Topik ini menjelaskan tipe sertifikat yang didukung oleh Edge Security Acceleration (ESA) dan cara mengonfigurasinya.
Sertifikat Edge
Anda dapat mengonfigurasi sertifikat edge pada ESA dan mengaktifkan fitur SSL/TLS untuk mengenkripsi komunikasi antara klien dan titik kehadiran (POPs), memastikan keamanan dan integritas transmisi data. Secara default, fitur SSL/TLS diaktifkan. Anda dapat mengonfigurasi sertifikat edge untuk situs web Anda dengan meminta sertifikat gratis atau mengunggah sertifikat kustom.
Untuk lebih meningkatkan kecepatan akses dan performa keamanan, ESA menyediakan fitur-fitur berikut:
Pengalihan paksa ke HTTPS: Setelah menerima Permintaan HTTP dari klien, ESA mengarahkan ulang permintaan ke HTTPS menggunakan pengalihan 301.
Suite sandi dan versi TLS: Saat klien memulai Permintaan HTTPS ke POP ESA, POP merespons permintaan tersebut dan memicu jabat tangan Transport Layer Security (TLS). Klien dan POP kemudian bernegosiasi untuk menemukan suite sandi dan versi yang kompatibel, memastikan transmisi data dua arah yang aman.
OCSP stapling: ESA menyimpan hasil verifikasi sertifikat dan mengirimkan hasilnya ke klien tanpa memeriksa status sertifikat dari otoritas sertifikat (CAs). Hal ini mengurangi waktu verifikasi sertifikat dan mempercepat akses.
Enkripsi oportunis: Ketika browser mengunjungi situs web yang memiliki fitur ini diaktifkan, ESA POP secara otomatis menambahkan header respons
Alt-Svcuntuk memberi tahu browser bahwa situs web tersedia melalui koneksi aman, seperti HTTP/2 melalui TLS, biasanya pada port 443.HSTS: mekanisme kebijakan keamanan web yang memungkinkan situs web menyatakan diri mereka hanya dapat diakses melalui koneksi aman (HTTPS).
Prosedur
Di konsol ESA, pilih Situs Web dan klik nama situs web yang ingin Anda kelola.
Di panel navigasi sisi kiri, pilih .
Di halaman Edge Certificates, konfigurasikan sertifikat edge dan pengaturan lainnya seperti Selalu Gunakan HTTPS dan Suite Sandi dan Versi TLS.
Sertifikat Klien
Sertifikat klien digunakan untuk memverifikasi identitas klien selama komunikasi jaringan. Saat klien mencoba terhubung ke server yang memerlukan autentikasi, ia dapat membuktikan identitasnya dengan menampilkan sertifikat klien. Anda dapat langsung menggunakan CA yang dikelola oleh ESA untuk membuat sertifikat klien, atau mengonfigurasi sertifikat klien kustom Anda sendiri dengan memanggil API.
Anda juga dapat mengikat sertifikat klien ke nama domain tertentu dan mengaktifkan mTLS. Setelah mTLS diaktifkan, hanya validitas sertifikat klien yang diverifikasi. Untuk mengembalikan halaman blokir untuk permintaan yang gagal dalam autentikasi, buat aturan mTLS.
Prosedur
Di konsol ESA, pilih Situs Web dan klik nama situs web yang ingin Anda kelola.
Di panel navigasi sisi kiri, pilih .
Di halaman Client Certificates, konfigurasikan informasi sertifikat dan domain.
Sertifikat Asal
Anda dapat mengonfigurasi fitur-fitur berikut:
Protokol dan Port Asal: mengonfigurasi protokol yang digunakan ESA untuk menarik konten dari asal Anda dan port asal yang sesuai.
Penegakan Validasi Sertifikat Asal: menegakkan validasi sertifikat asal untuk memastikan validitasnya.
Tarikan Asal Terverifikasi: memverifikasi identitas ESA saat mTLS diaktifkan untuk asal Anda untuk memastikan bahwa permintaan ke asal Anda berasal dari ESA.
Prosedur
Di konsol ESA, pilih Situs Web dan klik nama situs web yang ingin Anda kelola.
Di panel navigasi sisi kiri, pilih .
Di halaman Origin Certificates, konfigurasikan Origin Protocol and Port, Enforce Validation of Origin Certificate, dan Authenticated Origin Pulls sesuai kebutuhan.