オリジン CA 証明書
オリジン証明書機関 (CA) 証明書を使用して、Cloudflare とオリジン Web サーバー間のトラフィックを暗号化し、オリジンの帯域幅消費を削減します。デプロイ後、これらの証明書は Strict SSL mode と互換性があります。
オリジン CA 証明書に関する詳細情報については、導入ブログ記事 ↗ を参照してください。
| Free | Pro | Business | Enterprise | |
|---|---|---|---|---|
Availability | Yes | Yes | Yes | Yes |
ダッシュボードでオリジン CA 証明書を作成するには:
- Cloudflare ダッシュボードにログインし、アカウントを選択します。
- ドメインを選択します。
- SSL/TLS > オリジンサーバー に移動します。
- 証明書を作成 を選択します。
- 次のいずれかを選択します:
- Cloudflare でプライベートキーと CSR を生成:プライベートキーのタイプは RSA または ECC です。
- 私のプライベートキーと CSR を使用:証明書署名要求をテキストフィールドに貼り付けます。
- 証明書が SSL 暗号化で保護すべき ホスト名 (ワイルドカードを含む) をリストします。ゾーンの apex と最初のレベルのワイルドカードホスト名はデフォルトで含まれます。
- 証明書の有効期限 を選択します。
- 作成 を選択します。
- キー形式 を選択します:
- OpenSSL を使用するサーバー(Apache や NGINX など)は一般的に PEM ファイル(Base64 エンコードされた ASCII)を期待しますが、バイナリ DER ファイルでも動作します。
- Windows および Apache Tomcat を使用するサーバーは PKCS#7(
.p7bファイル)を必要とします。
- 署名された オリジン証明書 と プライベートキー を別々のファイルにコピーします。セキュリティ上の理由から、この画面を退出した後は プライベートキー を表示できません。
- OK を選択します。
オリジン Web サーバーにオリジン CA 証明書を追加するには:
- ステップ 1 で作成したオリジン CA 証明書をオリジン Web サーバーにアップロードします。
- Web サーバーの設定を更新します:
- Apache httpd ↗
- GoDaddy ホスティング ↗
- Microsoft IIS 7 ↗
- Microsoft IIS 8 および 8.5 ↗
- Microsoft IIS 10 ↗
- NGINX ↗
- Apache Tomcat ↗
- Amazon Web Services ↗
- Apache cPanel ↗
- Apache2 を使用した Ubuntu サーバー ↗
- (一部のサーバーに必要)Cloudflare CA ルート証明書 をオリジンサーバーにアップロードします。これは証明書チェーンとも呼ばれます。
- オリジン Web サーバーで SSL とポート
443を有効にします。
オリジン Web サーバーにオリジン CA 証明書をインストールした後、アプリケーションの SSL/TLS 暗号化モードを更新します。
すべてのオリジンホストがオリジン CA 証明書または公的に信頼された証明書で保護されている場合:
- SSL/TLS に移動します。
- SSL/TLS 暗号化モード で Full (strict) を選択します。
証明書で保護されていないオリジンホストがある場合は、特定のアプリケーションの SSL/TLS 暗号化 モードを Page Rule を使用して Full (strict) に設定します。
キー情報を紛失した場合や、証明書を信頼されないようにしたい場合は、証明書を取り消すことを検討するかもしれません。このプロセスは元に戻せません。
訪問者が不正な証明書に関する警告を表示しないようにするために、証明書を取り消す前に SSL/TLS 暗号化 を Full または Flexible に設定することをお勧めします。これは、Cloudflare ダッシュボード ↗ を介してグローバルに行うか、特定のホスト名に対して Page Rule を介して行います。
証明書を取り消すには:
- Cloudflare ダッシュボードにログインし、アカウントを選択します。
- ドメインを選択します。
- SSL/TLS > オリジンサーバー に移動します。
- オリジン証明書 で証明書を選択します。
- 取り消す を選択します。
一部のオリジン Web サーバーでは、Cloudflare オリジン CA ルート証明書または証明書チェーンのアップロードが必要です。以下のリンクを使用して、ECC または RSA バージョンをダウンロードし、オリジン Web サーバーにアップロードします:
- Cloudflare Origin ECC PEM(Apache cPanel では使用しないでください)
- Cloudflare Origin RSA PEM
証明書は最大 200 の個別のサブジェクト代替名 (SAN) で生成できます。SAN は完全修飾ドメイン名(www.example.com)またはワイルドカード(*.example.com)の形式を取ることができます。Cloudflare オリジン CA 証明書では、IP アドレスを SAN として使用することはできません。
ワイルドカードは 1 レベルのみをカバーできますが、より広範なカバレッジのために同じ証明書で複数回使用できます(たとえば、*.example.com と *.secure.example.com は共存できます)。
オリジン CA 証明書に関するプロセスを自動化するには、Origin CA Keys を使用して次の API 呼び出しを行います。
| 操作 | メソッド | エンドポイント |
|---|---|---|
| 証明書の一覧 | GET | certificates?zone_id=<<ZONE_ID>> |
| 証明書の作成 | POST | certificates |
| 証明書の取得 | GET | certificates/<<ID>> |
| 証明書の取り消し | DELETE | certificates/<<ID>> |
サイト訪問者は、オリジン CA 証明書を使用しているサブドメインで Cloudflare を一時停止または無効にすると、信頼されていない証明書エラーを見ることがあります。これらの証明書は、Cloudflare とオリジンサーバー間のトラフィックのみを暗号化し、クライアントブラウザからオリジンへのトラフィックは暗号化しません。