9bE8IRgjPF88Q7jccw1bBQo85F0
MQIDAQABo0IwQDAOBgNVHQ8BAf8EBAMCAQYwDwYDVR0TAQH/BAUwAwEB/zAdBgNV
HQ4EFgQUyv4wx5Y5pDlzw9OiU4+3FDOh0u0wDQYJKoZIhvcNAQELBQADggEBAFBi
kSgacaHrPViVBsmR8grV++jjDNoRtGhgyg99LMmmpU+Ri5HVCirYq1VVYWHmmwKy
k9WEhMM0Yx7WTIfs7gQhRkyah94z2WxEh7AwS1d43Ot7sEB3ScsJqg1k4vJvwuU3
Qq/btaopT7d99+Zn/DCafzwj8njpZI8kmQJInxUW/N8uqAuqu2HHNVKj/HiP0pH2
NoT2NQCvZv2Z69yUSCOcgUxAgrdrShFL5GiPdJSH4PetWA7eLz9kzw+QzfJsqj/A
r9vuUw021WfUTs+trZbmgZkjDoLe3b/4/5Gpw0V7iJ2a6aMZnSqqjbvlhmw9T+FK
q3dBB7Ns4WvviyXi7KY=
-----END CERTIFICATE-----Suite enkripsi SSL yang didukung untuk pengambilan asal
TLS1.2
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
TLS1.3
AEAD-AES128-GCM-SHA256
AEAD-AES256-GCM-SHA384
AEAD-CHACHA20-POLY1305-SHA256
Ketersediaan
Sertifikat asal | Entrance | Pro | Premium | Enterprise |
Protokol dan port asal | Tidak didukung | Didukung | Didukung | Didukung |