委任された

委任された DCV は、部分的 DNS セットアップを使用しているゾーン、つまり Cloudflare によって権威 DNS が提供されていない場合に、DCV プロセスを Cloudflare に委任することを可能にします。

DCV 委任には、Cloudflare が今後のすべての証明書注文を自動更新できるようにするための一度限りのレコードを配置する必要があります。これにより、更新時に手動での介入が不要になります。

ノート

DCV 委任はユニバーサル証明書では機能せず、高度な証明書の使用が必要です。

利用可能性

	Free	Pro	Business	Enterprise
Availability	Included with Advanced Certificate Manager	Included with Advanced Certificate Manager	Included with Advanced Certificate Manager	Included with Advanced Certificate Manager

使用するタイミング

次のすべての条件が真である場合、委任された DCV を使用する必要があります。

• ゾーンが 部分的 DNS セットアップを使用している。
• Cloudflare がすでに 自動的に DCV を実行していない。
• ゾーンが 高度な証明書を使用している。
• ゾーンが複数の CDN プロバイダーを使用していない。
• 証明書発行機関が Google または Let’s Encrypt のいずれかである。

委任された DCV とオリジン証明書

発表ブログ記事 ↗で説明されているように、現在、DCV を一度に一つのプロバイダーにのみ委任できます。同じホスト名のために オリジンサーバー に対して公的に信頼された証明書を発行する場合、これはもはや可能ではありません。代わりに Cloudflare Origin CA 証明書を使用できます。

設定

委任された DCV を設定するには：

1. ゾーンのために 高度な証明書を注文し、証明書検証方法として TXT を選択します。
2. SSL/TLS > エッジ証明書に移動し、部分的ゾーンの DCV 委任に進みます。
3. Cloudflare 検証 URL をコピーします。
4. 権威 DNS プロバイダーで、次のことを考慮して CNAME レコードを作成します：

• 証明書が apex ドメインとワイルドカードのみをカバーしている場合、apex ドメインのために単一の CNAME レコードを作成するだけで済みます。直接のサブドメインもカバーされます。

_acme-challenge.example.com CNAME example.com.<COPIED_VALIDATION_URL>.

• 証明書が名前で指定されたサブドメインもカバーしている場合、権威 DNS プロバイダーに対して、各特定のサブドメインごとに複数の CNAME レコードを追加する必要があります。

たとえば、example.com、*.example.com、および sub.example.com をカバーする証明書は、次のレコードを必要とします。

_acme-challenge.example.com CNAME .example.com.<COPIED_VALIDATION_URL>.
_acme-challenge.sub.example.com CNAME sub.example.com.<COPIED_VALIDATION_URL>.

以前の TXT レコードを削除

_acme-challenge の既存の TXT レコードは、委任された DCV CNAME レコードと競合します。次のようなレコードを確認し、削除してください：

_acme-challenge.example.com TXT <CERTIFICATE_VALIDATION_VALUE>

CNAME レコードが配置されると、Cloudflare は、DCV 委任レコードが配置されている高度な証明書のすべてのホスト名に対して TXT DCV トークンを追加します。ゾーンが アクティブである限り、Cloudflare 上で。

DCV は定期的に行われるため、権威 DNS プロバイダーで CNAME レコードを削除しないでください。そうしないと、Cloudflare はあなたの代わりに DCV を実行できず、証明書が発行されません。

詳細情報

テスト

dig コマンドを使用してテストする場合、証明書が発行のために準備されている場合にのみ、配置されたトークンを見ることができるはずです。

これは、Cloudflare が必要に応じてトークンを配置し、その後クリーンアップするためです。

dig TXT +noadditional +noquestion +nocomments +nocmd +nostats _acme-challenge.example.com. @1.1.1.1_acme-challenge.example.com. 3600    IN    CNAME    example.com.<COPIED_VALIDATION_URL>

更新

現在、証明書の更新時に、Cloudflare は、証明書が特定の基準に一致する場合に自動的に DCV を HTTP 経由で実行しようとします：

• ホスト名がプロキシされています。
• 証明書のホスト名がゾーンに割り当てられた IP に解決されます。
• 証明書にワイルドカードが含まれていません。

検証 URL に干渉する設定は、この場合に問題を引き起こす可能性があることに注意してください。ガイダンスについては トラブルシューティングを参照してください。

ノート

証明書更新時にホスト名が到達不能になると、証明書は委任された DCV 経由で自動的に更新できなくなります。現在解決されていないホスト名の証明書を更新する必要がある場合は、DCV 方法を変更する API エンドポイントに PATCH リクエストを送信し、方法を TXT に変更して、TXT DCV 方法に従って手動更新を進めることができます。

ホスト名が再び解決可能になると、委任された DCVは期待通りに機能を再開します。

移動したドメイン

ゾーンを別のアカウントに移動する場合、権威 DNS プロバイダーで CNAME レコードを新しい検証 URL で更新する必要があります。