高度な証明書

2023年8月31日以降、新しいCloudflareアカウントでは、高度な証明書の証明書発行機関（CA）としてDigiCertを選択するオプションがなくなります。

2023年10月5日に、Cloudflareは新しい高度な証明書のCAとしてDigiCertの使用を停止します。これは既存の高度な証明書には影響しません。

注意

高度な証明書の更新オフボーディングは延期され、2023年10月26日から徐々に展開が開始されました。このプロセスは2024年3月末までに完了する見込みです。

2023年10月26日に、Cloudflareは高度な証明書の更新のCAとしてDigiCertの使用を徐々に停止します。これは既存の高度な証明書には影響せず、その更新のみに影響します。

If you have CAA records that are not automatically added by Cloudflare, make sure to allow the other Cloudflare CAs to issue certificates for your domain. Refer to Certificate authorities for a list of the respective CAA record contents.

変更の概要

この表は、DigiCertとCloudflareの他のCAとの違いの概要を提供します。

エリア	DigiCert	他のCA	必要なアクション
ドメインコントロール バリデーション (DCV)	証明書に複数のホスト名がSubject Alternative Name (SAN)に含まれている場合、バリデーションを完了するために1つのDCVレコードが必要です。	証明書に複数のホスト名がSANに含まれている場合、証明書の各ホスト名に対して1つのDCVトークンが必要です（SANに5つのホスト名がある場合、5つのDCVトークンが必要です）。 これは、アペックスとワイルドカードをカバーする証明書をバリデートするために2つのDCVトークンも必要です（example.com, *.example.com）。	フルゾーン: Cloudflareが権威DNSプロバイダーである限り、証明書の発行と更新のためにTXTベースのDCVを完了できるため、アクションは必要ありません。 部分ゾーン: Cloudflareは、トラフィックをCloudflare経由でプロキシしている限り、非ワイルドカードホスト名のためにHTTP DCVを完了します。 ワイルドカードホスト名を持つ高度な証明書については、委任DCVを検討する必要があります。それが機能しない場合、権威DNSプロバイダーにTXT DCVトークンを配置して高度な証明書のワイルドカードホスト名のためにTXT DCVを完了する必要があります。
API	顧客はAPIを使用する際に、発行CAとして"digicert"を選択できます。	顧客はAPIを使用する際に、"lets_encrypt"または"google"のみを選択できます。	現在、DigiCertを発行CAとして高度な証明書を作成している場合は、統合をLet’s EncryptまたはGoogleを使用するように切り替える必要があります。
DCVメソッド	メールDCVが利用可能です。	メールDCVは廃止されます。顧客はHTTPまたはDNS DCVを使用する必要があります。	既存の証明書がメールDCVに依存している場合、証明書の更新時にCloudflareはHTTPバリデーションを完了しようとします。HTTPバリデーションが不可能な場合、CloudflareはTXT DCVを使用し、関連するトークンを返します。
有効期間	高度な証明書は14、30、90、または365日有効です。	高度な証明書は14、30、または90日有効です。	アクションは必要ありません。証明書はより頻繁に更新されます。14日または30日の有効期間を持つ証明書は、更新時にGoogle Trust Servicesを使用する必要があります。Let’s Encryptは90日の有効期間を持つ証明書のみをサポートしています。

必要なアクション

2023年10月5日以前

Cloudflare APIと統合して高度な証明書を注文している場合、以下のフィールドを更新する必要があります。

• "certificate_authority"フィールドは、Google Trust Services（"google"）またはLet’s Encrypt（"lets_encrypt"）のいずれかを使用する必要があります。
• "validation_method"フィールドは、"http"（非ワイルドカードホスト名にのみ利用可能）または"txt"のいずれかを使用する必要があります。
• "validity_days"フィールドは、14、30、または90のいずれかを使用する必要があります（14日または30日の証明書は、発行CAとしてGoogle Trust Servicesを使用します）。

2023年10月26日以降の変更

注意

高度な証明書の更新オフボーディングは2023年10月26日から徐々に展開が開始されました。このプロセスは2024年3月末までに完了する見込みです。

以下の変更は、2023年10月26日以降に更新される証明書に自動的に影響します。更新された証明書は、DigiCert証明書とは異なる証明書パックIDを持ちます。

証明書発行機関

段階的な展開の間、2023年10月26日以降に更新されたDigiCert証明書は、Cloudflareが選択した証明書発行機関（Let’s EncryptまたはGoogle Trust Services）を通じて発行されます。

ノート

14日および30日の有効期間を持つ証明書は、Google Trust Servicesで更新されます。90日の証明書は、Let’s EncryptまたはGoogle Trust Servicesのいずれかを使用します。

有効期間

現在のDigiCert証明書が365日の有効期間を持つ場合、その値は証明書が更新されるときに"validity_days"フィールドで90に変更されます。

DCVメソッド

DigiCert証明書の"validation_method"が"email"に設定されていた場合、この値は証明書が更新されるときに"txt"または"http"に変更されます。

フルゾーンの証明書更新は、TXT DCVがデフォルトとなり、Cloudflareによって自動的に更新されます。これは、Cloudflareが権威DNSプロバイダーとしてTXT DCVトークンを配置できるためです。

部分ゾーンの証明書更新は、証明書にワイルドカードホスト名がない限り、HTTP DCVがデフォルトとなります。

ワイルドカードホスト名を持つ証明書は、委任DCVまたはTXT DCVを完了する必要があります。

DCVトークン

DigiCertを使用したマルチホスト名またはワイルドカード証明書の場合、複数のDCVレコードが"validation_records"フィールドに返されるようになります。

これは、DigiCertが証明書の apex、ワイルドカード、およびサブドメインを検証するために配置する必要があるのは1つのDCVレコードだけであるためです。Let’s EncryptとGoogle Trust Servicesは、証明書の各ホスト名に対して1つのDCVトークンを配置することを要求するACMEプロトコル ↗に従っています。

証明書が複数のホスト名をカバーしている場合、更新時には証明書の各ホスト名に関連付けられた1つのDCVトークンが表示されます。これらのトークンは、"validation_records"フィールドに返されます。

証明書にワイルドカードホスト名が含まれている場合、ワイルドカードホスト名に対してTXT DCVトークンが返されます。以前のDigiCertでは、ゾーン内のサブドメインやワイルドカードの検証を完了するために、apexで1つのTXT DCVトークンのみが必要でした。

必要なアクション

証明書の移行

Cloudflareが更新時に証明書の移行を処理し、あなたの代わりにCAを選択するのではなく、特定のCAを選択して証明書の移行を管理したい場合は、次のことを行う必要があります。

1. 新しい証明書を注文する（前述の必要な変更をすべて適用する）。
2. 証明書が検証されていることを確認する（部分ゾーンは以前よりも追加の手順が必要です）。
3. すべての既存のDigiCert証明書を削除する（各証明書が置き換えられ、新しい証明書がアクティブになった後）。

DCV - フルゾーン

フルゾーン¹の場合、唯一の必要なアクションは、あなたのネームサーバーがまだCloudflareを指していることを確認することです。

Certificates on full zones - whether using a wildcard hostname or not - will be automatically renewed and validated without any action from you. Cloudflare can complete DCV on your behalf by serving the TXT DCV tokens.

DCV - 部分ゾーン

部分ゾーン²の場合、プロセスは証明書がワイルドカードホスト名を使用しているかどうかによって異なります。

If every hostname on a non-wildcard certificate is proxying traffic through Cloudflare, Cloudflare can automatically complete DCV on your behalf.

This applies to customers using Universal or Advanced certificates.

If one of the hostnames on the certificate is not proxying traffic through Cloudflare, certificate issuance and renewal will vary based on the type of certificate you are using:

• Universal: Perform DCV using one of the available methods.
• Advanced: In most cases, you can opt for Delegated DCV, which greatly simplifies certificate management.

For wildcard hostname certificates, certificate issuance and renewal varies based on the type of certificate you are using:

• Universal: Perform DCV using one of the available methods.
• Advanced: In most cases, you can opt for Delegated DCV, which greatly simplifies certificate management.

If you cannot use Delegated DCV, you need to use TXT based DCV for certificate issuance and renewal. This means you will need to place one TXT DCV token for every hostname on the certificate. If one or more of the hostnames on the certificate fails to validate, the certificate will not be issued or renewed.

This means that a wildcard certificate covering example.com and *.example.com will require two DCV tokens to be placed at the authoritative DNS provider. Similarly, a certificate with five hostnames in the SAN (including a wildcard) will require five DCV tokens to be placed at the authoritative DNS provider.

DCVトークンの取得

更新が近づいている証明書のトークンを自動的に取得するには、Advanced Certificate Alertイベントのために通知を設定します。この通知には、新しいまたは更新された証明書に関連付けられたDCVトークンが含まれます。

通知は、メールアドレスまたはWebhookに送信できます。

Once you create a new certificate and choose the validation method of TXT, your tokens will be ready after a few seconds.

These tokens can be fetched through the API or the dashboard when the certificates are in a pending validation state during custom hostname creation or during certificate renewals.

API

You can access these tokens using the API with the GET request and including status=pending_validation as a request parameter.

For example, here are two tokens highlighted in the API response for a wildcard certificate.

Response

{
  "result": [
    {
      "id": "<CERTIFICATE_ID>",
      "type": "advanced",
      "hosts": ["*.<DOMAIN>.com", "<DOMAIN>.com"],
      "primary_certificate": "0",
      "status": "pending_validation",
      "certificates": [],
      "created_on": "2022-10-12T21:46:21.979150Z",
      "validity_days": 90,
      "validation_method": "txt",
      "validation_records": [
        {
          "status": "pending",
          "txt_name": "_acme-challenge.<DOMAIN>.com",
          "txt_value": "lXLOcN6cPv0nproViNcUHcahD9TrIPlNgdwesj0pYpk"
        },
        {
          "status": "pending",
          "txt_name": "_acme-challenge.<DOMAIN>.com",
          "txt_value": "O0o8VgJu_OGu-T30_cvT-4xO5ZX1_2WsVNUrpUKE6ns"
        }
      ],
      "certificate_authority": "google"
    }
  ]
}

Dashboard

1. Log in to the Cloudflare dashboard ↗.
2. Choose your account and domain.
3. Go to SSL/TLS > Edge Certificates.
4. Select a certificate.
5. Copy the values for Certificate validation TXT name and Certificate validation TXT value.

If you had created a wildcard certificate, you would need to copy the values for two different validation TXT records.

validation_recordsフィールドに返されたすべてのDCVレコードを、あなたの権威DNSプロバイダーに追加する必要があります。

DNSレコードを更新したら、次の再試行を待つか、即時再チェックをリクエストできます。

To request an immediate recheck, send another PATCH request with the same validation_method as your current validation method.

証明書が検証されると、証明書のステータスはActiveに変更されます。

Footnotes

1. Cloudflareがあなたの権威DNSプロバイダーであることを意味します。 ↩

2. 別のDNSプロバイダー（Cloudflareではない）があなたの権威DNSを維持していることを意味します。 ↩