L’Origin Certificate, est un certificat généré par Cloudflare, qui est installé sur le serveur source (Apache dans mon cas).
Il permet d’une part de forcer le chiffrement entre Cloudflare et le serveur source, et d’autre part de s’assurer que seul Cloudflare puisse se connecter sur le serveur source.
A noter que mon hébergeur Infomaniak offre des certificats gratuits “Let’s Encrypt” (c’était ce que j’utilisais avant cette manip) ou des certificats payants Comodo, et permet aussi de déployer des certificats d’autres autorités de certification (et donc ceux de Cloudflare aussi).
Les étapes que j’ai dû suivre sont les suivantes :
1) Depuis l’interface de management de mon hébergeur Infomaniak, j’ai dû générer une demande de certificat (CSR)
https://faq.infomaniak.com/2027
2) Une fois la demande de certificat prête, je l’ai sauvegardée en local, puis j’ai ouvert le fichier CSR avec Notepad++, sélectionné tout le texte et copié dans le presse-papier.
3) Sur le dashboard de Cloudflare, il faut sélectionner le domaine concerné, puis choisir SSL/TLS et l’option Origin Server
4) Cliquer sur “Create Certificate”, puis choisir l’option “I have my own private key and CSR”, et copier le contenu du fichier CSR généré plus haut.
J’ai aussi défini le nom du host, plutôt qu’un certificat qui s’applique à tout le domaine. Aussi, j’ai été raisonnable avec la validité du certificat (c’est tout de même 15 ans par défaut).
5) Après quelques secondes, Cloudflare vous génère un certificat.
Sélectionner tout le texte et le copier dans le presse-papier.
6) Retourner sur le site de l’hébergeur et importer le certificat.
7) Si tout va bien, le certificat est pris en compte, avec la validité spécifié plus haut.
8) Importer ensuite le certificat intermédiaire “Origin Pull Certificate” de Cloudflare, qui nous permettra ensuite d’activer l’authentification de toutes les demandes de mise en cache depuis le serveur source.
https://support.cloudflare.com/hc/en-us/articles/204899617
Le résultat final est ceci :
9) Depuis le dashboard de Cloudflare, activer la fonctionnalité “Authenticated Origin Pulls” (voir étape numéro 3 plus haut)
Une fois ces étapes effectuées, non seulement tout le trafic entre le serveur source et Cloudflare sera chiffré, mais seul Cloudflare sera autorisé à se connecter sur le serveur source.