Découvrez comment utiliser un certificat Origin CA de Cloudflare pour chiffrer le trafic entre Cloudflare et votre serveur Web d’origine. Apprenez à gérer les certificats Origin CA via Cloudflare et bénéficiez de conseils pour l’installation des certificats Origin CA sur votre serveur Web d’origine.
- Présentation
- Étape 1 : créer un certificat Origin CA
- Étape 2 : installer un certificat Origin CA sur votre serveur Web d’origine.
- Étape 3 : configurer le mode SSL dans l’application SSL/TLS de Cloudflare
- Étape 4 (facultative) : ajouter des certificats racines Origin CA Cloudflare
- Supprimer un certificat Origin CA
- Ressources associées
Présentation
Utilisez les certificats Origin CA de Cloudflare pour chiffrer le trafic entre Cloudflare et votre serveur Web d’origine. Pour plus de confort, de sécurité et de performances, Cloudflare recommande un certificat Origin CA par rapport à un certificat auto-signé ou un certificat acheté auprès d’une autorité de certification (Certificate Authority). Avec un certificat Origin CA, vous pouvez utiliser les modes SSL Full et Full (strict) dans l’application SSL/TLS de Cloudflare sans acheter au préalable un certificat d’une autorité de certification à installer sur votre serveur Web d’origine.
Le déploiement des certificats Origin CA nécessite généralement trois étapes :
- Créer un certificat Origin CA
- Installer un certificat Origin CA sur votre serveur Web d’origine
- Configurer le mode SSL dans l’application SSL/TLS de Cloudflare
Étape 1 : créer un certificat Origin CA
Vous pouvez générer votre propre certificat Origin CA dans le tableau de bord Cloudflare :
- Connectez-vous à Cloudflare.
- Sélectionnez le compte concerné pour le domaine nécessitant un certificat Origin CA.
- Sélectionnez le domaine.
- Cliquez sur l'applicationSSL/TLS.
- Faites défiler jusqu’à Certificats Origin.
- Cliquez sur Créer un certificat pour ouvrir la fenêtre Installation du certificat Origin.
- Dans la fenêtre Installation du certificat Origin, choisissez l’une des options suivantes :
- Laisser Cloudflare générer une clé privée et une CSR ; spécifier si le type de clé privée est RSA ou ECDSA.
- J’ai ma propre clé privée et CSR ; coller la Certificate Signing Request dans le champ de texte.
- Répertoriez les noms d’hôte (y compris les jokers) que le certificat doit protéger avec le chiffrement SSL. La racine de la zone et le nom d’hôte joker de premier niveau sont inclus par défaut.
- Choisissez l’expiration du certificat. La durée par défaut est 15 ans et la durée minimale est de 7 jours.
- Cliquez sur Suivant.
- Sélectionnez le format de clé. Sélectionnez le format de paire de clés qui correspond le mieux à votre environnement. La plupart des serveurs Web basés sur OpenSSL tels que NGINX et Apache attendent des fichiers PEM (ASCII codé en Base64), mais fonctionnent également avec des fichiers DER binaires. Les utilisateurs Windows et Apache Tomcat doivent opter pour PKCS# 7.
- Copiez les informations du certificat Origin et de la clé privée signés dans des fichiers séparés, comme indiqué par la fenêtre d’installation du certificat Origin.
- Cliquez sur OK.
Étape 2 : installer un certificat Origin CA sur votre serveur Web d’origine.
L’ajout d’un certificat Origin CA à un serveur Web d’origine nécessite plusieurs étapes générales :
- Téléchargez le certificat Origin CA (créé ci-dessus à l’étape 1) sur votre serveur Web d’origine.
- Utilisez les guides d’installation liés ci-dessous pour mettre à jour la configuration de votre serveur Web afin qu’elle pointe vers le certificat.
- Téléchargez le certificat racine CA de Cloudflare sur votre serveur Web d’origine (facultatif pour la plupart des serveurs Web d’origine).
- Activez SSL et le port 443 sur votre serveur Web d’origine.
- Assurez-vous que le pare-feu de votre serveur d’origine ne bloque pas les connexions au port 443.
Consultez la liste des liens ci-dessous pour obtenir des instructions d’installation spécifiques à votre serveur Web d’origine. Pour obtenir de l’aide pour installer un certificat Origin CA, contactez votre fournisseur d’hébergement, votre administrateur Web ou votre fournisseur de serveur Web.
- Apache httpd
- Hébergement GoDaddy (avec cPanel)
- Microsoft IIS 7
- Microsoft IIS 8 et 8.5
- Microsoft IIS 10
- NGINX
- Tomcat
- 2X Application Server
- 3Com Wireless LAN
- Adobe Connect
- AEP Netilla
- Alpha Five
- Amazon Web Services
- Barracuda Spam & Virus
- Barracuda SSL VPN
- Cerberus FTP Server
- Checkpoint VPN
- Cisco ASA
- Cisco Mobility
- Citrix Access Gateway
- Citrix Access Essentials
- Citrix NetScaler VPX
- Cobalt RaQ3x/4x/XTR
- Courier IMAP
- cPanel
- Ensim Control Panel
- F5 BIG-IP
- F5 FirePass
- FileZilla Server
- Hsphere Web Server
- IBM HTTP Server
- iPlanet
- Java (Generic) Web Servers
- Lighttpd
- Lotus Domino Go 4.6.2.6+
- Lotus Domino 4.6x & 5.0x
- Lotus Domino 8.5
- Lync 2010
- Lync 2013
- Mac OS X Lion
- Mac OS X Mavericks
- Mac OS X Yosemite
- Mac OS X El Capitan
- Microsoft AD LDAP (2008)
- Microsoft AD LDAP (2012)
- Microsoft AD FS
- Microsoft Exchange 2007
- Microsoft Exchange 2010
- Microsoft Exchange 2013
- Microsoft Forefront TMG
- Microsoft IIS 4.x
- Microsoft IIS 5.x/6.x
- Microsoft Office 365
- Microsoft Office Comm Server
- Microsoft Outlook Web Access
- Microsoft SharePoint 2010
- Microsoft SharePoint 2013
- NetScreen
- Novell ConsoleOne
- Novell I-Chain
- Oracle Wallet Manager
- Parse.com
- Plesk Server
- Qmail
- Radware Alteon
- Small Business Server 2011
- Small Business Server 2008
- SonicWALL NSA
- SonicWALL SSL VPN
- Sun Java Web Server
- SurgeMail
- Ubuntu Server with Apache2
- Weblogic 8 & 9
- Weblogic (versions précédentes)
- Webmin
- Website Pro
- Websphere
- WebSTAR
- WHM
- Windows Azure Cloud Service
- Windows Azure Website
- Zeus Loadbalancer
- Zeus Webserver
- Zimbra
- Zyxel Zywall
Étape 3 : configurer le mode SSL dans l’application SSL/TLS de Cloudflare
Demandez à Cloudflare de chiffrer le trafic sur votre serveur Web d’origine après y avoir installé le certificat Origin CA de Cloudflare. Définissez le mode SSL dans l’application SSL/TLS de Cloudflare sur Full ou Full (strict) pour activer le chiffrement entre Cloudflare et votre serveur Web d’origine.
Étape 4 (facultative) : ajouter des certificats racines Origin CA Cloudflare
Certains serveurs Web d’origine nécessitent le téléchargement du certificat racine Origin CA de Cloudflare. Voir ci-dessous une obtenir une version RSA et ECC du certificat racine Origin CA de Cloudflare. Cliquez sur le lien pour télécharger le fichier :
Vous pouvez également développer le contenu du certificat racine à copier et coller dans la configuration de votre serveur Web d’origine :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Supprimer un certificat Origin CA
Suivez ces étapes pour révoquer un certificat CA d’origine :
- Connectez-vous à Cloudflare.
- Sélectionnez le compte concerné pour le domaine nécessitant la révocation du certificat Origin CA.
- Sélectionnez le domaine.
- Cliquez sur l’application SSL/TLS et faites défiler jusqu’à Certificats Origin.
- Cliquez sur l’icône X à droite du nom du certificat dans la liste des certificats Origin CA.
- La fenêtre de confirmation de révocation du certificat Origin va s’afficher.
- Cochez la case de confirmation et cliquez sur Révoquer.