証明書を手動でインストールする

ノート

この手順は特定のCloudflare Zero Trust機能を有効にするためにのみ必要であり、IT部門の指示に従ってのみ実施するべきです。この手順は、消費者向けのWARPクライアントを有効にするためには必要ありません。

デバイスがWARP経由での証明書インストールをサポートしていない場合、Cloudflareの証明書を手動でインストールできます。証明書は、システムキーチェーンと個別のアプリケーションストアの両方に追加する必要があります。これらの手順は、HTTPフィルタリングの対象となる新しいデバイスごとに実行する必要があります。

Cloudflareルート証明書をダウンロードする

まず、Cloudflareの証明書をダウンロードします。証明書は.pem形式と.crt形式の両方で利用可能です。特定のアプリケーションでは、証明書が特定のファイルタイプである必要があるため、使用ケースに最も適したファイルをダウンロードしてください。

• 証明書をダウンロードする (.crt)
• 証明書をダウンロードする (.pem)

証明書のフィンガープリントを確認する

ダウンロードを確認するために、証明書のサムプリントが一致することを確認してください。

SHA1

BB:2D:B6:3D:6B:DE:DA:06:4E:CA:CB:40:F6:F2:61:40:B7:10:F0:6C

➜  ~ openssl x509 -noout -fingerprint -sha1 -inform der -in <Cloudflare_CA.crt>
SHA1 Fingerprint=BB:2D:B6:3D:6B:DE:DA:06:4E:CA:CB:40:F6:F2:61:40:B7:10:F0:6C
➜  ~ openssl x509 -noout -fingerprint -sha1 -inform pem -in <Cloudflare_CA.pem>
SHA1 Fingerprint=BB:2D:B6:3D:6B:DE:DA:06:4E:CA:CB:40:F6:F2:61:40:B7:10:F0:6C

SHA256

F5:E1:56:C4:89:78:77:AD:79:3A:1E:83:FA:77:83:F1:9C:B0:C6:1B:58:2C:2F:50:11:B3:37:72:7C:62:3D:EF

➜  ~ openssl x509 -noout -fingerprint -sha256 -inform der -in <Cloudflare_CA.crt>
sha256 Fingerprint=F5:E1:56:C4:89:78:77:AD:79:3A:1E:83:FA:77:83:F1:9C:B0:C6:1B:58:2C:2F:50:11:B3:37:72:7C:62:3D:EF
➜  ~ openssl x509 -noout -fingerprint -sha256 -inform pem -in <Cloudflare_CA.pem>
sha256 Fingerprint=F5:E1:56:C4:89:78:77:AD:79:3A:1E:83:FA:77:83:F1:9C:B0:C6:1B:58:2C:2F:50:11:B3:37:72:7C:62:3D:EF

証明書をオペレーティングシステムに追加する

macOS

macOSでは、証明書をインストールするキーチェーンを選択できます。各キーチェーンは、ルート証明書を信頼するユーザーに影響を与えます。

キーチェーン	アクセス範囲
login	ログイン中のユーザー
Local Items	キャッシュされたiCloudパスワードにアクセスできるユーザー
System	システム上のすべてのユーザー

macOSにCloudflareの証明書をインストールするには、Keychain Accessアプリケーションまたはターミナルのいずれかを使用できます。どちらの方法でも、Cloudflareの証明書をダウンロードして.crt形式で保存する必要があります。

keychain access

1. Cloudflareの証明書をダウンロードします。

2. Keychain Accessで.crtファイルを開きます。プロンプトが表示された場合は、ローカルパスワードを入力します。

3. Keychainで、ニーズに合ったアクセスオプションを選択し、Addを選択します。

4. 証明書のリストで、新しくインストールした証明書を見つけます。Keychain Accessはこの証明書を信頼されていないとマークします。右クリックしてGet Infoを選択します。

5. Trustを選択します。When using this certificateの下で、_Always Trust_を選択します。

ルート証明書は現在インストールされ、使用する準備が整いました。

terminal

1. Cloudflareの証明書をダウンロードします。
2. ターミナルを開きます。
3. 証明書をキーチェーンに追加します：

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain <path-to-Cloudflare_CA.crt>

このキーチェーンは、システム上のすべてのユーザーが証明書にアクセスできるようにします。別のキーチェーンに証明書をインストールしたい場合は、System.keychainをそのキーチェーンの名前に置き換えます。

4. OpenSSL CAストアを更新してCloudflareの証明書を含めます：

echo | sudo tee -a /etc/ssl/cert.pem < Cloudflare_CA.pem

ルート証明書は現在インストールされ、使用する準備が整いました。

証明書のアクセス範囲を変更する

Cloudflareの証明書へのユーザーアクセスを変更したい場合は、Keychain Accessを開き、左側のサイドバーで証明書を別のキーチェーンに移動できます。

Windows

Windowsでは、証明書をインストールするための2つの場所があり、それぞれがルート証明書を信頼するユーザーに影響を与えます。

ストアの場所	アクセス範囲
Current User Store	ログイン中のユーザー
Local Machine Store	システム上のすべてのユーザー

1. Cloudflareの証明書をダウンロードします。

2. 証明書ファイルを右クリックします。

3. Openを選択します。セキュリティ警告が表示された場合は、Openを選択して続行します。

4. Certificateウィンドウが表示されます。Install Certificateを選択します。

5. ストアの場所を選択します。セキュリティ警告が表示された場合は、Yesを選択して続行します。

6. 次の画面で、Browseを選択します。

7. リストから_Trusted Root Certification Authorities_ストアを選択します。

8. OKを選択し、次にFinishを選択します。

ルート証明書は現在インストールされ、使用する準備が整いました。

Linux

ルート証明書をインストールする場所は、Linuxディストリビューションによって異なります。各ディストリビューションの特定の指示に従ってください。

Debianベースのディストリビューション

以下の手順は、Debian、Ubuntu、Kali LinuxなどのDebianベースのシステムに適用されます。

1. .pem証明書をダウンロードします。
2. ca-certificatesパッケージをインストールします。

sudo apt-get install ca-certificates

3. 証明書をシステムにコピーし、ファイル拡張子を.crtに変更します。

sudo cp Cloudflare_CA.pem /usr/share/ca-certificates/Cloudflare_CA.crt

4. 証明書をインポートします。

sudo dpkg-reconfigure ca-certificates

Red Hatベースのディストリビューション

以下の手順は、Red Hat Enterprise Linux (RHEL)、Fedora、Rocky Linux、AlmaLinuxなどのRed Hatベースのシステムに適用されます。

1. .crt証明書と.pem証明書の両方をダウンロードします。
2. ca-certificatesパッケージをインストールします。

sudo dnf install ca-certificates

3. 両方の証明書を信頼ストアにコピーします。

sudo cp Cloudflare_CA.crt Cloudflare_CA.pem /etc/pki/ca-trust/source/anchors

4. 証明書をインポートします。

sudo update-ca-trust

NixOS

NixOSは自己更新のためにシステム証明書ストアを使用せず、~/.nix-profile/etc/ssl/certsにある証明書または実行時にNIX_SSL_CERT_FILEで提供される証明書に依存します。

iOS

iOSでは、Safariブラウザのみが証明書を開いてインストールすることを許可しています。

1. Safariを開き、Cloudflareの証明書をダウンロードします。デバイスにはメッセージが表示されます: このウェブサイトは構成プロファイルをダウンロードしようとしています。許可しますか？

2. Allowを選択します。

3. 設定に移動すると、新しいProfile DownloadedセクションがiCloudユーザーアカウント情報のすぐ下に表示されます。

ノート

または、設定 > 一般 > VPNとデバイス管理に移動し、Cloudflare for Teams ECC Certificate Authorityプロファイルを選択できます。

4. Installを選択します。iOSデバイスがパスコードで保護されている場合、パスコードの入力を求められます。

5. 次に、証明書警告が表示されます。Installを選択します。2回目のプロンプトが表示された場合は、再度Installを選択します。

6. 次に、プロファイルインストール画面が表示されます。Doneを選択します。証明書は現在インストールされています。ただし、使用するにはデバイスによって信頼される必要があります。

7. 設定 > 一般 > 情報 > 証明書信頼設定に移動します。インストールされたルート証明書が表示され、ルート証明書の完全信頼を有効にします。

8. Cloudflareの証明書を有効にします。

9. セキュリティ警告メッセージが表示されます。Continueを選択します。

ルート証明書は現在インストールされ、使用する準備が整いました。

Android

1. Cloudflareの証明書をダウンロードします。

2. 設定 > セキュリティ > 詳細 > 暗号化と資格情報 > 証明書をインストールに移動します。

3. CA証明書を選択します。

4. Install anywayを選択します。

5. 身元を確認します。

6. インストールする証明書ファイルを選択します。

ルート証明書は現在インストールされ、使用する準備が整いました。

ChromeOS

ChromeOSデバイスは、ルート証明書を保存および展開するために異なる方法を使用します。証明書はVPNとアプリまたはCA証明書設定に分類される場合があります。デバイスに対応する手順に従ってください。

vpn and apps

1. Download the Cloudflare certificate in .crt format.

2. Go to Settings > Apps > Google Play Store.

3. Select Manage Android preferences.

4. Go to Security & location > Credentials > SDカードからインストール.

5. ファイルオープンダイアログで、ダウンロードしたCloudflare_CA.crtファイルを選択し、Openを選択します。

6. 証明書を識別するための名前を入力します。Credential useが_VPNとアプリ_に設定されていることを確認します。OKを選択します。

ca certificate

1. Download the Cloudflare certificate in .crt format.

2. Go to Settings > Apps > Google Play Store.

3. Select Manage Android preferences.

4. Go to Security & location > Credentials > 証明書をインストール > CA証明書.

5. プライバシー警告が表示されたら、Install anywayを選択します。

6. ファイルオープンダイアログで、ダウンロードしたCloudflare_CA.crtファイルを選択し、Openを選択します。

7. 証明書がインストールされ、信頼されていることを確認するには、設定 > アプリ > Google Playストア > Androidの設定を管理 > セキュリティ > 資格情報 > 信頼された資格情報 > ユーザーに移動します。

Cloudflareの証明書をChromeOSに追加した後、ブラウザにも証明書をインストールする必要がある場合があります。

証明書をアプリケーションに追加する

一部のパッケージ、開発ツール、およびその他のアプリケーションは、Gatewayのトラフィック検査機能がアプリケーションを壊すことなく機能するように、ルート証明書を信頼するオプションを提供します。

以下のすべてのアプリケーションは、上記の手順でCloudflareの証明書をダウンロードする必要があります。Macでは、デフォルトのパスは/Library/Keychains/System.keychain Cloudflare_CA.crtです。Windowsでは、デフォルトのパスは\Cert:\CurrentUser\Rootです。

ノート

一部のアプリケーションでは、公開信頼された証明書の使用が必要です — それらはシステム証明書を信頼せず、構成可能なプライベートストアも持っていません。これらのアプリケーションが機能するためには、アプリケーションが依存するドメインまたはIPに対してDo Not Inspectポリシーを追加する必要があります。

ブラウザ

Chrome

Chrome 113以前のバージョンは、macOSおよびWindowsのオペレーティングシステムルートストア ↗を使用します。macOSおよびWindowsのChrome 113以降、およびLinuxおよびChromeOSのすべてのバージョンは、Chrome内部信頼ストア ↗を使用します。

Cloudflareの証明書をChromeに手動でインストールするには：

1. Cloudflareの証明書を.pem形式でダウンロードします。
2. Chromeで、設定 > プライバシーとセキュリティ > セキュリティに移動します。
3. 証明書を管理を選択します。
4. Authoritiesに移動し、インポートを選択します。
5. ファイルオープンダイアログで、ダウンロードしたCloudflare_CA.pemファイルを選択します。
6. ダイアログボックスで、この証明書をウェブサイトの識別に信頼する、この証明書をメールユーザーの識別に信頼する、_この証明書をソフトウェアメーカーの識別に信頼する_をオンにします。OKを選択します。
7. 証明書がインストールされ、信頼されていることを確認するには、Authoritiesでそれを見つけます。

組織向けにCloudflareの証明書をインストールする方法については、GoogleのChrome Enterpriseおよび教育に関するドキュメント ↗を参照してください。

Firefox

Cloudflareの証明書をFirefoxに手動でインストールするには：

1. Cloudflareの証明書を.pem形式でダウンロードします。
2. Firefoxで、設定 > プライバシーとセキュリティに移動します。
3. セキュリティで、証明書 > 証明書を表示を選択します。
4. Authoritiesで、インポートを選択します。
5. ファイルオープンダイアログで、ダウンロードしたCloudflare_CA.pemファイルを選択します。
6. ダイアログボックスで、_このCAをウェブサイトの識別に信頼する_および_このCAをメールユーザーの識別に信頼する_をオンにします。OKを選択します。
7. 証明書がインストールされ、信頼されていることを確認するには、Cloudflareの下の表でそれを見つけます。

組織向けにCloudflareの証明書をインストールする方法については、Mozillaサポート記事 ↗を参照してください。

Python

WindowsのPython

WindowsでPythonを使用して証明書をインストールするコマンドは、pipおよびcertifi（証明書検証のためのデフォルトの証明書バンドル）を自動的に含みます。

1. PowerShellターミナルで、Cloudflareルート証明書をダウンロードします：

   curl.exe -o Cloudflare_CA.crt https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.crt

2. バンドルを更新してCloudflare証明書を含める:

   gc .\Cloudflare_CA.crt | ac C:\Python37\Lib\site-packages\pip\_vendor\certifi\cacert.pem

MacおよびLinuxでのPython

1. ターミナルでcertifiパッケージをインストール:

   pip install certifi

2. CAストアを特定:

   python -m certifi

   ~/Library/Python/3.7/lib/python/site-packages/certifi/cert.pem

3. Cloudflareルート証明書をダウンロード:

   wget https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.pem

4. 次のコマンドを実行してCloudflare証明書をこのCAストアに追加:

   echo | cat - Cloudflare_CA.pem >> $(python -m certifi)

5. 必要に応じて、システム変数を設定してこのCAストアを指すようにする:

   export CERT_PATH=$(python -m certifi)
   export SSL_CERT_FILE=${CERT_PATH}
   export REQUESTS_CA_BUNDLE=${CERT_PATH}

Git

WindowsでのGit

1. PowerShellを開く。

2. 次のコマンドを実行:

git config -l

このコマンドは次のように出力されます:

core.symlinks=false
core.autocrlf=true
core.fscache=true
color.diff=auto
color.status=auto
color.branch=auto
color.interactive=true
help.format=html
rebase.autosquash=true
http.sslcainfo=C:/Program Files/Git/mingw64/ssl/certs/ca-bundle.crt
http.sslbackend=openssl
diff.astextplain.textconv=astextplain
filter.lfs.clean=git-lfs clean -- %f
filter.lfs.smudge=git-lfs smudge -- %f
filter.lfs.process=git-lfs filter-process
filter.lfs.required=true
credential.helper=manager

3. http.sslcainfoはCA証明書ストアを定義します。Cloudflare証明書をCAバンドルに追加するには、http.sslcainfoを更新します。

gc .\Cloudflare_CA.pem | ac $(git config --get http.sslcainfo)

MacおよびLinuxでのGit

Gitを設定してCloudflare証明書を信頼させます。

git config --global http.sslcainfo [PATH_TO_CLOUDFLARE_CERT]

npm

以下のコマンドは、cafile設定をCloudflare証明書を使用するように設定します。.pemファイルタイプの証明書を使用してください。

npm config set cafile [PATH_TO_CLOUDFLARE_CERT.pem]

一部のシステムでは、次のようにパス/エクスポートリストに設定する必要があります:

export NODE_EXTRA_CA_CERTS='[PATH_TO_CLOUDFLARE_CERT.pem]'

Google Cloud

Google Cloud SDK

以下のコマンドは、Google Cloud SDKをCloudflare証明書を使用するように設定します。Google Cloud SDKの設定に関する詳細は、Google Cloudのドキュメント ↗を参照してください。

1. curlのcacertバンドルを取得。

   curl --remote-name https://curl.se/ca/cacert.pem

2. Cloudflare CAを取得。

   curl --remote-name https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.pem

3. 証明書を1つの.pemファイルに結合。

   cat cacert.pem Cloudflare_CA.pem > ~/ca.pem

4. Google Cloudを結合した.pemを使用するように設定。

   gcloud config set core/custom_ca_certs_file ~/ca.pem

ノート

~/ca.pemのファイルは、gcloudユーティリティがそれを利用するためにそのままにしておく必要があります。ファイルが移動された場合は、再度ステップ3を実行してgcloudをファイルの新しい場所に指す必要があります。

Kaniko

Google Cloud SDKでKanikoを使用する場合、Kaniko CAストア ↗にCloudflare証明書をインストールする必要があります。詳細については、gcloudのドキュメント ↗を参照してください。

Google Drive for desktop

Google DriveデスクトップアプリケーションでCloudflareルート証明書を信頼するには、オペレーティングシステムに応じた手順に従ってください。これらの手順では、証明書をダウンロードする必要があります。

macOS

1. Finderメニューバーで、移動 > フォルダへ移動に進みます。/Applications/Google Drive.app/Contents/Resourcesを入力します。

2. roots.pemを見つけて、Documentsフォルダなどの永続的な場所にコピーします。

3. cloudflare.pemの内容をroots.pemの末尾に追加します。

   cat ~/Downloads/Cloudflare_CA.pem >> path/to/roots.pem

4. 新しく作成したルート証明書をGoogle Driveアプリケーションに適用します。

   sudo defaults write /Library/Preferences/com.google.drivefs.settings TrustedRootsCertsFile -string "path/to/root.pem"

次のコマンドで更新を確認できます。

defaults read /Library/Preferences/com.google.drivefs.settings

Windows

1. ファイルエクスプローラーで、\Program Files\Google\Drive File Stream\<version>\config\に移動します。

2. roots.pemを見つけて、Documentsフォルダなどの永続的な場所にコピーします。

3. cloudflare.pemの内容をroots.pemの末尾に追加します。

   cat ~\Downloads\Cloudflare_CA.pem >> path\to\roots.pem

4. Google Driveレジストリキーを更新します。

   reg ADD "HKEY_LOCAL_MACHINE\Software\Google\DriveFS" /v TrustedRootCertsFile /t REG_SZ /d "path\to\roots.pem"

次のコマンドで更新を確認できます。

reg QUERY "HKEY_LOCAL_MACHINE\Software\Google\DriveFS" /v TrustedRootCertsFile"

詳細については、TrustedRootCertsFile設定に関するGoogleのドキュメント ↗を参照してください。

Google Apps Manager (GAM)

Google Apps Manager (GAM)は独自の証明書ストアを使用します。GAMにCloudflare証明書を追加するには、GAMのドキュメント ↗を参照してください。

AWS CLI

AWS CLIを使用している場合、Cloudflareルート証明書を使用するためにAWS_CA_BUNDLE環境変数を設定する必要があります。異なるオペレーティングシステム向けのコマンドは、AWSの指示 ↗にあります。

PHP Composer

以下のコマンドは、composer.json内のcafile ↗設定をCloudflareルート証明書を使用するように設定します。.pemファイルタイプの証明書を使用してください。

composer config cafile [PATH_TO_CLOUDFLARE_CERT.pem]

または、これを手動でcomposer.jsonファイルのconfigキーの下に追加できます。

JetBrains

JetBrains製品にCloudflareルート証明書をインストールするには、以下のリンクを参照してください。

• AppCode ↗
• CLion ↗
• DataGrip ↗
• DataSpell ↗
• GoLand ↗
• IntelliJ IDEA ↗
• PhpStorm ↗
• PyCharm ↗
• Rider ↗
• WebStorm ↗

Eclipse

Eclipse IDE for Java DevelopersにCloudflareルート証明書をインストールするには、Eclipseが使用するJava仮想マシン（JVM）に証明書を追加する必要があります。

1. Cloudflare証明書をダウンロード。

2. Eclipseインストールのjava.home値を見つけます。

   1. Eclipseで、Eclipse > Eclipseについて（またはWindowsおよびLinuxではヘルプ > Eclipse IDEについて）に進みます。
   2. インストールの詳細を選択し、次に構成に進みます。
   3. java.homeを検索し、値を見つけます。例えば:

   *** システムプロパティ:
   java.home=/Users/<username>/.p2/pool/plugins/org.eclipse.justj.openjdk.hotspot.jre.full.macosx.aarch64_17.0.8.v20230831-1047/jre

   4. java.home=の後のフルパスをコピーします。

3. Cloudflare証明書をEclipseのJVMに追加します。

macOSおよびLinux

1. ターミナルで、コピーしたjava.home値を環境変数として追加します。

   export JAVA_HOME=$(echo /path/to/java.home)

2. keytoolを実行してCloudflare証明書をインストールし、信頼します。

   "$JAVA_HOME/bin/keytool" -import -file ~/Downloads/Cloudflare_CA.crt -alias CloudflareRootCA -keystore "$JAVA_HOME/lib/security/cacerts" -storepass changeit -trustcacerts -noprompt

3. Eclipseを再起動します。

Windows

1. ターミナルで、コピーしたjava.home値を環境変数として追加します。

set JAVA_HOME="\path\to\java.home"

2. keytoolを実行してCloudflare証明書をインストールし、信頼します。

"%JAVA_HOME%\bin\keytool.exe" -import -file "%UserProfile%\Downloads\Cloudflare_CA.crt" -alias CloudflareRootCA -keystore "%JAVA_HOME%\lib\security\cacerts" -storepass changeit -trustcacerts -noprompt

3. Eclipseを再起動します。

keytoolを使用してEclipseに証明書を追加する方法の詳細については、IBMのドキュメント ↗を参照してください。

RubyGems

RubyGemsでCloudflareルート証明書を信頼するには、オペレーティングシステムに応じた手順に従ってください。これらの手順では、証明書をダウンロードする必要があります。

macOSおよびLinux

1. OpenSSL ↗をインストールします。

2. ターミナルで、Cloudflare証明書をRuby用にフォーマットします。

   openssl x509 -inform DER -in ~/Downloads/Cloudflare_CA.pem -out ruby-root-ca.crt

3. RubyGemsディレクトリを環境変数として追加します。

   export RUBY_DIR=$(gem which rubygems)

4. Cloudflare証明書をRubyGems証明書ストアにコピーします。

   cp ~/Downloads/ruby-root-ca.crt $RUBY_DIR/ssl_cert/rubygems.org

5. RubyGemsを再起動します。

Windows

1. OpenSSL for Windows ↗をインストールします。

2. ターミナルで、Cloudflare証明書をRuby用にフォーマットします。

   openssl x509 -inform DER -in %UserProfile%\Downloads\Cloudflare_CA.pem -out ruby-root-ca.crt

3. RubyGemsディレクトリを環境変数として追加します。

   set RUBY_DIR=gem which rubygems

4. Cloudflare証明書をRubyGems証明書ストアにコピーします。

   copy %UserProfile%\Downloads\ruby-root-ca.crt %RUBY_DIR%\ssl_cert\rubygems.org

5. RubyGemsを再起動します。

Minikube

MinikubeでCloudflareルート証明書を信頼するには、x509: certificate signed by unknown authority ↗を参照してください。