Verwaltung von Ursprungs-CA-Zertifikaten von Cloudflare

Avatar
Jeremy L Pugh
Folgen

Erfahren Sie, wie Sie mit einem Cloudflare Origin-CA-Zertifikat den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsseln. Erfahren Sie, wie Sie Ursprungsserver-CA-Zertifikate über Cloudflare verwalten, und erhalten Sie Ratschläge zur Installation von Origin CA-Zertifikaten auf Ihrem Ursprungswebserver.

Überblick

Verwenden Sie Ursprungsserver-CA-Zertifikate, um den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver zu verschlüsseln. Um mehr Komfort, Sicherheit und Leistung zu gewährleisten, empfiehlt Cloudflare ein Ursprungsserver-CA-Zertifikat anstelle eines selbstsignierten Zertifikats oder eines von einer Zertifizierungsstelle erworbenen Zertifikats. Mit einem Origin-CA-Zertifikat können Sie in der Cloudflare-App SSL/TLS die SSL-Modi „Vollständig“ und „Vollständig (streng)“ verwenden, ohne zuerst ein Zertifikat von einer Zertifizierungsstelle zu erwerben, um es auf Ihrem Ursprungswebserver zu installieren.

Origin-CA-Zertifikate verschlüsseln nur den Datenverkehr zwischen Cloudflare und Ihrem Origin-Webserver und werden von Client-Browsern nicht als vertrauenswürdig eingestuft, wenn sie direkt auf Ihre Ursprungsserverwebsite außerhalb von Cloudflare zugreifen. Bei Subdomains, die Origin-CA-Zertifikate verwenden, führt das Anhalten oder Deaktivieren von Cloudflare zu nicht vertrauenswürdigen Zertifikatfehlern für Website-Besucher.

Origin-CA-Zertifikate werden normalerweise in drei Schritten bereitgestellt:

  1. Erstellung eines Origin-CA-Zertifikats
  2. Installation eines Origin-CA-Zertifikats auf Ihrem Ursprungswebserver
  3. Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS
Die Google App Engine unterstützt keine CloudFlare Origin-CA-Zertifikate. 

Schritt 1 – Erstellung eines Ursprungsserver-CA-Zertifikats

Sie können Ihr eigenes Origin-CA-Zertifikat im Cloudflare-Dashboard erstellen:

  1. Melden Sie sich in Cloudflare an.

  2. Wählen Sie das entsprechende Konto für die Domain aus, für die ein Origin-CA-Zertifikat erforderlich ist.

  3. Wählen Sie die Domain aus.

  4. Klicken Sie auf die SSL/TLS-App.

  5. Scrollen Sie nach unten zu Ursprungszertifikaten.

  6. Klicken Sie auf Zertifikat erstellen, um das Fenster Ursprungszertifikat-Installation zu öffnen.

  7. Wählen Sie im Fenster Ursprungszertifikat-Installation eine der folgenden Optionen aus:
    • Lassen Sie Cloudflare einen privaten Schlüssel und eine CSR generieren – Dabei müssen Sie angeben, ob der private Schlüsseltyp RSA oder ECDSA ist.
    • Ich habe meinen eigenen privaten Schlüssel und CSR – die Zertifikatsignierungsanfrage muss in das Textfeld eingegeben werden.

  1. Listen Sie die Hostnamen (einschließlich Platzhalter) auf, die das Zertifikat mit SSL-Verschlüsselung schützen sollen. Standardmäßig sind der Wurzelzonen- und Wildcard-Hostname der ersten Ebene enthalten.
Sie können bis zu 100 Hostnamen oder Wildcard-Hostnamen in ein einzelnes Zertifikat und Hostnamen für andere Domains innerhalb desselben Cloudflare-Kontos aufnehmen. Sie können auch Unterstützung für mehrstufige Subdomains hinzufügen wie beispielsweise *.test.dev.www.example.com.
  1. Wählen Sie das Ablaufdatum des Zertifikats aus. Der Standardwert beträgt 15 Jahre und der Mindestwert 7 Tage.

  1. Klicken Sie auf Weiter.

  2. Wählen Sie das Schlüsselformat. Wählen Sie das Schlüsselpaarformat, das am besten zu Ihrer Umgebung passt. Die meisten OpenSSL-basierten Webserver wie Apache und NGINX erwarten PEM-Dateien (Base64-codiertes ASCII), funktionieren aber auch mit binären DER-Dateien. Benutzer von Windows und Apache Tomcat verwenden eher PKCS#7.

  3. Kopieren Sie die Details des signierten Ursprungszertifikats und des privaten Schlüssels in separate Dateien, wie im Fenster Ursprungszertifikat-Installation angegeben.
Stellen Sie sicher, dass Sie die Informationen zum privaten Schlüssel kopieren, bevor Sie auf OK klicken. Aus Sicherheitsgründen wird der private Schlüssel nach der Erstellung des Ursprungszertifikats nicht erneut angezeigt.

  1. Klicken Sie auf OK.
Cloudflare Ursprungs-CA-Zertifikate können über die Cloudflare-API erstellt werden.

Schritt 2 – Installation eines Ursprungsserver-CA-Zertifikats auf Ihrem Ursprungswebserver

Das Hinzufügen eines Ursprungs-CA-Zertifikats zu einem Ursprungswebserver erfordert mehrere allgemeine Schritte:

  1. Laden Sie das Ursprungs-CA-Zertifikat (oben in Schritt 1 erstellt) auf Ihren Ursprungswebserver hoch.

  2. Verwenden Sie die unten aufgeführten verknüpften Installationshandbücher, um Ihre Webserverkonfiguration so zu aktualisieren, dass sie auf das Zertifikat verweist.

  3. (Optional für die meisten Ursprungswebserver) Laden Sie das CA-Stammzertifikat von Cloudflare auf Ihren Ursprungswebserver hoch.
Einige Webserver, wie z. B. IIS und cPanel, validieren das Ursprungs-CA-Stammzertifikat. Für solche Webserver ist während der Konfiguration das Cloudflare Stamm-RSA-Zertifikat erforderlich.
  1. Aktivieren Sie SSL und Port 443 auf Ihrem Ursprungswebserver.

  2. Stellen Sie sicher, dass Ihre Ursprungsserver-Firewall keine Verbindungen zu Port 443 blockiert.

In der folgenden Linkliste finden Sie Installationsanweisungen für Ihren Ursprungswebserver. Wenn Sie beim Installieren eines Ursprungs-CA-Zertifikats weitere Hilfe benötigen, wenden Sie sich an Ihren Hosting-Anbieter, Webadministrator oder Webserver-Anbieter.

 

Klicken Sie hier, um die Anweisungen zur Zertifikatinstallation für zusätzliche Ursprungswebserver zu erweitern.

Schritt 3 – Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS

Weisen Sie Cloudflare an, den Datenverkehr zu Ihrem Ursprungswebserver zu verschlüsseln, nachdem Sie das Cloudflare Ursprungs-CA-Zertifikat auf Ihrem Ursprungswebserver installiert haben. Stellen Sie den SSL-Modus in der Cloudflare-App SSL/TLS auf Vollständig oder Vollständig (streng) ein, um die Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu aktivieren.

Nehmen Sie diese Änderung global über die App SSL/TLS nur dann vor, wenn alle Ihre Ursprungshosts durch Ursprungs-CA-Zertifikate oder öffentlich vertrauenswürdige Zertifikate geschützt sind.  Andernfalls sollten Sie über die Cloudflare-App Seitenregeln die Einstellung SSL auf Vollständig oder Vollständig (streng) festlegen.
Um Umleitungsschleifenfehler zu vermeiden, stellen Sie zunächst sicher, dass Ihre Ursprungswebserverkonfiguration HTTPS nicht auf HTTP oder HTTP auf HTTPS in einer Art und Weise umleitet, die anders als der Cloudflare-SSL-Modus für Cloudflare-Verbindungen zu Ihrem Ursprungswebserver konfiguriert ist.

Schritt 4 (optional) – Hinzufügen von Cloudflare Ursprungsserver-CA-Stammzertifikaten

Einige Ursprungswebserver erfordern das Hochladen des Cloudflare Ursprungs-CA-Stammzertifikats. Im Folgenden finden Sie eine RSA- und ECC-Version des Cloudflare Ursprungs-CA-Stammzertifikats. Klicken Sie auf einen Link, um eine Datei herunterzuladen:

cPanel unterstützt keine ECC-Zertifikate. Verwenden Sie das unten stehende Ursprungs-CA-Stamm-RSA-Zertifikat.

Alternativ können Sie den Inhalt des Stammzertifikats erweitern, um es zu kopieren und in die ursprüngliche Webserverkonfiguration einzufügen:

Cloudflare Origin-CA – RSA-Root

-----BEGIN CERTIFICATE-----
MIID/DCCAuagAwIBAgIID+rOSdTGfGcwCwYJKoZIhvcNAQELMIGLMQswCQYDVQQG
EwJVUzEZMBcGA1UEChMQQ2xvdWRGbGFyZSwgSW5jLjE0MDIGA1UECxMrQ2xvdWRG
bGFyZSBPcmlnaW4gU1NMIENlcnRpZmljYXRlIEF1dGhvcml0eTEWMBQGA1UEBxMN
U2FuIEZyYW5jaXNjbzETMBEGA1UECBMKQ2FsaWZvcm5pYTAeFw0xNDExMTMyMDM4
NTBaFw0xOTExMTQwMTQzNTBaMIGLMQswCQYDVQQGEwJVUzEZMBcGA1UEChMQQ2xv
dWRGbGFyZSwgSW5jLjE0MDIGA1UECxMrQ2xvdWRGbGFyZSBPcmlnaW4gU1NMIENl
cnRpZmljYXRlIEF1dGhvcml0eTEWMBQGA1UEBxMNU2FuIEZyYW5jaXNjbzETMBEG
A1UECBMKQ2FsaWZvcm5pYTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AMBIlWf1KEKR5hbB75OYrAcUXobpD/AxvSYRXr91mbRu+lqE7YbyyRUShQh15lem
ef+umeEtPZoLFLhcLyczJxOhI+siLGDQm/a/UDkWvAXYa5DZ+pHU5ct5nZ8pGzqJ
p8G1Hy5RMVYDXZT9F6EaHjMG0OOffH6Ih25TtgfyyrjXycwDH0u6GXt+G/rywcqz
/9W4Aki3XNQMUHNQAtBLEEIYHMkyTYJxuL2tXO6ID5cCsoWw8meHufTeZW2DyUpl
yP3AHt4149RQSyWZMJ6AyntL9d8Xhfpxd9rJkh9Kge2iV9rQTFuE1rRT5s7OSJcK
xUsklgHcGHYMcNfNMilNHb8CAwEAAaNmMGQwDgYDVR0PAQH/BAQDAgAGMBIGA1Ud
EwEB/wQIMAYBAf8CAQIwHQYDVR0OBBYEFCToU1ddfDRAh6nrlNu64RZ4/CmkMB8G
A1UdIwQYMBaAFCToU1ddfDRAh6nrlNu64RZ4/CmkMAsGCSqGSIb3DQEBCwOCAQEA
cQDBVAoRrhhsGegsSFsv1w8v27zzHKaJNv6ffLGIRvXK8VKKK0gKXh2zQtN9SnaD
gYNe7Pr4C3I8ooYKRJJWLsmEHdGdnYYmj0OJfGrfQf6MLIc/11bQhLepZTxdhFYh
QGgDl6gRmb8aDwk7Q92BPvek5nMzaWlP82ixavvYI+okoSY8pwdcVKobx6rWzMWz
ZEC9M6H3F0dDYE23XcCFIdgNSAmmGyXPBstOe0aAJXwJTxOEPn36VWr0PKIQJy5Y
4o1wpMpqCOIwWc8J9REV/REzN6Z1LXImdUgXIXOwrz56gKUJzPejtBQyIGj0mveX
Fu6q54beR89jDc+oABmOgg==
-----END CERTIFICATE-----

Cloudflare Origin-CA – ECC-Root

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Entfernen eines Ursprungsserver-CA-Zertifikats

Führen Sie die folgenden Schritte aus, um ein Ursprungs-CA-Zertifikat zu widerrufen:

  1. Melden Sie sich in Cloudflare an.

  1. Wählen Sie das entsprechende Konto für die Domain aus, für die das Ursprungs-CA-Zertifikat widerrufen werden muss.

  1. Wählen Sie die Domain aus.

  1. Klicken Sie auf die App SSL/TLS und scrollen Sie nach unten zu Ursprungszertifikaten.
Besuchern werden Fehler bezüglich der Unsicherheit der Website angezeigt, bis ein Origin-CA-Zertifikat ersetzt wird. Um Fehler zu vermeiden, stellen Sie sicher, dass der SSL-Modus entweder global über die App SSL/TLS oder für einen bestimmten Hostnamen über die App Seitenregeln auf „Vollständig“ oder „Flexibel“ und nicht auf „Vollständig (streng)“ eingestellt ist, bevor Sie ein Ursprungs-CA-Zertifikat widerrufen.
  1. Klicken Sie in der Liste der Ursprungs-CA-Zertifikate auf das Symbol X rechts neben dem Zertifikatnamen.

  1. Das Bestätigungsfenster Ursprungszertifikat widerrufen wird angezeigt.

  1. Aktivieren Sie das Kontrollkästchen zur Bestätigung und klicken Sie auf Widerrufen.

Verwandte Ressourcen

War dieser Beitrag hilfreich?
19 von 44 fanden dies hilfreich
Not finding what you need?
Fragen Sie die Community   Einen Antrag stellen

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Popular questions: Warum ist meine Website so langsam?, Fehler 522, Ich erwarte einen Anstieg des Datenverkehrs.

Powered by Zendesk