我的源站服务器只希望接收来自 CDN 节点的回源请求,防止带host扫描,现在阿里云ESA基础版不提供CDN回源IP地址,但是提供回源mTLS功能,用于源站对ESA身份进行验证。
我每次都得手动配置
- # --------- mTLS 配置开始 ---------
- # 用于验证 CDN 客户端证书的 CA 证书
- ssl_client_certificate /www/server/panel/vhost/cert/your_domain_com/cdn_client_ca.pem;
- # 开启客户端证书验证
- # "on" 表示强制验证,如果客户端不提供证书或证书无效,则中断连接
- # "optional" 表示可选验证,无论是否成功,连接都会建立,但验证结果会保存在 $ssl_client_verify 变量中
- ssl_verify_client on;
- # 设置验证链的深度
- ssl_verify_depth 2;
- # --------- mTLS 配置结束 ---------
- # 检查验证状态,如果不是 SUCCESS,则444
- if ($ssl_client_verify != SUCCESS) {
- return 444;
- }
这很麻烦而且容易出错,希望面板支持一键配置
同时希望添加多种手段验证CDN节点身份
如
- - mTLS双向认证
- - 回源自定义请求头验证
- - 站点级回源IP验证(支持手动输入或者订阅列表url)
如果不放在站点配置里面放在宝塔Nginx防火墙里面也是可以的
|
运维要高效,装宝塔
