SaaS向けSSL

2023年9月7日以降、新しいCloudflareアカウントでは、SSL for SaaS証明書の証明書発行機関（CA）としてDigiCertを選択するオプションがなくなります。

2023年10月18日に、Cloudflareは新しいSaaS向けSSL証明書の発行CAとしてDigiCertの使用を停止します。これは既存のSaaS向けSSL証明書には影響しません。

注意

SaaS向けSSLの更新オフボーディングは延期され、2023年11月1日から徐々に展開が開始されます。

2023年11月1日に、CloudflareはSaaS向けSSL証明書の更新のためにDigiCertの使用を徐々に停止します。これは既存のSaaS向けSSL証明書には影響しませんが、証明書の更新にのみ影響します。

API注文でcertificate_authorityを指定しない場合のデフォルトCAと、証明書の更新に使用されるCAは、Let’s EncryptまたはGoogle Trust Servicesに移行します。

注意

If you have CAA records that are not automatically added by Cloudflare, make sure to allow the other Cloudflare CAs to issue certificates for your domain. Refer to Certificate authorities for a list of the respective CAA record contents.

変更の概要

この表は、DigiCertと他のCAとの違いの概要を提供します。

領域	DigiCert	他のCA	必要なアクション
ドメインコントロール バリデーション (DCV)	ワイルドカードカスタムホスト名の証明書を発行するには、ドメインコントロールバリデーションを完了するために1つのTXT DCVレコードが必要です。	ワイルドカードカスタムホスト名の証明書を発行するには、バリデーションを完了するために2つのTXT DCVレコードが必要です。	ワイルドカードカスタムホスト名には追加のDCVトークンが必要です。非ワイルドカードカスタムホスト名は、ホスト名がCloudflareを通じてプロキシされている限り、自動的に更新されます。
API	顧客は、カスタムホスト名APIを使用する際に、発行CAとして"digicert"を選択できます。	顧客は、カスタムホスト名APIを使用する際に、"lets_encrypt"または"google"のみを選択できます。	現在、カスタムホスト名を作成する際にDigiCertを発行CAとして使用している場合は、統合を切り替えてLet’s EncryptまたはGoogleを使用してください。
DCVメソッド	CNAMEおよびEmail DCVが利用可能です。	CNAMEおよびEmail DCVは廃止されます。顧客は、HTTPまたはTXT DCVを使用する必要があります。	CNAMEまたはEmail DCVを使用している証明書が更新される際、Cloudflareは自動的に非ワイルドカードカスタムホスト名のデフォルトメソッドとしてHTTP DCVを、ワイルドカードカスタムホスト名のためにTXT DCVを選択します。
有効期間	カスタムホスト名の証明書は1年間の有効期間があります。	カスタムホスト名の証明書は90日の有効期間があります。	ワイルドカードカスタムホスト名を使用している場合、顧客はDNSプロバイダーにDCVトークンをより頻繁に配置する必要があります。非ワイルドカードカスタムホスト名の証明書は、ホスト名がCloudflareを通じて積極的にプロキシされている限り、自動的に更新されます。Cloudflareはより頻繁に更新を処理します。

ドメインコントロールバリデーション (DCV) の更新

CNAMEおよびEmail DCVは2023年10月18日に廃止され、顧客はHTTP、Delegated DCV、またはTXT DCVを使用する必要があります。

また、証明書の最大有効期間は1年から90日に短縮されます。これは、証明書がより頻繁に更新され、DCVが必要になることを意味します。

必要なアクション

2023年10月18日以前

Cloudflare for SaaS APIと統合してカスタムホスト名を作成している場合は、以下を更新する必要があります。

• SSLオブジェクトの"certificate_authority"フィールドに送信される値。統合はGoogle Trust Services（"google"）またはLet’s Encrypt（"lets_encrypt"）を使用する必要があります。
• SSLオブジェクトの"method"フィールドに送信される値。統合は"http"（非ワイルドカードホスト名にのみ利用可能）または"txt"を使用する必要があります。

2023年11月1日以前

2023年11月1日以前に、すべての現在のカスタムホスト名をDigiCertから移行することをお勧めします。これにより、証明書が更新される際にCloudflareがオフボーディングを管理するのではなく、制御された方法でカスタムホスト名を新しいシステムに移行することができます。

証明書の特定

更新が近づいている証明書を特定するには、SSL for SaaS Custom Hostnames Alertイベントの通知を設定します。

また、APIにGETリクエストを送信し、SSLオブジェクト内でssl_statusがpending_validationであり、certificate_authorityがdigicertである証明書を探すことができます。

特にDigiCert証明書を使用しているワイルドカードカスタムホスト名を見つけるには、GETリクエストを送信し、リクエストパラメータに?certificate_authority=digicert&wildcard=trueを含めます。

値の更新

以下の値を更新する必要があります。

• 証明書発行機関: この値を更新すると、証明書が即座に再発行されます。Cloudflareは新しい証明書が検証されるまで、以前の証明書を引き続き提供します。証明書が以前DigiCertを使用していた場合、この値を更新しないと、Cloudflareは更新時に発行CAを選択します。

  • ダッシュボード: SSL証明書発行機関の値をLet’s EncryptまたはGoogle Trust Servicesのいずれかに更新します。
  • API: SSLオブジェクトの"certificate_authority"フィールドに送信される値を"lets_encrypt"または"google"のいずれかに更新します。

  ノート

  ワイルドカードカスタムホスト名の証明書発行機関をLet’s EncryptまたはGoogle Trust Servicesに更新すると、検証のために2つのDCVトークンを追加する必要があります。

• DCVメソッド: この値は、証明書が更新される際にのみ更新できます。証明書が以前EmailまたはCNAMEバリデーションを使用していた場合、この値を更新しないと、Cloudflareはカスタムホスト名が更新される際に自動的にDCVメソッドをTXTまたはHTTPに設定します。非ワイルドカードカスタムホスト名の更新にはHTTPバリデーションを、ワイルドカードカスタムホスト名の更新にはTXTベースのDCVを使用します。

  • ダッシュボード: 証明書バリデーションメソッドの値をHTTPバリデーション（非ワイルドカードホスト名にのみ利用可能）またはTXTバリデーションのいずれかに更新します。
  • API: SSLオブジェクトの"method"フィールドに送信される値を"http"（非ワイルドカードホスト名にのみ利用可能）または"txt"のいずれかに更新します。

ノート

DigiCert証明書が更新された後、APIは新しい証明書パックIDを返します。

---

非ワイルドカードカスタムホスト名

非ワイルドカードホスト名の場合、カスタムホスト名がCloudflareを通じてトラフィックをプロキシしている限り、HTTP DCVを使用して自動的にDCVを実行できます。Cloudflareは、HTTPトークンを提供することにより、ホスト名のDCVを代行します。

他のバリデーションメソッドを使用している場合は、SSLオブジェクトの"method"フィールドを"http"に更新する必要があります。

カスタムホスト名がCloudflareを介してトラフィックをプロキシしていない場合、カスタムホスト名のドメイン所有者は、新しい証明書を検証して発行するためにTXTまたはHTTP DCVトークンを追加する必要があります。SaaSプロバイダーとして、あなたはこのトークンをカスタムホスト名のドメイン所有者と共有する責任があります。

ワイルドカードカスタムホスト名

To validate a certificate on a wildcard custom hostname, you should either set up Delegated DCV or TXT-based DCV.

Cloudflare recommends Delegated DCV as it is much simpler for you and your customers.

If you choose TXT-based DCV, Cloudflare requires two TXT DCV tokens - one for the apex and one for the wildcard - to be placed at your customer’s authoritative DNS provider in order for the wildcard certificate to issue or renew.

These two tokens are required because Let’s Encrypt and Google Trust Services follow the ACME Protocol ↗, which requires one DCV token to be placed for every hostname on the certificate.

If your hostname is using another validation method, you will need to update the "method" field in the SSL object to be "txt".

These tokens can be fetched through the API or the dashboard when the certificates are in a pending validation state during custom hostname creation or during certificate renewals.

API

You can access these tokens using the API with the GET custom hostnames endpoint.

For example, here are two tokens highlighted in the API response for a wildcard custom hostname.

Response

{
  "result": [
    {
      "id": "<HOSTNAME_ID>",
      "hostname": "<HOSTNAME>",
      "ssl": {
        "id": "<CERTIFICATE_ID>",
        "type": "dv",
        "method": "txt",
        "status": "pending_validation",
        "validation_records": [
          {
            "status": "pending",
            "txt_name": "_acme-challenge.<HOSTNAME>",
            "txt_value": "gESljTB8fBT1mIuoEASU0qcK-oTd46baarnU_ZGjJIY"
          },
          {
            "status": "pending",
            "txt_name": "_acme-challenge.<HOSTNAME>",
            "txt_value": "Pd8ViwX8KuA78kLbQHGmdEh4tQSpHBRxiNuJOYStEC0"
          }
        ],
        "settings": {
          "min_tls_version": "1.0"
        },
        "bundle_method": "ubiquitous",
        "wildcard": true,
        "certificate_authority": "google"
      },
      "status": "pending",
      "ownership_verification": {
        "type": "txt",
        "name": "_cf-custom-hostname.<HOSTNAME>",
        "value": "ac4a9a9d-5469-44cb-9d76-cea7541c9ff8"
      },
      "ownership_verification_http": {
        "http_url": "http://<HOSTNAME>/.well-known/cf-custom-hostname-challenge/fabdf93c-a4ce-4075-9f3f-c553a5f93bed",
        "http_body": "ac4a9a9d-5469-44cb-9d76-cea7541c9ff8"
      },
      "created_at": "2022-10-06T19:35:33.143257Z"
    }
  ]
}

Dashboard

1. Log in to the Cloudflare dashboard ↗ and select your account.
2. Select your Cloudflare for SaaS application.
3. Navigate to SSL/TLS > Custom Hostnames.
4. Select a hostname.
5. Copy the values for Certificate validation TXT name and Certificate validation TXT value.

If you had previously created a wildcard custom hostname, you would need to copy the values for two different validation TXT records.

Your customers should place these at their authoritative DNS provider under the "_acme-challenge" DNS label. Once these TXT records are in place, validation and certificate issuance will automatically complete.

ノート

These tokens are different than the hostname validation tokens.

必要なアクション

SaaSプロバイダーとして、あなたはこれらのDCVトークンを顧客と共有する責任があります。Let’s EncryptのDCVトークンは7日間有効で、Google Trust Servicesのトークンは14日間有効です。顧客がトークンをタイムリーに追加できるように、これを明確に伝えることをお勧めします。顧客がトークンの有効期限を超えてレコードを追加する場合、更新されたトークンを取得して共有する必要があります。そうしないと、証明書の検証と発行ができません。

顧客がこれらのトークンを追加すると、証明書のステータスはアクティブに変更されます。Cloudflareは、DCVトークンが証明書検証スケジュールに従って配置されているかどうかを定期的に確認します。顧客がレコードを追加した後、特定のホスト名の検証スケジュールを再起動するために、カスタムホスト名APIに変更なしの呼び出しを行うことができます。