Podrás comprender cómo usar un certificado Origin CA de Cloudflare para cifrar el tráfico entre Cloudflare y tu servidor web de origen. Aprende a gestionar certificados Origin CA a través de Cloudflare y recibe consejos para instalar certificados Origin CA en tu servidor web de origen.
- Información general
- Paso 1: crea un certificado Origin CA.
- Paso 2: instala un certificado Origin CA en tu servidor web de origen.
- Paso 3: configura el modo SSL en la aplicación SSL/TLS de Cloudflare
- Paso 4 (opcional): añade certificados raíz Origin CA de Cloudflare.
- Quita un certificado de Origin CA
- Recursos relacionados
Información general
Utiliza los certificados Origin CA para cifrar el tráfico entre Cloudflare y tu servidor web de origen. Para asegurar la mayor conveniencia, seguridad y rendimiento, Cloudflare recomienda un certificado Origin CA en un certificado autofirmado o un certificado comprado a una autoridad de certificación. Con un certificado Origin CA, puedes usar los modos SSL Completo y Completo (estricto) en la aplicación SSL/TLS de Cloudflare, sin comprar antes un certificado de una autoridad de certificación para instalar en tu servidor web de origen.
La implementación de certificados Origin CA suele requerir tres pasos:
- Crear un certificado Origin CA
- Instalar un certificado Origin CA en tu servidor web de origen
- Configurar el modo SSL en la aplicación SSL/TLS de Cloudflare
Paso 1: crea un certificado Origin CA.
Puedes generar tu propio certificado Origin CA en el panel de control de Cloudflare:
- Inicia sesión en Cloudflare.
- Selecciona la cuenta adecuada para el dominio que requiera un certificado Origin CA.
- Selecciona el dominio.
- Haz clic en la aplicación SSL/TLS.
- Desplázate hacia certificados de origen.
- Haz clic en Crear certificado para abrir la ventana de Instalación de certificado de origen.
- En la ventana Instalación de certificado de origen, selecciona:
- Permitir que Cloudflare genere una clave privada y un CSR: requiere especificar si el tipo de la clave privada es RSA o ECDSA.
- Tengo mi propia clave privada y CSR: requiere copiar la solicitud de firma del certificado en el campo de texto.
- Enumera los nombres de host (incluso los comodines) que debería proteger el certificado con cifrado SSL. La raíz de la zona y el nombre de host comodín de primer nivel se incluyen de forma predeterminada.
- Selecciona el vencimiento del certificado. El vencimiento predeterminado es de 15 años y el mínimo, de 7 días.
- Haz clic en Siguiente.
- Selecciona Formato de clave. Selecciona el formato de par de claves que se adecue mejor a tu entorno. La mayoría de los servidores web basados en OpenSSL, tales como Apache y NGINX, esperan archivos PEM (ASCII codificado con Base64). Sin embargo, también funcionan con archivos DER binarios. Los usuarios de Windows y Apache Tomcat deben optar por PKCS#7.
- Copia el certificado de origen firmado y los detalles de la clave privada en archivos separados, según las instrucciones de la ventana Instalación de certificados de origen.
- Haz clic en Aceptar.
Paso 2: instala un certificado Origin CA en tu servidor web de origen.
Añadir un certificado Origin CA a un servidor web de origen requiere varios pasos generales:
- Carga el certificado Origin CA (creado en el paso 1) a tu servidor web de origen.
- Usa las guías de instalación incluidas en el enlace a continuación para actualizar la configuración de tu servidor web y que se dirija al certificado.
- (Opcional para la mayoría de los servidores web de origen) Carga el certificado raíz CA de Cloudflare a tu servidor web de origen.
- Habilita SSL y el puerto 443 en tu servidor web de origen.
- Verifica que tu firewall de servidor de origen no bloquee las conexiones al puerto 443.
Revisa la lista de enlaces a continuación para ver las instrucciones de instalación específicas de tu servidor web de origen. Para obtener más asistencia en la instalación de un certificado Origin CA, ponte en contacto con tu proveedor de alojamiento, administrador web o proveedor de servidores web.
- Apache httpd
- Alojamiento GoDaddy (con cPanel)
- Microsoft IIS 7
- Microsoft IIS 8 and 8.5
- Microsoft IIS 10
- NGINX
- Tomcat
- 2X Application Server
- 3Com Wireless LAN
- Adobe Connect
- AEP Netilla
- Alpha Five
- Amazon Web Services
- Barracuda Spam & Virus
- Barracuda SSL VPN
- Cerberus FTP Server
- Checkpoint VPN
- Cisco ASA
- Cisco Mobility
- Citrix Access Gateway
- Citrix Access Essentials
- Citrix NetScaler VPX
- Cobalt RaQ3x/4x/XTR
- Courier IMAP
- cPanel
- Ensim Control Panel
- F5 BIG-IP
- F5 FirePass
- FileZilla Server
- Hsphere Web Server
- IBM HTTP Server
- iPlanet
- Java (Generic) Web Servers
- Lighttpd
- Lotus Domino Go 4.6.2.6+
- Lotus Domino 4.6x y 5.0x
- Lotus Domino 8.5
- Lync 2010
- Lync 2013
- Mac OS X Lion
- Mac OS X Mavericks
- Mac OS X Yosemite
- Mac OS X El Capitan
- Microsoft AD LDAP (2008)
- Microsoft AD LDAP (2012)
- Microsoft AD FS
- Microsoft Exchange 2007
- Microsoft Exchange 2010
- Microsoft Exchange 2013
- Microsoft Forefront TMG
- Microsoft IIS 4.x
- Microsoft IIS 5.x/6.x
- Microsoft Office 365
- Microsoft Office Comm Server
- Microsoft Outlook Web Access
- Microsoft SharePoint 2010
- Microsoft SharePoint 2013
- NetScreen
- Novell ConsoleOne
- Novell I-Chain
- Oracle Wallet Manager
- Parse.com
- Plesk Server
- Qmail
- Radware Alteon
- Small Business Server 2011
- Small Business Server 2011
- SonicWALL NSA
- SonicWALL SSL VPN
- Sun Java Web Server
- SurgeMail
- Ubuntu Server con Apache2
- Weblogic 8 y 9
- Weblogic (versiones anteriores)
- Webmin
- Website Pro
- Websphere
- WebSTAR
- WHM
- Windows Azure Cloud Service
- Windows Azure Website
- Zeus Loadbalancer
- Zeus Webserver
- Zimbra
- Zyxel Zywall
Paso 3: configura el modo SSL en la aplicación SSL/TLS de Cloudflare.
Indica a Cloudflare que cifre el tráfico hacia tu servidor web de origen tras instalar el certificado Origin CA de Cloudflare en tu servidor web de origen. Establece el modo SSL en la aplicación SSL/TLS de Cloudflare en Completo o Completo (estricto) para habilitar el cifrado entre Cloudflare y tu servidor web de origen.
(Opcional) Paso 4: añade certificados raíz Origin CA de Cloudflare.
Algunos servidores web de origen requieren la carga del certificado raíz Origin CA de Cloudflare. Mira a continuación la versión RSA o ECC del certificado raíz Origin CA de Cloudflare. Haz clic en un enlace para descargar un archivo:
De lo contrario, haz clic en expandir el contenido del certificado raíz para copiar y pegar en la configuración de tu servidor web de origen:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Quita un certificado de Origin CA
Sigue estos pasos para dejar sin efecto un certificado Origin CA:
- Inicia sesión en Cloudflare.
- Selecciona la cuenta adecuada para el dominio donde debe dejarse sin efecto el certificado Origin CA.
- Selecciona el dominio.
- Haz clic en la aplicación SSL/TLS y desplázate hacia certificados de origen.
- Haz clic en el icono X a la derecha del nombre del certificado en la lista de certificados Origin CA.
- Aparece la ventana de confirmación Dejar sin efecto el certificado de origen.
- Verifica la casilla de confirmación y haz clic en Dejar sin efecto.