正如我们本周所讨论的，确保CloudFlare和源服务器之间的连接与保护最终用户和CloudFlare之间的连接一样重要。我们本周宣布的源站证书颁发机构将帮助CloudFlare验证它正在与正确的源服务器通信。但反过来验证呢？源服务器如何验证与其交谈的客户端实际上是CloudFlare？TLS客户端身份验证TLS（SSL的现代版本）允许客户机验证与之通信的服务器的身份。通常，TLS握手是单向的，也就是说，客户端能够验证服务器的身份，但是服务器不能验证客户端的身份。如果双方都需要核实对方的身份呢？输入TLS客户端身份验证。在经过身份验证的客户端TLS握手中，双方都提供一个要验证的证书。如果源服务器配置为仅接受使用来自CloudFlare的有效客户端证书的请求，则未通过CloudFlare的请求将被丢弃（因为它们将没有我们的证书）。这意味着攻击者无法绕过CloudFlare的功能，如我们的WAF，即使是通过TCP源IP欺骗这样的攻击，通常可以使源服务器相信恶意请求已通过CloudFlare的网络传递。为了在CloudFlare中实现TLS客户端身份验证，我们的一位工程师Piotr Sikora添加了对nginx的支持。这段代码是开源的，已经被合并到nginx1.7的官方分支中，任何使用nginx代理模块的人都可以使用它。启用已验证的源站拉入即使没有验证客户端的证书，也不会出现任何问题。但是，如果网站将客户端证书用于其他目的，CloudFlare源请求证书可能会发生冲突并导致问题。因此，对于CloudFlare客户来说，经过身份验证的源请求是一种选择加入设置。此服务适用于CloudFlare计划的所有级别：免费、专业、商业和企业。为了为受CloudFlare保护的网站启用经过身份验证的源站拉取，您需要使用我们的新仪表板（目前处于测试版）。要访问此测试版仪表板，请首先登录到您的CloudFlare帐户。在页面的右下角有一个标记为"尝试我们的新仪表板"的按钮。单击并再次登录。现在，您进入了我们的新仪表板，可以通过全新的用户界面访问所有现有的域和设置。在不久的将来会有更多关于这个新仪表板的信息，但请随时查看。您可以继续在新旧仪表板之间自由切换。证书CloudFlare提供由CA签署的具有以下证书的证书：-----开始证书-----米奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇瓦奇ewjvuzezmbcga1uechmqq2xvdwrgbgfyzswgsw5jljeumbiga1ecxmlt3jpz2luIFB1BGWXFJAUBGNVBACTDVNHBBGCMFUY2LZY28XE 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 ATHDW0MEOV0DSEAPTO95N9CXBBM9PKVqaemtextp2trq/RjJ/AomJyfA1BQjsD0j++DI3a9/BbDwWmr1lJciKxiNKaa0BRLBdKMrYQD+PkPNCgEuojT+PALKRMYFZHSG1DOYM46NE9/WARTh3sFUp1B7HZSBqAkHleoB/vQ/mDuW9C3/8Jk2uRUdZxR+LoNZItuOjU8oTy6zpN1+GGSJ7BJY9RFAF+ehdrz+IOH80WIIQS763PGAYUYUZXLVOWLWNOXVVOC9G+PqFKqD988XlipHVB6Bz+1CD4D/bWrs3cC9+kk/JFMRRAYMZLKX8TDB5AXASSLJJJJCPTCI9SKQTI2H0JwUGkD7+bQAr+7vr8/R+cbmnme7cse8neex6lvmf7dh0a1ykqa6hun18bb维吾尔语QZMMZPRPIBB321ZBLCNXITJVWXVBCPHKHJ20VWWAZ7LONF59S84ZSOQFOBV8GKMs0s5dsq5zpLeaw公司==-----结束证书-----此证书也可从https://origin-pull.cloudflare.com/源服务器配置下周，我们将在CloudFlare支持知识库中提供流行web服务器的配置示例。