Verwaltung von Ursprungs-CA-Zertifikaten von Cloudflare

Erfahren Sie, wie Sie mit einem Cloudflare Origin-CA-Zertifikat den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsseln. Erfahren Sie, wie Sie Ursprungsserver-CA-Zertifikate über Cloudflare verwalten, und erhalten Sie Ratschläge zur Installation von Origin CA-Zertifikaten auf Ihrem Ursprungswebserver.


Überblick

Verwenden Sie Ursprungsserver-CA-Zertifikate, um den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver zu verschlüsseln. Um mehr Komfort, Sicherheit und Leistung zu gewährleisten, empfiehlt Cloudflare ein Ursprungsserver-CA-Zertifikat anstelle eines selbstsignierten Zertifikats oder eines von einer Zertifizierungsstelle erworbenen Zertifikats. Mit einem Origin-CA-Zertifikat können Sie in der Cloudflare-App SSL/TLS die SSL-Modi „Vollständig“ und „Vollständig (streng)“ verwenden, ohne zuerst ein Zertifikat von einer Zertifizierungsstelle zu erwerben, um es auf Ihrem Ursprungswebserver zu installieren.

Origin-CA-Zertifikate verschlüsseln nur den Datenverkehr zwischen Cloudflare und Ihrem Origin-Webserver und werden von Client-Browsern nicht als vertrauenswürdig eingestuft, wenn sie direkt auf Ihre Ursprungsserverwebsite außerhalb von Cloudflare zugreifen. Bei Subdomains, die Origin-CA-Zertifikate verwenden, führt das Anhalten oder Deaktivieren von Cloudflare zu nicht vertrauenswürdigen Zertifikatfehlern für Website-Besucher.

Origin-CA-Zertifikate werden normalerweise in drei Schritten bereitgestellt:

  1. Erstellung eines Origin-CA-Zertifikats
  2. Installation eines Origin-CA-Zertifikats auf Ihrem Ursprungswebserver
  3. Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS
Die Google App Engine unterstützt keine CloudFlare Origin-CA-Zertifikate. 

Schritt 1 – Erstellung eines Ursprungsserver-CA-Zertifikats

Sie können Ihr eigenes Origin-CA-Zertifikat im Cloudflare-Dashboard erstellen:

  1. Melden Sie sich in Cloudflare an.

  2. Wählen Sie das entsprechende Konto für die Domain aus, für die ein Origin-CA-Zertifikat erforderlich ist.

  3. Wählen Sie die Domain aus.

  4. Klicken Sie auf die SSL/TLS-App.

  5. Scrollen Sie nach unten zu Ursprungszertifikaten.

  6. Klicken Sie auf Zertifikat erstellen, um das Fenster Ursprungszertifikat-Installation zu öffnen.

  7. Wählen Sie im Fenster Ursprungszertifikat-Installation eine der folgenden Optionen aus:
    • Lassen Sie Cloudflare einen privaten Schlüssel und eine CSR generieren – Dabei müssen Sie angeben, ob der private Schlüsseltyp RSA oder ECDSA ist.
    • Ich habe meinen eigenen privaten Schlüssel und CSR – die Zertifikatsignierungsanfrage muss in das Textfeld eingegeben werden.

  1. Listen Sie die Hostnamen (einschließlich Platzhalter) auf, die das Zertifikat mit SSL-Verschlüsselung schützen sollen. Standardmäßig sind der Wurzelzonen- und Wildcard-Hostname der ersten Ebene enthalten.
Sie können bis zu 100 Hostnamen oder Wildcard-Hostnamen in ein einzelnes Zertifikat und Hostnamen für andere Domains innerhalb desselben Cloudflare-Kontos aufnehmen. Sie können auch Unterstützung für mehrstufige Subdomains hinzufügen wie beispielsweise *.test.dev.www.example.com.
  1. Wählen Sie das Ablaufdatum des Zertifikats aus. Der Standardwert beträgt 15 Jahre und der Mindestwert 7 Tage.

  1. Klicken Sie auf Weiter.

  2. Wählen Sie das Schlüsselformat. Wählen Sie das Schlüsselpaarformat, das am besten zu Ihrer Umgebung passt. Die meisten OpenSSL-basierten Webserver wie Apache und NGINX erwarten PEM-Dateien (Base64-codiertes ASCII), funktionieren aber auch mit binären DER-Dateien. Benutzer von Windows und Apache Tomcat verwenden eher PKCS#7.

  3. Kopieren Sie die Details des signierten Ursprungszertifikats und des privaten Schlüssels in separate Dateien, wie im Fenster Ursprungszertifikat-Installation angegeben.
Stellen Sie sicher, dass Sie die Informationen zum privaten Schlüssel kopieren, bevor Sie auf OK klicken. Aus Sicherheitsgründen wird der private Schlüssel nach der Erstellung des Ursprungszertifikats nicht erneut angezeigt.

  1. Klicken Sie auf OK.

Schritt 2 – Installation eines Ursprungsserver-CA-Zertifikats auf Ihrem Ursprungswebserver

Das Hinzufügen eines Ursprungs-CA-Zertifikats zu einem Ursprungswebserver erfordert mehrere allgemeine Schritte:

  1. Laden Sie das Ursprungs-CA-Zertifikat (oben in Schritt 1 erstellt) auf Ihren Ursprungswebserver hoch.

  2. Verwenden Sie die unten aufgeführten verknüpften Installationshandbücher, um Ihre Webserverkonfiguration so zu aktualisieren, dass sie auf das Zertifikat verweist.

  3. (Optional für die meisten Ursprungswebserver) Laden Sie das CA-Stammzertifikat von Cloudflare auf Ihren Ursprungswebserver hoch.
Einige Webserver, wie z. B. IIS und cPanel, validieren das Ursprungs-CA-Stammzertifikat. Für solche Webserver ist während der Konfiguration das Cloudflare Stamm-RSA-Zertifikat erforderlich.
  1. Aktivieren Sie SSL und Port 443 auf Ihrem Ursprungswebserver.

  2. Stellen Sie sicher, dass Ihre Ursprungsserver-Firewall keine Verbindungen zu Port 443 blockiert.

In der folgenden Linkliste finden Sie Installationsanweisungen für Ihren Ursprungswebserver. Wenn Sie beim Installieren eines Ursprungs-CA-Zertifikats weitere Hilfe benötigen, wenden Sie sich an Ihren Hosting-Anbieter, Webadministrator oder Webserver-Anbieter.

 


Schritt 3 – Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS

Weisen Sie Cloudflare an, den Datenverkehr zu Ihrem Ursprungswebserver zu verschlüsseln, nachdem Sie das Cloudflare Ursprungs-CA-Zertifikat auf Ihrem Ursprungswebserver installiert haben. Stellen Sie den SSL-Modus in der Cloudflare-App SSL/TLS auf Vollständig oder Vollständig (streng) ein, um die Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu aktivieren.

Nehmen Sie diese Änderung global über die App SSL/TLS nur dann vor, wenn alle Ihre Ursprungshosts durch Ursprungs-CA-Zertifikate oder öffentlich vertrauenswürdige Zertifikate geschützt sind.  Andernfalls sollten Sie über die Cloudflare-App Seitenregeln die Einstellung SSL auf Vollständig oder Vollständig (streng) festlegen.
Um Umleitungsschleifenfehler zu vermeiden, stellen Sie zunächst sicher, dass Ihre Ursprungswebserverkonfiguration HTTPS nicht auf HTTP oder HTTP auf HTTPS in einer Art und Weise umleitet, die anders als der Cloudflare-SSL-Modus für Cloudflare-Verbindungen zu Ihrem Ursprungswebserver konfiguriert ist.

Schritt 4 (optional) – Hinzufügen von Cloudflare Ursprungsserver-CA-Stammzertifikaten

Einige Ursprungswebserver erfordern das Hochladen des Cloudflare Ursprungs-CA-Stammzertifikats. Im Folgenden finden Sie eine RSA- und ECC-Version des Cloudflare Ursprungs-CA-Stammzertifikats. Klicken Sie auf einen Link, um eine Datei herunterzuladen:

cPanel unterstützt keine ECC-Zertifikate. Verwenden Sie das unten stehende Ursprungs-CA-Stamm-RSA-Zertifikat.

Alternativ können Sie den Inhalt des Stammzertifikats erweitern, um es zu kopieren und in die ursprüngliche Webserverkonfiguration einzufügen:


Entfernen eines Ursprungsserver-CA-Zertifikats

Führen Sie die folgenden Schritte aus, um ein Ursprungs-CA-Zertifikat zu widerrufen:

  1. Melden Sie sich in Cloudflare an.

  1. Wählen Sie das entsprechende Konto für die Domain aus, für die das Ursprungs-CA-Zertifikat widerrufen werden muss.

  1. Wählen Sie die Domain aus.

  1. Klicken Sie auf die App SSL/TLS und scrollen Sie nach unten zu Ursprungszertifikaten.
Besuchern werden Fehler bezüglich der Unsicherheit der Website angezeigt, bis ein Origin-CA-Zertifikat ersetzt wird. Um Fehler zu vermeiden, stellen Sie sicher, dass der SSL-Modus entweder global über die App SSL/TLS oder für einen bestimmten Hostnamen über die App Seitenregeln auf „Vollständig“ oder „Flexibel“ und nicht auf „Vollständig (streng)“ eingestellt ist, bevor Sie ein Ursprungs-CA-Zertifikat widerrufen.
  1. Klicken Sie in der Liste der Ursprungs-CA-Zertifikate auf das Symbol X rechts neben dem Zertifikatnamen.

  1. Das Bestätigungsfenster Ursprungszertifikat widerrufen wird angezeigt.

  1. Aktivieren Sie das Kontrollkästchen zur Bestätigung und klicken Sie auf Widerrufen.

Verwandte Ressourcen

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk