Gestion des certificats Origin CA de Cloudflare

Avatar
Jeremy L Pugh
S’abonner

Découvrez comment utiliser un certificat Origin CA de Cloudflare pour chiffrer le trafic entre Cloudflare et votre serveur Web d’origine. Apprenez à gérer les certificats Origin CA via Cloudflare et bénéficiez de conseils pour l’installation des certificats Origin CA sur votre serveur Web d’origine.

Présentation

Utilisez les certificats Origin CA de Cloudflare pour chiffrer le trafic entre Cloudflare et votre serveur Web d’origine. Pour plus de confort, de sécurité et de performances, Cloudflare recommande un certificat Origin CA par rapport à un certificat auto-signé ou un certificat acheté auprès d’une autorité de certification (Certificate Authority). Avec un certificat Origin CA, vous pouvez utiliser les modes SSL Full et Full (strict) dans l’application SSL/TLS de Cloudflare sans acheter au préalable un certificat d’une autorité de certification à installer sur votre serveur Web d’origine.

Les certificats Origin CA ne chiffrent que le trafic entre Cloudflare et votre serveur Web d’origine et ne sont pas approuvés par les navigateurs clients lorsqu’ils accèdent directement à votre site Web d’origine en dehors de Cloudflare. Pour les sous-domaines qui utilisent des certificats Origin CA, la suspension ou la désactivation de Cloudflare entraîne des erreurs de certificat non fiables pour les visiteurs du site.

Le déploiement des certificats Origin CA nécessite généralement trois étapes :

  1. Créer un certificat Origin CA
  2. Installer un certificat Origin CA sur votre serveur Web d’origine
  3. Configurer le mode SSL dans l’application SSL/TLS de Cloudflare
Google App Engine ne prend pas en charge les certificats Origin CA de Cloudflare. 

Étape 1 : créer un certificat Origin CA

Vous pouvez générer votre propre certificat Origin CA dans le tableau de bord Cloudflare :

  1. Connectez-vous à Cloudflare.

  2. Sélectionnez le compte concerné pour le domaine nécessitant un certificat Origin CA.

  3. Sélectionnez le domaine.

  4. Cliquez sur l'applicationSSL/TLS.

  5. Faites défiler jusqu’à Certificats Origin.

  6. Cliquez sur Créer un certificat pour ouvrir la fenêtre Installation du certificat Origin.

  7. Dans la fenêtre Installation du certificat Origin, choisissez l’une des options suivantes :
    • Laisser Cloudflare générer une clé privée et une CSR ; spécifier si le type de clé privée est RSA ou ECDSA.
    • J’ai ma propre clé privée et CSR ; coller la Certificate Signing Request dans le champ de texte.

  1. Répertoriez les noms d’hôte (y compris les jokers) que le certificat doit protéger avec le chiffrement SSL. La racine de la zone et le nom d’hôte joker de premier niveau sont inclus par défaut.
Vous pouvez inclure jusqu’à 100 noms d’hôtes ou noms d’hôtes joker sur un seul certificat et inclure des noms d’hôte pour d’autres domaines dans le même compte Cloudflare. Vous pouvez également ajouter une prise en charge pour les sous-domaines à plusieurs niveaux tels que *.test.dev.www.exemple.com.
  1. Choisissez l’expiration du certificat. La durée par défaut est 15 ans et la durée minimale est de 7 jours.

  1. Cliquez sur Suivant.

  2. Sélectionnez le format de clé. Sélectionnez le format de paire de clés qui correspond le mieux à votre environnement. La plupart des serveurs Web basés sur OpenSSL tels que NGINX et Apache attendent des fichiers PEM (ASCII codé en Base64), mais fonctionnent également avec des fichiers DER binaires. Les utilisateurs Windows et Apache Tomcat doivent opter pour PKCS# 7.

  3. Copiez les informations du certificat Origin et de la clé privée signés dans des fichiers séparés, comme indiqué par la fenêtre d’installation du certificat Origin.
Veillez à copier les informations de la clé privée avant de cliquer sur OK. Pour des raisons de sécurité, la clé privée ne s’affichera plus après la création du certificat Origin.

  1. Cliquez sur OK.
Il est possible de créer des certificats Origin CA Cloudflare via l’API Cloudflare.

Étape 2 : installer un certificat Origin CA sur votre serveur Web d’origine.

L’ajout d’un certificat Origin CA à un serveur Web d’origine nécessite plusieurs étapes générales :

  1. Téléchargez le certificat Origin CA (créé ci-dessus à l’étape 1) sur votre serveur Web d’origine.

  2. Utilisez les guides d’installation liés ci-dessous pour mettre à jour la configuration de votre serveur Web afin qu’elle pointe vers le certificat.

  3. Téléchargez le certificat racine CA de Cloudflare sur votre serveur Web d’origine (facultatif pour la plupart des serveurs Web d’origine).
Certains serveurs Web, tels que cPanel et IIS, valident le certificat racine Origin CA. Ces serveurs Web nécessitent le certificat RSA racine de Cloudflare lors de la configuration.
  1. Activez SSL et le port 443 sur votre serveur Web d’origine.

  2. Assurez-vous que le pare-feu de votre serveur d’origine ne bloque pas les connexions au port 443.

Consultez la liste des liens ci-dessous pour obtenir des instructions d’installation spécifiques à votre serveur Web d’origine. Pour obtenir de l’aide pour installer un certificat Origin CA, contactez votre fournisseur d’hébergement, votre administrateur Web ou votre fournisseur de serveur Web.

 

Cliquez pour développer les instructions d’installation du certificat pour davantage de serveurs Web d’origine.

Étape 3 : configurer le mode SSL dans l’application SSL/TLS de Cloudflare

Demandez à Cloudflare de chiffrer le trafic sur votre serveur Web d’origine après y avoir installé le certificat Origin CA de Cloudflare. Définissez le mode SSL dans l’application SSL/TLS de Cloudflare sur Full ou Full (strict) pour activer le chiffrement entre Cloudflare et votre serveur Web d’origine.

Effectuez cette modification globalement via l’application SSL/TLS seulement si tous vos hôtes d’origine sont protégés par des certificats Origin CA ou des certificats publics de confiance.  Sinon, envisagez de définir SSL sur Full ou Full (strict) via l’application Page Rules de Cloudflare.
Pour éviter les erreurs de boucle de redirection, assurez-vous d’abord que la configuration de votre serveur Web d’origine ne redirige pas HTTPS vers HTTP ou HTTP vers HTTPS d’une manière contraire à la façon dont le mode SSL Cloudflare est configuré pour les connexions Cloudflare à votre serveur Web d’origine.

Étape 4 (facultative) : ajouter des certificats racines Origin CA Cloudflare

Certains serveurs Web d’origine nécessitent le téléchargement du certificat racine Origin CA de Cloudflare. Voir ci-dessous une obtenir une version RSA et ECC du certificat racine Origin CA de Cloudflare. Cliquez sur le lien pour télécharger le fichier :

cPanel ne prend pas en charge les certificats ECC. Utilisez le certificat racine RSA Origin CA ci-dessous.

Vous pouvez également développer le contenu du certificat racine à copier et coller dans la configuration de votre serveur Web d’origine :

Cloudflare Origin CA - Racine RSA

-----BEGIN CERTIFICATE-----
MIID/DCCAuagAwIBAgIID+rOSdTGfGcwCwYJKoZIhvcNAQELMIGLMQswCQYDVQQG
EwJVUzEZMBcGA1UEChMQQ2xvdWRGbGFyZSwgSW5jLjE0MDIGA1UECxMrQ2xvdWRG
bGFyZSBPcmlnaW4gU1NMIENlcnRpZmljYXRlIEF1dGhvcml0eTEWMBQGA1UEBxMN
U2FuIEZyYW5jaXNjbzETMBEGA1UECBMKQ2FsaWZvcm5pYTAeFw0xNDExMTMyMDM4
NTBaFw0xOTExMTQwMTQzNTBaMIGLMQswCQYDVQQGEwJVUzEZMBcGA1UEChMQQ2xv
dWRGbGFyZSwgSW5jLjE0MDIGA1UECxMrQ2xvdWRGbGFyZSBPcmlnaW4gU1NMIENl
cnRpZmljYXRlIEF1dGhvcml0eTEWMBQGA1UEBxMNU2FuIEZyYW5jaXNjbzETMBEG
A1UECBMKQ2FsaWZvcm5pYTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AMBIlWf1KEKR5hbB75OYrAcUXobpD/AxvSYRXr91mbRu+lqE7YbyyRUShQh15lem
ef+umeEtPZoLFLhcLyczJxOhI+siLGDQm/a/UDkWvAXYa5DZ+pHU5ct5nZ8pGzqJ
p8G1Hy5RMVYDXZT9F6EaHjMG0OOffH6Ih25TtgfyyrjXycwDH0u6GXt+G/rywcqz
/9W4Aki3XNQMUHNQAtBLEEIYHMkyTYJxuL2tXO6ID5cCsoWw8meHufTeZW2DyUpl
yP3AHt4149RQSyWZMJ6AyntL9d8Xhfpxd9rJkh9Kge2iV9rQTFuE1rRT5s7OSJcK
xUsklgHcGHYMcNfNMilNHb8CAwEAAaNmMGQwDgYDVR0PAQH/BAQDAgAGMBIGA1Ud
EwEB/wQIMAYBAf8CAQIwHQYDVR0OBBYEFCToU1ddfDRAh6nrlNu64RZ4/CmkMB8G
A1UdIwQYMBaAFCToU1ddfDRAh6nrlNu64RZ4/CmkMAsGCSqGSIb3DQEBCwOCAQEA
cQDBVAoRrhhsGegsSFsv1w8v27zzHKaJNv6ffLGIRvXK8VKKK0gKXh2zQtN9SnaD
gYNe7Pr4C3I8ooYKRJJWLsmEHdGdnYYmj0OJfGrfQf6MLIc/11bQhLepZTxdhFYh
QGgDl6gRmb8aDwk7Q92BPvek5nMzaWlP82ixavvYI+okoSY8pwdcVKobx6rWzMWz
ZEC9M6H3F0dDYE23XcCFIdgNSAmmGyXPBstOe0aAJXwJTxOEPn36VWr0PKIQJy5Y
4o1wpMpqCOIwWc8J9REV/REzN6Z1LXImdUgXIXOwrz56gKUJzPejtBQyIGj0mveX
Fu6q54beR89jDc+oABmOgg==
-----END CERTIFICATE-----

Cloudflare Origin CA - Racine ECC

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Supprimer un certificat Origin CA

Suivez ces étapes pour révoquer un certificat CA d’origine :

  1. Connectez-vous à Cloudflare.

  1. Sélectionnez le compte concerné pour le domaine nécessitant la révocation du certificat Origin CA.

  1. Sélectionnez le domaine.

  1. Cliquez sur l’application SSL/TLS et faites défiler jusqu’à Certificats Origin.
Les visiteurs verront des erreurs relatives à la sécurité du site jusqu’à ce qu’un certificat Origin CA soit remplacé. Pour éviter les erreurs, assurez-vous que le mode SSL soit défini sur Full ou Flexible, et non sur Full (strict), globalement via l’application SSL/TLS ou pour un nom d’hôte spécifique via l’application Page Rules avant de révoquer un certificat Origin CA.
  1. Cliquez sur l’icône X à droite du nom du certificat dans la liste des certificats Origin CA.

  1. La fenêtre de confirmation de révocation du certificat Origin va s’afficher.

  1. Cochez la case de confirmation et cliquez sur Révoquer.

Ressources associées

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 19 sur 44
Vous n'avez toujours pas trouvé ce que vous cherchez ?
Demander à la communauté   Soumettre une demande

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Questions populaires Pourquoi mon site est-il lent, 522 erreurs, J'attends un pic de trafic

Réalisé par Zendesk