Erfahren Sie, wie Sie mit einem Cloudflare Origin-CA-Zertifikat den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsseln. Erfahren Sie, wie Sie Ursprungsserver-CA-Zertifikate über Cloudflare verwalten, und erhalten Sie Ratschläge zur Installation von Origin CA-Zertifikaten auf Ihrem Ursprungswebserver.
- Überblick
- Schritt 1 – Erstellung eines Ursprungsserver-CA-Zertifikats
- Schritt 2 – Installation eines Ursprungsserver-CA-Zertifikats auf Ihrem Ursprungswebserver
- Schritt 3 – Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS
- Schritt 4 (optional) – Hinzufügen von Cloudflare Ursprungsserver-CA-Stammzertifikaten
- Entfernen eines Ursprungsserver-CA-Zertifikats
- Verwandte Ressourcen
Überblick
Verwenden Sie Ursprungsserver-CA-Zertifikate, um den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver zu verschlüsseln. Um mehr Komfort, Sicherheit und Leistung zu gewährleisten, empfiehlt Cloudflare ein Ursprungsserver-CA-Zertifikat anstelle eines selbstsignierten Zertifikats oder eines von einer Zertifizierungsstelle erworbenen Zertifikats. Mit einem Origin-CA-Zertifikat können Sie in der Cloudflare-App SSL/TLS die SSL-Modi „Vollständig“ und „Vollständig (streng)“ verwenden, ohne zuerst ein Zertifikat von einer Zertifizierungsstelle zu erwerben, um es auf Ihrem Ursprungswebserver zu installieren.
Origin-CA-Zertifikate werden normalerweise in drei Schritten bereitgestellt:
- Erstellung eines Origin-CA-Zertifikats
- Installation eines Origin-CA-Zertifikats auf Ihrem Ursprungswebserver
- Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS
Schritt 1 – Erstellung eines Ursprungsserver-CA-Zertifikats
Sie können Ihr eigenes Origin-CA-Zertifikat im Cloudflare-Dashboard erstellen:
- Melden Sie sich in Cloudflare an.
- Wählen Sie das entsprechende Konto für die Domain aus, für die ein Origin-CA-Zertifikat erforderlich ist.
- Wählen Sie die Domain aus.
- Klicken Sie auf die SSL/TLS-App.
- Scrollen Sie nach unten zu Ursprungszertifikaten.
- Klicken Sie auf Zertifikat erstellen, um das Fenster Ursprungszertifikat-Installation zu öffnen.
- Wählen Sie im Fenster Ursprungszertifikat-Installation eine der folgenden Optionen aus:
- Lassen Sie Cloudflare einen privaten Schlüssel und eine CSR generieren – Dabei müssen Sie angeben, ob der private Schlüsseltyp RSA oder ECDSA ist.
- Ich habe meinen eigenen privaten Schlüssel und CSR – die Zertifikatsignierungsanfrage muss in das Textfeld eingegeben werden.
- Listen Sie die Hostnamen (einschließlich Platzhalter) auf, die das Zertifikat mit SSL-Verschlüsselung schützen sollen. Standardmäßig sind der Wurzelzonen- und Wildcard-Hostname der ersten Ebene enthalten.
- Wählen Sie das Ablaufdatum des Zertifikats aus. Der Standardwert beträgt 15 Jahre und der Mindestwert 7 Tage.
- Klicken Sie auf Weiter.
- Wählen Sie das Schlüsselformat. Wählen Sie das Schlüsselpaarformat, das am besten zu Ihrer Umgebung passt. Die meisten OpenSSL-basierten Webserver wie Apache und NGINX erwarten PEM-Dateien (Base64-codiertes ASCII), funktionieren aber auch mit binären DER-Dateien. Benutzer von Windows und Apache Tomcat verwenden eher PKCS#7.
- Kopieren Sie die Details des signierten Ursprungszertifikats und des privaten Schlüssels in separate Dateien, wie im Fenster Ursprungszertifikat-Installation angegeben.
- Klicken Sie auf OK.
Schritt 2 – Installation eines Ursprungsserver-CA-Zertifikats auf Ihrem Ursprungswebserver
Das Hinzufügen eines Ursprungs-CA-Zertifikats zu einem Ursprungswebserver erfordert mehrere allgemeine Schritte:
- Laden Sie das Ursprungs-CA-Zertifikat (oben in Schritt 1 erstellt) auf Ihren Ursprungswebserver hoch.
- Verwenden Sie die unten aufgeführten verknüpften Installationshandbücher, um Ihre Webserverkonfiguration so zu aktualisieren, dass sie auf das Zertifikat verweist.
- (Optional für die meisten Ursprungswebserver) Laden Sie das CA-Stammzertifikat von Cloudflare auf Ihren Ursprungswebserver hoch.
- Aktivieren Sie SSL und Port 443 auf Ihrem Ursprungswebserver.
- Stellen Sie sicher, dass Ihre Ursprungsserver-Firewall keine Verbindungen zu Port 443 blockiert.
In der folgenden Linkliste finden Sie Installationsanweisungen für Ihren Ursprungswebserver. Wenn Sie beim Installieren eines Ursprungs-CA-Zertifikats weitere Hilfe benötigen, wenden Sie sich an Ihren Hosting-Anbieter, Webadministrator oder Webserver-Anbieter.
- Apache httpdpd
- GoDaddy Hosting (mit cPanel)
- Microsoft IIS 7
- Microsoft IIS 8 and 8.5
- Microsoft IIS 10
- NGINX
- Tomcat
- 2X Anwendungsserver
- 3Com Wireless LAN
- Adobe Connect
- AEP Netilla
- Alpha Five
- Amazon Web Services
- Barracuda Spam & Virus
- Barracuda SSL VPN
- Cerberus FTP Server
- Checkpoint VPN
- Cisco ASA
- Cisco Mobility
- Citrix Access Gateway
- Citrix Access Essentials
- Citrix NetScaler VPX
- Cobalt RaQ3x/4x/XTR
- Courier IMAP
- cPanel
- Ensim Control Panel
- F5 BIG-IP
- F5 FirePass
- FileZilla Server
- Hsphere Web Server
- IBM HTTP Server
- iPlanet
- Java (Generic) Web-Server
- Lighttpd
- Lotus Domino Go 4.6.2.6+
- Lotus Domino 4.6x & 5.0x
- Lotus Domino 8.5
- Lync 2010
- Lync 2013
- Mac OS X Lion
- Mac OS X Mavericks
- Mac OS X Yosemite
- Mac OS X El Capitan
- Microsoft AD LDAP (2008)
- Microsoft AD LDAP (2012)
- Microsoft AD FS
- Microsoft Exchange 2007
- Microsoft Exchange 2010
- Microsoft Exchange 2013
- Microsoft Forefront TMG
- Microsoft IIS 4.x
- Microsoft IIS 5.x/6.x
- Microsoft Office 365
- Microsoft Office Comm Server
- Microsoft Outlook Web Access
- Microsoft SharePoint 2010
- Microsoft SharePoint 2013
- NetScreen
- Novell ConsoleOne
- Novell I-Chain
- Oracle Wallet Manager
- Parse.com
- Plesk Server
- Qmail
- Radware Alteon
- Small Business Server 2011
- Small Business Server 2008
- SonicWALL NSA
- SonicWALL SSL VPN
- Sun Java Web Server
- SurgeMail
- Ubuntu Server mit Apache2
- Weblogic 8 & 9
- Weblogic (vorherige Versionen)
- Webmin
- Website Pro
- Websphere
- WebSTAR
- WHM
- Windows Azure Cloud Service
- Windows Azure Website
- Zeus Loadbalancer
- Zeus Webserver
- Zimbra
- Zyxel Zywall
Schritt 3 – Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS
Weisen Sie Cloudflare an, den Datenverkehr zu Ihrem Ursprungswebserver zu verschlüsseln, nachdem Sie das Cloudflare Ursprungs-CA-Zertifikat auf Ihrem Ursprungswebserver installiert haben. Stellen Sie den SSL-Modus in der Cloudflare-App SSL/TLS auf Vollständig oder Vollständig (streng) ein, um die Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu aktivieren.
Schritt 4 (optional) – Hinzufügen von Cloudflare Ursprungsserver-CA-Stammzertifikaten
Einige Ursprungswebserver erfordern das Hochladen des Cloudflare Ursprungs-CA-Stammzertifikats. Im Folgenden finden Sie eine RSA- und ECC-Version des Cloudflare Ursprungs-CA-Stammzertifikats. Klicken Sie auf einen Link, um eine Datei herunterzuladen:
Alternativ können Sie den Inhalt des Stammzertifikats erweitern, um es zu kopieren und in die ursprüngliche Webserverkonfiguration einzufügen:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Entfernen eines Ursprungsserver-CA-Zertifikats
Führen Sie die folgenden Schritte aus, um ein Ursprungs-CA-Zertifikat zu widerrufen:
- Melden Sie sich in Cloudflare an.
- Wählen Sie das entsprechende Konto für die Domain aus, für die das Ursprungs-CA-Zertifikat widerrufen werden muss.
- Wählen Sie die Domain aus.
- Klicken Sie auf die App SSL/TLS und scrollen Sie nach unten zu Ursprungszertifikaten.
- Klicken Sie in der Liste der Ursprungs-CA-Zertifikate auf das Symbol X rechts neben dem Zertifikatnamen.
- Das Bestätigungsfenster Ursprungszertifikat widerrufen wird angezeigt.
- Aktivieren Sie das Kontrollkästchen zur Bestätigung und klicken Sie auf Widerrufen.