Cloudflare Origin CA証明書を使ってCloudflareとオリジンWebサーバー間のトラフィックを暗号化する方法を説明します。Cloudflareを介してOrigin CA証明書を管理する方法、オリジンWebサーバー でOrigin CA証明書をインストールするためにアドバイスを受ける方法を説明します。

概要

Origin CA証明書を使い、CloudflareとオリジンWebサーバー 間のトラフィックを暗号化します。

利便性、安全性、機能性をさらに向上させるために、Cloudflareは自己署名証明書、または認証局から購入した証明書よりもOrigin CA証明書をお勧めします。Origin CA証明書なら、最初に認証局から証明書を購入したり、オリジンWebサーバー にインストールしたりしなくても、Cloudflare SSL/TLSアプリのFullとFull(strict) SSLモードを利用することができます。

Origin CA証明書のデプロイは通常、三つのステップが必要です。

1. Origin CA証明書を作成する
2. オリジンWebサーバー で、Origin CA証明書をインストールする
3. Cloudflare SSL/TLSアプリでSSLモードを設定する

Step 1 - Origin CA証明書を作成する

Cloudflareのダッシュボードで独自のOrigin CA証明書を生成することができます。

1. Cloudflareにログインする
2. Origin CA証明書を必要とするドメインに使用するアカウントを選択します。
3. ドメインを選択します。
4. SSL/TLSアプリをクリックします。
5. 「オリジンサーバー」タブをクリックします。
6. 証明書の作成をクリックし、Origin証明書のインストールウィンドウを開けます。
7. Origin 証明書のインストールウィンドウで、以下を選択します。
   • Cloudflareが秘密鍵とCSRを生成できるようにする - これには、秘密鍵のタイプがRSAかECDSAのどちらかに指定しなければなりません。
   • 自分の秘密鍵とCRSを所有している - これには、テキストフィールドに証明書署名要求(CSR)を貼り付けななければなりません。

8. 証明書がSSL暗号化を使って保護しなければならないホスト名（ワイルドカードを含める）を一覧化します。ゾーンルートと第一レベルワイルドカードホスト名は、デフォルトに含まれています。

9. 証明書の有効期限を選択します。デフォルトは15年で、最小値は7日間です。

10. 「次へ」をクリックします。
11. キーフォーマットを選択します。環境に最も適したキーペアフォーマットを選択します。ApacheやNGINXなどのOpenSSLをベースとしたWebサーバーの多くが、PEMファイル (Base64でエンコードされたASCII)を想定していますが、バイナリDERファイルでも動作できます。Windows と Apache Tomcatのユーザーは、PKCS#7を選択しなければなりません。
12. 署名されたOrigin 証明書と秘密鍵の詳細をOrigin 証明書のインストールウィンドウで指示されている通りに別々のファイルにコピーします。

13. OKをクリックします。

Step 2 - オリジンWebサーバー で、Origin CA証明書をインストールする

Origin CA証明書をオリジンWebサーバー に追加するには、通常、いくつかの手順があります。

1. (Step 1で作成された)Origin CA証明書をオリジンWebサーバー にアップロードします。
2. 以下で示されるリンク済みインストールを使って、証明書を提示するWebサーバー設定アップデートします。
3. （オリジンWebサーバーの多くは任意）CloudflareのCAルート証明書をオリジンWebサーバー にアップロードします。

4. オリジンWebサーバーで、SSLとポート443を有効にします。
5. オリジンサーバー のファイアウォール がポート４４３との接続をブロックしていないことをチェックします。

以下のリンク一覧は、特定のオリジンWebサーバーへのインストール手順に関するものです。この一覧を確認してください。Origin CA証明書のインストールに関するサポートについては、ホスティングプロバイダー、Web管理者、Webサーバーベンダーに問い合わせてください。

• Apache httpd
• GoDaddy Hosting (cPanel付き)
• Microsoft IIS 7
• Microsoft IIS 8と 8.5
• Microsoft IIS 10
• NGINX
• Tomcat

Step 3 - Cloudflare SSL/TLSアプリでSSLモードを設定する

オリジンWebサーバー でCloudflare Origin CA証明書をインストールした後で、オリジンWebサーバー へのトラフィックを暗号化するようにCloudflareに指示します。CloudflareSSL/TLSアプリで、SSLモードをFullまたはFull (strict)に設定し、CloudflareとオリジンWebサーバー間の暗号化を有効にします。

（任意）Step 4 - Cloudflare Origin CAルート証明書を追加する

Cloudflare Origin CAルート証明書のアップロードを必要とするオリジンWebサーバーもあります。Cloudflare Origin CAルート証明書のRSAとECCバージョンについては、次を参照してください。ファイルをダウンロードするリンクをクリックします：

• cloudflare_origin_ecc.pem
• cloudflare_origin_rsa.pem

または、オリジンWebサーバー設定にコピーアンドペーストするルート証明書のコンテンツを展開するためにクリックしてください。

Origin CA証明書を削除する

次のようにOrigin CA証明書を失効する手順にしたがってください:

1. Cloudflareにログインする

2. Origin CA証明書の無効を必要とするドメインに適したアカウントを選択します。

3. ドメインを選択します。

4. SSL/TLSアプリをクリックし、Origin証明書までスクロールダウンします。

5. Origin CA証明書の一覧で証明書の正しい名前にXアイコンをクリックします。

6. そうすると、Origin 証明書を無効にするという確認ウィンドウが表示されます。

7. 確認ボックスをチェックし、無効をクリックします。

関連リソース

• Cloudflare SSLについて：概要
• Cloudflareブログ：Cloudflare Origin CAの紹介