Verwaltung von Ursprungs-CA-Zertifikaten von Cloudflare

Cloudflare Support
()
Folgen

Erfahren Sie, wie Sie mit einem Cloudflare Origin-CA-Zertifikat den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver verschlüsseln. Erfahren Sie, wie Sie Ursprungsserver-CA-Zertifikate über Cloudflare verwalten, und erhalten Sie Ratschläge zur Installation von Origin CA-Zertifikaten auf Ihrem Ursprungswebserver.

Überblick

Verwenden Sie Ursprungsserver-CA-Zertifikate, um den Datenverkehr zwischen Cloudflare und Ihrem Ursprungswebserver zu verschlüsseln. Um mehr Komfort, Sicherheit und Leistung zu gewährleisten, empfiehlt Cloudflare ein Ursprungsserver-CA-Zertifikat anstelle eines selbstsignierten Zertifikats oder eines von einer Zertifizierungsstelle erworbenen Zertifikats. Mit einem Origin-CA-Zertifikat können Sie in der Cloudflare-App SSL/TLS die SSL-Modi „Vollständig“ und „Vollständig (streng)“ verwenden, ohne zuerst ein Zertifikat von einer Zertifizierungsstelle zu erwerben, um es auf Ihrem Ursprungswebserver zu installieren.

Origin-CA-Zertifikate verschlüsseln nur den Datenverkehr zwischen Cloudflare und Ihrem Origin-Webserver und werden von Client-Browsern nicht als vertrauenswürdig eingestuft, wenn sie direkt auf Ihre Ursprungsserverwebsite außerhalb von Cloudflare zugreifen. Bei Subdomains, die Origin-CA-Zertifikate verwenden, führt das Anhalten oder Deaktivieren von Cloudflare zu nicht vertrauenswürdigen Zertifikatfehlern für Website-Besucher.

Origin-CA-Zertifikate werden normalerweise in drei Schritten bereitgestellt:

  1. Erstellung eines Origin-CA-Zertifikats
  2. Installation eines Origin-CA-Zertifikats auf Ihrem Ursprungswebserver
  3. Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS
Die Google App Engine unterstützt keine CloudFlare Origin-CA-Zertifikate. 

Schritt 1 – Erstellung eines Ursprungsserver-CA-Zertifikats

Sie können Ihr eigenes Origin-CA-Zertifikat im Cloudflare-Dashboard erstellen:

  1. Melden Sie sich in Cloudflare an.

  2. Wählen Sie das entsprechende Konto für die Domain aus, für die ein Origin-CA-Zertifikat erforderlich ist.

  3. Wählen Sie die Domain aus.

  4. Klicken Sie auf die SSL/TLS-App.

  5. Scrollen Sie nach unten zu Ursprungszertifikaten.

  6. Klicken Sie auf Zertifikat erstellen, um das Fenster Ursprungszertifikat-Installation zu öffnen.

  7. Wählen Sie im Fenster Ursprungszertifikat-Installation eine der folgenden Optionen aus:
    • Lassen Sie Cloudflare einen privaten Schlüssel und eine CSR generieren – Dabei müssen Sie angeben, ob der private Schlüsseltyp RSA oder ECDSA ist.
    • Ich habe meinen eigenen privaten Schlüssel und CSR – die Zertifikatsignierungsanfrage muss in das Textfeld eingegeben werden.

  1. Listen Sie die Hostnamen (einschließlich Platzhalter) auf, die das Zertifikat mit SSL-Verschlüsselung schützen sollen. Standardmäßig sind der Wurzelzonen- und Wildcard-Hostname der ersten Ebene enthalten.
Sie können bis zu 100 Hostnamen oder Wildcard-Hostnamen in ein einzelnes Zertifikat und Hostnamen für andere Domains innerhalb desselben Cloudflare-Kontos aufnehmen. Sie können auch Unterstützung für mehrstufige Subdomains hinzufügen wie beispielsweise *.test.dev.www.example.com.
  1. Wählen Sie das Ablaufdatum des Zertifikats aus. Der Standardwert beträgt 15 Jahre und der Mindestwert 7 Tage.

  1. Klicken Sie auf Weiter.

  2. Wählen Sie das Schlüsselformat. Wählen Sie das Schlüsselpaarformat, das am besten zu Ihrer Umgebung passt. Die meisten OpenSSL-basierten Webserver wie Apache und NGINX erwarten PEM-Dateien (Base64-codiertes ASCII), funktionieren aber auch mit binären DER-Dateien. Benutzer von Windows und Apache Tomcat verwenden eher PKCS#7.

  3. Kopieren Sie die Details des signierten Ursprungszertifikats und des privaten Schlüssels in separate Dateien, wie im Fenster Ursprungszertifikat-Installation angegeben.
Stellen Sie sicher, dass Sie die Informationen zum privaten Schlüssel kopieren, bevor Sie auf OK klicken. Aus Sicherheitsgründen wird der private Schlüssel nach der Erstellung des Ursprungszertifikats nicht erneut angezeigt.

  1. Klicken Sie auf OK.
Cloudflare Ursprungs-CA-Zertifikate können über die Cloudflare-API erstellt werden.

Schritt 2 – Installation eines Ursprungsserver-CA-Zertifikats auf Ihrem Ursprungswebserver

Das Hinzufügen eines Ursprungs-CA-Zertifikats zu einem Ursprungswebserver erfordert mehrere allgemeine Schritte:

  1. Laden Sie das Ursprungs-CA-Zertifikat (oben in Schritt 1 erstellt) auf Ihren Ursprungswebserver hoch.

  2. Verwenden Sie die unten aufgeführten verknüpften Installationshandbücher, um Ihre Webserverkonfiguration so zu aktualisieren, dass sie auf das Zertifikat verweist.

  3. (Optional für die meisten Ursprungswebserver) Laden Sie das CA-Stammzertifikat von Cloudflare auf Ihren Ursprungswebserver hoch.
Einige Webserver, wie z. B. IIS und cPanel, validieren das Ursprungs-CA-Stammzertifikat. Für solche Webserver ist während der Konfiguration das Cloudflare Stamm-RSA-Zertifikat erforderlich.
  1. Aktivieren Sie SSL und Port 443 auf Ihrem Ursprungswebserver.

  2. Stellen Sie sicher, dass Ihre Ursprungsserver-Firewall keine Verbindungen zu Port 443 blockiert.

In der folgenden Linkliste finden Sie Installationsanweisungen für Ihren Ursprungswebserver. Wenn Sie beim Installieren eines Ursprungs-CA-Zertifikats weitere Hilfe benötigen, wenden Sie sich an Ihren Hosting-Anbieter, Webadministrator oder Webserver-Anbieter.

 

Klicken Sie hier, um die Anweisungen zur Zertifikatinstallation für zusätzliche Ursprungswebserver zu erweitern.

Schritt 3 – Konfiguration des SSL-Modus in der Cloudflare-App SSL/TLS

Weisen Sie Cloudflare an, den Datenverkehr zu Ihrem Ursprungswebserver zu verschlüsseln, nachdem Sie das Cloudflare Ursprungs-CA-Zertifikat auf Ihrem Ursprungswebserver installiert haben. Stellen Sie den SSL-Modus in der Cloudflare-App SSL/TLS auf Vollständig oder Vollständig (streng) ein, um die Verschlüsselung zwischen Cloudflare und Ihrem Ursprungswebserver zu aktivieren.

Nehmen Sie diese Änderung global über die App SSL/TLS nur dann vor, wenn alle Ihre Ursprungshosts durch Ursprungs-CA-Zertifikate oder öffentlich vertrauenswürdige Zertifikate geschützt sind.  Andernfalls sollten Sie über die Cloudflare-App Seitenregeln die Einstellung SSL auf Vollständig oder Vollständig (streng) festlegen.
Um Umleitungsschleifenfehler zu vermeiden, stellen Sie zunächst sicher, dass Ihre Ursprungswebserverkonfiguration HTTPS nicht auf HTTP oder HTTP auf HTTPS in einer Art und Weise umleitet, die anders als der Cloudflare-SSL-Modus für Cloudflare-Verbindungen zu Ihrem Ursprungswebserver konfiguriert ist.

Schritt 4 (optional) – Hinzufügen von Cloudflare Ursprungsserver-CA-Stammzertifikaten

Einige Ursprungswebserver erfordern das Hochladen des Cloudflare Ursprungs-CA-Stammzertifikats. Im Folgenden finden Sie eine RSA- und ECC-Version des Cloudflare Ursprungs-CA-Stammzertifikats. Klicken Sie auf einen Link, um eine Datei herunterzuladen:

cPanel unterstützt keine ECC-Zertifikate. Verwenden Sie das unten stehende Ursprungs-CA-Stamm-RSA-Zertifikat.

Alternativ können Sie den Inhalt des Stammzertifikats erweitern, um es zu kopieren und in die ursprüngliche Webserverkonfiguration einzufügen:

Cloudflare Origin-CA – RSA-Root

-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIID+rOSdTGfGcwDQYJKoZIhvcNAQELBQAwgYsxCzAJBgNV
BAYTAlVTMRkwFwYDVQQKExBDbG91ZEZsYXJlLCBJbmMuMTQwMgYDVQQLEytDbG91
ZEZsYXJlIE9yaWdpbiBTU0wgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MRYwFAYDVQQH
Ew1TYW4gRnJhbmNpc2NvMRMwEQYDVQQIEwpDYWxpZm9ybmlhMB4XDTE5MDgyMzIx
MDgwMFoXDTI5MDgxNTE3MDAwMFowgYsxCzAJBgNVBAYTAlVTMRkwFwYDVQQKExBD
bG91ZEZsYXJlLCBJbmMuMTQwMgYDVQQLEytDbG91ZEZsYXJlIE9yaWdpbiBTU0wg
Q2VydGlmaWNhdGUgQXV0aG9yaXR5MRYwFAYDVQQHEw1TYW4gRnJhbmNpc2NvMRMw
EQYDVQQIEwpDYWxpZm9ybmlhMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
AQEAwEiVZ/UoQpHmFsHvk5isBxRehukP8DG9JhFev3WZtG76WoTthvLJFRKFCHXm
V6Z5/66Z4S09mgsUuFwvJzMnE6Ej6yIsYNCb9r9QORa8BdhrkNn6kdTly3mdnykb
OomnwbUfLlExVgNdlP0XoRoeMwbQ4598foiHblO2B/LKuNfJzAMfS7oZe34b+vLB
yrP/1bgCSLdc1AxQc1AC0EsQQhgcyTJNgnG4va1c7ogPlwKyhbDyZ4e59N5lbYPJ
SmXI/cAe3jXj1FBLJZkwnoDKe0v13xeF+nF32smSH0qB7aJX2tBMW4TWtFPmzs5I
lwrFSySWAdwYdgxw180yKU0dvwIDAQABo2YwZDAOBgNVHQ8BAf8EBAMCAQYwEgYD
VR0TAQH/BAgwBgEB/wIBAjAdBgNVHQ4EFgQUJOhTV118NECHqeuU27rhFnj8KaQw
HwYDVR0jBBgwFoAUJOhTV118NECHqeuU27rhFnj8KaQwDQYJKoZIhvcNAQELBQAD
ggEBAHwOf9Ur1l0Ar5vFE6PNrZWrDfQIMyEfdgSKofCdTckbqXNTiXdgbHs+TWoQ
wAB0pfJDAHJDXOTCWRyTeXOseeOi5Btj5CnEuw3P0oXqdqevM1/+uWp0CM35zgZ8
VD4aITxity0djzE6Qnx3Syzz+ZkoBgTnNum7d9A66/V636x4vTeqbZFBr9erJzgz
hhurjcoacvRNhnjtDRM0dPeiCJ50CP3wEYuvUzDHUaowOsnLCjQIkWbR7Ni6KEIk
MOz2U0OBSif3FTkhCgZWQKOOLo1P42jHC3ssUZAtVNXrCk3fw9/E15k8NPkBazZ6
0iykLhH1trywrKRMVw67F44IE8Y=
-----END CERTIFICATE-----

Cloudflare Origin-CA – ECC-Root

-----BEGIN CERTIFICATE-----
MIICiTCCAi6gAwIBAgIUXZP3MWb8MKwBE1Qbawsp1sfA/Y4wCgYIKoZIzj0EAwIw
gY8xCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1T
YW4gRnJhbmNpc2NvMRkwFwYDVQQKExBDbG91ZEZsYXJlLCBJbmMuMTgwNgYDVQQL
Ey9DbG91ZEZsYXJlIE9yaWdpbiBTU0wgRUNDIENlcnRpZmljYXRlIEF1dGhvcml0
eTAeFw0xOTA4MjMyMTA4MDBaFw0yOTA4MTUxNzAwMDBaMIGPMQswCQYDVQQGEwJV
UzETMBEGA1UECBMKQ2FsaWZvcm5pYTEWMBQGA1UEBxMNU2FuIEZyYW5jaXNjbzEZ
MBcGA1UEChMQQ2xvdWRGbGFyZSwgSW5jLjE4MDYGA1UECxMvQ2xvdWRGbGFyZSBP
cmlnaW4gU1NMIEVDQyBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkwWTATBgcqhkjOPQIB
BggqhkjOPQMBBwNCAASR+sGALuaGshnUbcxKry+0LEXZ4NY6JUAtSeA6g87K3jaA
xpIg9G50PokpfWkhbarLfpcZu0UAoYy2su0EhN7wo2YwZDAOBgNVHQ8BAf8EBAMC
AQYwEgYDVR0TAQH/BAgwBgEB/wIBAjAdBgNVHQ4EFgQUhTBdOypw1O3VkmcH/es5
tBoOOKcwHwYDVR0jBBgwFoAUhTBdOypw1O3VkmcH/es5tBoOOKcwCgYIKoZIzj0E
AwIDSQAwRgIhAKilfntP2ILGZjwajktkBtXE1pB4Y/fjAfLkIRUzrI15AiEA5UCL
XYZZ9m2c3fKwIenMMojL1eqydsgqj/wK4p5kagQ=
-----END CERTIFICATE-----

Entfernen eines Ursprungsserver-CA-Zertifikats

Führen Sie die folgenden Schritte aus, um ein Ursprungs-CA-Zertifikat zu widerrufen:

  1. Melden Sie sich in Cloudflare an.

  1. Wählen Sie das entsprechende Konto für die Domain aus, für die das Ursprungs-CA-Zertifikat widerrufen werden muss.

  1. Wählen Sie die Domain aus.

  1. Klicken Sie auf die App SSL/TLS und scrollen Sie nach unten zu Ursprungszertifikaten.
Besuchern werden Fehler bezüglich der Unsicherheit der Website angezeigt, bis ein Origin-CA-Zertifikat ersetzt wird. Um Fehler zu vermeiden, stellen Sie sicher, dass der SSL-Modus entweder global über die App SSL/TLS oder für einen bestimmten Hostnamen über die App Seitenregeln auf „Vollständig“ oder „Flexibel“ und nicht auf „Vollständig (streng)“ eingestellt ist, bevor Sie ein Ursprungs-CA-Zertifikat widerrufen.
  1. Klicken Sie in der Liste der Ursprungs-CA-Zertifikate auf das Symbol X rechts neben dem Zertifikatnamen.

  1. Das Bestätigungsfenster Ursprungszertifikat widerrufen wird angezeigt.

  1. Aktivieren Sie das Kontrollkästchen zur Bestätigung und klicken Sie auf Widerrufen.

Verwandte Ressourcen

War dieser Beitrag hilfreich?
20 von 50 fanden dies hilfreich
Not finding what you need?
Fragen Sie die Community   Einen Antrag stellen

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Popular questions: Warum ist meine Website so langsam?, Fehler 522, Ich erwarte einen Anstieg des Datenverkehrs.

Powered by Zendesk