Gestión de certificados de Origin CA de Cloudflare

Avatar
Jeremy L Pugh
Seguir

Podrás comprender cómo usar un certificado Origin CA de Cloudflare para cifrar el tráfico entre Cloudflare y tu servidor web de origen. Aprende a gestionar certificados Origin CA a través de Cloudflare y recibe consejos para instalar certificados Origin CA en tu servidor web de origen.

Información general

Utiliza los certificados Origin CA para cifrar el tráfico entre Cloudflare y tu servidor web de origen. Para asegurar la mayor conveniencia, seguridad y rendimiento, Cloudflare recomienda un certificado Origin CA en un certificado autofirmado o un certificado comprado a una autoridad de certificación. Con un certificado Origin CA, puedes usar los modos SSL Completo y Completo (estricto) en la aplicación SSL/TLS de Cloudflare, sin comprar antes un certificado de una autoridad de certificación para instalar en tu servidor web de origen.

Los certificados Origin CA solo cifran el tráfico entre Cloudflare y tu servidor web de origen, y no cuentan con la confianza de los navegadores de los clientes cuando acceden directamente a tu sitio web de origen fuera de Cloudflare. Para los subdominios que utilizan certificados Origin CA, pausar o deshabilitar Cloudflare provoca errores de certificado no confiables para los visitantes del sitio.

La implementación de certificados Origin CA suele requerir tres pasos:

  1. Crear un certificado Origin CA
  2. Instalar un certificado Origin CA en tu servidor web de origen
  3. Configurar el modo SSL en la aplicación SSL/TLS de Cloudflare
Google App Engine no admite los certificados Origin CA de Cloudflare. 

Paso 1: crea un certificado Origin CA.

Puedes generar tu propio certificado Origin CA en el panel de control de Cloudflare:

  1. Inicia sesión en Cloudflare.

  2. Selecciona la cuenta adecuada para el dominio que requiera un certificado Origin CA.

  3. Selecciona el dominio.

  4. Haz clic en la aplicación SSL/TLS.

  5. Desplázate hacia certificados de origen.

  6. Haz clic en Crear certificado para abrir la ventana de Instalación de certificado de origen.

  7. En la ventana Instalación de certificado de origen, selecciona:
    • Permitir que Cloudflare genere una clave privada y un CSR: requiere especificar si el tipo de la clave privada es RSA o ECDSA.
    • Tengo mi propia clave privada y CSR: requiere copiar la solicitud de firma del certificado en el campo de texto.

  1. Enumera los nombres de host (incluso los comodines) que debería proteger el certificado con cifrado SSL. La raíz de la zona y el nombre de host comodín de primer nivel se incluyen de forma predeterminada.
Puedes incluir hasta 100 nombres de host o nombres de host comodín en un solo certificado, además de nombres de host para otros dominios en la misma cuenta de Cloudflare. También puedes añadir compatibilidad con subdominios de múltiples niveles, tales como *.prueba.dev.www.ejemplo.com.
  1. Selecciona el vencimiento del certificado. El vencimiento predeterminado es de 15 años y el mínimo, de 7 días.

  1. Haz clic en Siguiente.

  2. Selecciona Formato de clave. Selecciona el formato de par de claves que se adecue mejor a tu entorno. La mayoría de los servidores web basados en OpenSSL, tales como Apache y NGINX, esperan archivos PEM (ASCII codificado con Base64). Sin embargo, también funcionan con archivos DER binarios. Los usuarios de Windows y Apache Tomcat deben optar por PKCS#7.

  3. Copia el certificado de origen firmado y los detalles de la clave privada en archivos separados, según las instrucciones de la ventana Instalación de certificados de origen.
Asegúrate de copiar la información de la clave privada antes de hacer clic en Aceptar. Por motivos de seguridad, la clave privada no vuelve a mostrarse tras la creación del certificado de origen.

  1. Haz clic en Aceptar.
Es posible crear certificados Origin CA de Cloudflare a través de la API de Cloudflare.

Paso 2: instala un certificado Origin CA en tu servidor web de origen.

Añadir un certificado Origin CA a un servidor web de origen requiere varios pasos generales:

  1. Carga el certificado Origin CA (creado en el paso 1) a tu servidor web de origen.

  2. Usa las guías de instalación incluidas en el enlace a continuación para actualizar la configuración de tu servidor web y que se dirija al certificado.

  3. (Opcional para la mayoría de los servidores web de origen) Carga el certificado raíz CA de Cloudflare a tu servidor web de origen.
Algunos servidores web, tales como IIS y cPanel, validan el certificado raíz Origin CAA. Estos servidores web requieren un certificado raíz RSA de Cloudflare durante la configuración.
  1. Habilita SSL y el puerto 443 en tu servidor web de origen.

  2. Verifica que tu firewall de servidor de origen no bloquee las conexiones al puerto 443.

Revisa la lista de enlaces a continuación para ver las instrucciones de instalación específicas de tu servidor web de origen. Para obtener más asistencia en la instalación de un certificado Origin CA, ponte en contacto con tu proveedor de alojamiento, administrador web o proveedor de servidores web.

 

Haz clic para expandir las instrucciones de instalación de certificados para servidores web de origen adicionales.

Paso 3: configura el modo SSL en la aplicación SSL/TLS de Cloudflare.

Indica a Cloudflare que cifre el tráfico hacia tu servidor web de origen tras instalar el certificado Origin CA de Cloudflare en tu servidor web de origen. Establece el modo SSL en la aplicación SSL/TLS de Cloudflare en Completo o Completo (estricto) para habilitar el cifrado entre Cloudflare y tu servidor web de origen.

Aplica este cambio de forma global a través de la aplicación SSL/TLS solo si todos tus hosts de origen cuentan con la protección de certificados Origin CA o certificados de confianza pública.  De lo contrario, puedes configurar SSL en Completo o Completo (estricto) a través de la aplicación Page Rules de Cloudflare.
Para evitar errores de bucle de redireccionamiento, primero asegúrate de que la configuración de tu servidor web de origen no redirecciona HTTPS a HTTP o viceversa, de modo contrario a la configuración del modo SSL de Cloudflare para las conexiones a tu servidor web de origen.

(Opcional) Paso 4: añade certificados raíz Origin CA de Cloudflare.

Algunos servidores web de origen requieren la carga del certificado raíz Origin CA de Cloudflare. Mira a continuación la versión RSA o ECC del certificado raíz Origin CA de Cloudflare. Haz clic en un enlace para descargar un archivo:

cPanel no es compatible con certificados ECC. Usa el certificado RSA raíz Origin CA a continuación.

De lo contrario, haz clic en expandir el contenido del certificado raíz para copiar y pegar en la configuración de tu servidor web de origen:

Origin CA de Cloudflare: raíz de RSA

-----BEGIN CERTIFICATE-----
MIID/DCCAuagAwIBAgIID+rOSdTGfGcwCwYJKoZIhvcNAQELMIGLMQswCQYDVQQG
EwJVUzEZMBcGA1UEChMQQ2xvdWRGbGFyZSwgSW5jLjE0MDIGA1UECxMrQ2xvdWRG
bGFyZSBPcmlnaW4gU1NMIENlcnRpZmljYXRlIEF1dGhvcml0eTEWMBQGA1UEBxMN
U2FuIEZyYW5jaXNjbzETMBEGA1UECBMKQ2FsaWZvcm5pYTAeFw0xNDExMTMyMDM4
NTBaFw0xOTExMTQwMTQzNTBaMIGLMQswCQYDVQQGEwJVUzEZMBcGA1UEChMQQ2xv
dWRGbGFyZSwgSW5jLjE0MDIGA1UECxMrQ2xvdWRGbGFyZSBPcmlnaW4gU1NMIENl
cnRpZmljYXRlIEF1dGhvcml0eTEWMBQGA1UEBxMNU2FuIEZyYW5jaXNjbzETMBEG
A1UECBMKQ2FsaWZvcm5pYTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AMBIlWf1KEKR5hbB75OYrAcUXobpD/AxvSYRXr91mbRu+lqE7YbyyRUShQh15lem
ef+umeEtPZoLFLhcLyczJxOhI+siLGDQm/a/UDkWvAXYa5DZ+pHU5ct5nZ8pGzqJ
p8G1Hy5RMVYDXZT9F6EaHjMG0OOffH6Ih25TtgfyyrjXycwDH0u6GXt+G/rywcqz
/9W4Aki3XNQMUHNQAtBLEEIYHMkyTYJxuL2tXO6ID5cCsoWw8meHufTeZW2DyUpl
yP3AHt4149RQSyWZMJ6AyntL9d8Xhfpxd9rJkh9Kge2iV9rQTFuE1rRT5s7OSJcK
xUsklgHcGHYMcNfNMilNHb8CAwEAAaNmMGQwDgYDVR0PAQH/BAQDAgAGMBIGA1Ud
EwEB/wQIMAYBAf8CAQIwHQYDVR0OBBYEFCToU1ddfDRAh6nrlNu64RZ4/CmkMB8G
A1UdIwQYMBaAFCToU1ddfDRAh6nrlNu64RZ4/CmkMAsGCSqGSIb3DQEBCwOCAQEA
cQDBVAoRrhhsGegsSFsv1w8v27zzHKaJNv6ffLGIRvXK8VKKK0gKXh2zQtN9SnaD
gYNe7Pr4C3I8ooYKRJJWLsmEHdGdnYYmj0OJfGrfQf6MLIc/11bQhLepZTxdhFYh
QGgDl6gRmb8aDwk7Q92BPvek5nMzaWlP82ixavvYI+okoSY8pwdcVKobx6rWzMWz
ZEC9M6H3F0dDYE23XcCFIdgNSAmmGyXPBstOe0aAJXwJTxOEPn36VWr0PKIQJy5Y
4o1wpMpqCOIwWc8J9REV/REzN6Z1LXImdUgXIXOwrz56gKUJzPejtBQyIGj0mveX
Fu6q54beR89jDc+oABmOgg==
-----END CERTIFICATE-----

Origin CA de Cloudflare: raíz de ECC

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Quita un certificado de Origin CA

Sigue estos pasos para dejar sin efecto un certificado Origin CA:

  1. Inicia sesión en Cloudflare.

  1. Selecciona la cuenta adecuada para el dominio donde debe dejarse sin efecto el certificado Origin CA.

  1. Selecciona el dominio.

  1. Haz clic en la aplicación SSL/TLS y desplázate hacia certificados de origen.
Los visitantes verán errores sobre la inseguridad del sitio hasta que se reemplace el certificado Origin CA. Para evitar errores, asegúrate de que el modo SSL esté en Completo o Flexible, no en Completo (estricto), de manera global a través de la aplicación SSL/TLS o para un nombre de host específico a través de la aplicación Page Rules antes de dejar sin efecto el certificado Origin CA.
  1. Haz clic en el icono X a la derecha del nombre del certificado en la lista de certificados Origin CA.

  1. Aparece la ventana de confirmación Dejar sin efecto el certificado de origen.

  1. Verifica la casilla de confirmación y haz clic en Dejar sin efecto.

Recursos relacionados

¿Fue útil este artículo?
Usuarios a los que les pareció útil: 19 de 44
¿No has encontrado una respuesta satisfactoria?
Pregunta a la Comunidad   Solicita soporte

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Preguntas frecuentes: ¿Por qué está tan lento mi sitio?, Error 522, Estoy anticipando picos de tráfico

Tecnología de Zendesk