Erfahren Sie, wie Sie benutzerdefinierte SSL-Zertifikate hinzufügen und bearbeiten sowie Kennwörter für private Schlüsseldateien entfernen.
Überblick
Benutzerdefinierte SSL-Zertifikate bieten mehrere Vorteile:
- Sie werden nicht von mehreren Kundendomains gemeinsam genutzt.
- Kunden können gültige, vorhandene Ursprungs-SSL-Zertifikate aus dem Cloudflare-Netzwerk bereitstellen.
Domains in Plänen für Business und Enterprise sind zugelassene benutzerdefinierte SSL-Zertifikate, sobald die Domains in Cloudflare aktiv sind. Pro Business-Domain ist nur ein benutzerdefiniertes SSL-Zertifikat zulässig. Standardmäßig erhalten Enterprise-Kunden ein benutzerdefiniertes SSL-Zertifikat pro Enterprise-Domain, können jedoch zusätzliche benutzerdefinierte SSL-Zertifikate von ihrem Cloudflare-Account-Team anfordern.
Cloudflare ermöglicht das Hochladen mehrerer SSL-Zertifikatstypen:
- Unified Communications Certificates (UCC)
- Extended Validation (EV)
- Organization Validated (OV)
Stellen Sie vor dem Hochladen eines benutzerdefinierten SSL-Zertifikats zu Cloudflare sicher, dass die private Schlüsseldatei nicht kennwortgeschützt ist.
Voraussetzungen
Es gibt zwei Voraussetzungen, bevor Sie Ihr benutzerdefiniertes SSL-Zertifikat in Cloudflare hochladen können:
- Löschen Sie das Kennwort der Schlüsseldatei
- Konvertieren Sie den privaten Schlüssel und das Zertifikat in PEM-Format
Löschen Sie das Kennwort der Schlüsseldatei
Wenn eine hochgeladene Schlüsseldatei kennwortgeschützt ist, generiert die Cloudflare-App SSL/TLS den folgenden Fehler:
Der Schlüssel ist kennwortgeschützt. Bitte löschen Sie das Kennwort und senden Sie es erneut.
Die Lösung zum Entfernen eines Kennworts für die Schlüsseldatei hängt vom verwendeten Betriebssystem ab. Wenn beispielsweise mydomain.com.keydie private Schlüsseldatei ist, kann der Kennwortschutz mit einer der folgenden Methoden entfernt werden:
1. Öffnen Sie eine Befehlskonsole.
2. Navigieren Sie zu dem Verzeichnis, das die Datei mydomain.com.key enthält.
3. Kopieren Sie den Originalschlüssel:
cp mydomain.com.key temp.key
4. Führen Sie den folgenden Befehl aus:
openssl rsa -in temp.key -out mydomain.com.key
5. Geben Sie das ursprüngliche Schlüsselkennwort ein, wenn Sie im Konsolenfenster dazu aufgefordert werden.
6. Laden Sie den Inhalt der Datei mydomain.com.key in Cloudflare hoch.
1. Browsen Sie zu http://indy.fulgan.com/SSL/.
2. Laden Sie die neueste Version von OpenSSL für Ihr x86- oder x86_64-Betriebssystem herunter.
3. Öffnen Sie die .zip-Datei und extrahieren Sie sie.
4. Klicken Sie auf openssl.exe.
5. Führen Sie im angezeigten Befehlsfenster Folgendes aus:
rsa -in C:\Path\To\mydomain.com.key -out key.pem
6. Geben Sie das ursprüngliche Schlüsselkennwort ein, wenn Sie im Befehlsfenster openssl.exe dazu aufgefordert werden.
7. Laden Sie den Inhalt der key.pem-Datei und nicht der mydomain.com.key-Datei in Cloudflare hoch.
Konvertieren Sie den privaten Schlüssel und das Zertifikat in PEM-Format
Stellen Sie sicher, dass der private Schlüssel und das Zertifikat in ein Standard-PEM-Format wie PFX konvertiert werden. Cloudflare akzeptiert die folgenden Formate:
- PEM-codierte Schlüssel und Zertifikate sind in einer Nur-Text-Datei enthalten, die normalerweise mit der Dateierweiterung .pem endet und das unverschlüsselte Zertifikat und/oder den privaten Schlüssel enthält.
- PKCS # 7-Dateien enden normalerweise mit der Dateierweiterung .p7b oder .p7c im Format „signedData“ (data, envelopeData, signedAndEnvelopedData, digestedData und encryptedData werden nicht unterstützt).
- PKCS # 12-Dateien enden normalerweise in .pfx oder .p12 und werden mit einem leeren Kennwort verschlüsselt.
Beispiele zur Konvertierung finden Sie in der Dokumentation zu Konvertierung mithilfe von OpenSSL. Wird diese Voraussetzung ignoriert, so führt dies zu einem Fehler beim Hochladen des SSL-Zertifikats: Der Schlüssel konnte nicht analysiert werden.
Ein benutzerdefiniertes SSL-Zertifikat hochladen
Führen Sie die folgenden Schritte aus, um ein benutzerdefiniertes SSL-Zertifikat hochzuladen:
1. Melden Sie sich im Cloudflare-Dashboard an.
2. Klicken Sie auf das entsprechende Cloudflare-Konto und wählen Sie die entsprechende Domain aus.
3. Klicken Sie auf die SSL/TLS-App.
4. Klicken Sie im Abschnitt Edge-Zertifikate auf Benutzerdefiniertes SSL-Zertifikat hochladen. Das Fenster Benutzerdefiniertes SSL-Zertifikat und Schlüssel hochladen wird angezeigt.
5. Öffnen Sie die SSL-Zertifikatdatei.
6. Kopieren Sie den Inhalt der SSL-Zertifikatdatei und fügen Sie ihn in den Textbereich SSL-Zertifikat ein.
7. Wählen Sie die entsprechendeBündelmethode(siehe Anweisungen unten) aus.
8. Öffnen Sie die private Schlüsseldatei des SSL-Zertifikats.
9. Kopieren Sie den Inhalt der Datei mit dem privaten Schlüssel und fügen Sie ihn in den Textbereich Privater Schlüssel ein.
10. Wählen Sie den Geo Key Manager (siehe Anweisungen unten).
Die Anweisungen zum Aktualisieren eines benutzerdefinierten SSL-Zertifikats sind dem Vorgang zum ursprünglichen Hochladen des Zertifikats sehr ähnlich.
Die Bündelmethode auswählen
Die Bündelmethode bestimmt, wie das SSL-Zertifikat mit Zwischenzertifikaten gebündelt wird, um die Zertifikatskette zu vervollständigen. Mit der Bündelmethode können Kunden ihre bevorzugte SSL-Zertifikatskette auswählen:
- Kompatibel ermöglicht die größtmögliche Kompatibilität mit älteren Browsern und Clients.
- Modern optimiert die Zertifikatskette im Hinblick auf Effizienz, indem neuere und weniger Zwischenzertifikate verwendet werden, die einige ältere Browser nicht berücksichtigen.
- Mit Benutzerdefiniert können Kunden ihre eigene Zertifikatskette bereitstellen.
Die Einschränkungen für private Schlüssel in Geo Key Manager wählen
Mit dem Geo Key Manager wird begrenzt, in welchen Cloudflare-Rechenzentren der private SSL-Schlüssel gespeichert wird. Die geografische Entfernung zwischen der Region des Rechenzentrums, in der sich die privaten Schlüssel befinden, und dem Ort der HTTPS-Anfrage eines Besuchers kann bei Erstanfragen zu Wartezeiten führen. Besuchen Sie den Cloudflare-Blogeintrag, in dem der Geo Key Manager vorgestellt wird, um mehr zu erfahren.
Legacy-Client-Unterstützung aktivieren
Legacy-Client-Unterstützung aktiviert bzw. deaktiviert die Unterstützung der Server Name Indication (SNI). Die Optionen sind:
- Modern: Nur SNI
- Legacy: unterstützt Nicht-SNI
Modern ist das Standardverhalten und wird von Cloudflare empfohlen. Verwenden Sie Legacy, wenn ein spezifischer Client Nicht-SNI-Unterstützung verlangt. Zurzeit behandelt die Cloudflare-API alle benutzerdefinierten SSL-Zertifikate als Legacy.
Ein benutzerdefiniertes SSL-Zertifikat aktualisieren
Jedes SSL-Zertifikat hat ein Ablaufdatum. Benutzerdefinierte SSL-Zertifikate werden von Cloudflare nicht automatisch erneuert. Daher sollten Sie Ihr benutzerdefiniertes SSL-Ablaufdatum überwachen und aktualisierte SSL-Zertifikate vom Zertifikatanbieter beziehen.
Aktualisieren Sie ein zuvor hochgeladenes benutzerdefiniertes SSL-Zertifikat mithilfe der folgenden Schritte:
1. Melden Sie sich im Cloudflare-Dashboard an.
2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain und wählen Sie die richtige Domain aus.
3. Klicken Sie auf die SSL/TLS-App.
4. Klicken Sie unter Edge-Zertifikate für das benutzerdefinierte SSL-Zertifikat auf Verwalten, wobei Typ für Hochgeladen steht.
5. Klicken Sie auf das Schraubenschlüsselsymbol. Das Fenster SSL-Zertifikat und Schlüssel ersetzen wird angezeigt.
6. Befolgen Sie die ursprünglichen Anweisungen ab Schritt 5 im Abschnitt Ein benutzerdefiniertes SSL-Zertifikat hochladen dieses Handbuchs.