CloudflareオリジンCA証明書を使ってCloudflareとオリジンWebサーバー間のトラフィックを暗号化する方法をはじめ、Cloudflareを介してオリジンCA証明書を管理する方法、オリジンWebサーバーでオリジンCA証明書をインストールする方法をご説明します。

概要

オリジンCA証明書を使い、CloudflareとオリジンWebサーバー間のトラフィックを暗号化します。

利便性、セキュリティ、パフォーマンスをさらに向上させるために、Cloudflareは自己署名証明書、または認証局から購入した証明書よりもオリジンCA証明書をお勧めしています。オリジンCA証明書なら、最初に認証局から証明書を購入して、オリジンWebサーバーにインストールしなくても、Cloudflare SSL/TLSアプリのFullとFull（strict）SSL/TLS暗号化モードを利用することができます。

オリジンCA証明書のデプロイには通常、3つのステップが必要です。

1. オリジンCA証明書を作成する
2. オリジンWebサーバーで、オリジンCA証明書をインストールする
3. Cloudflare SSL/TLSアプリでSSL/TLSモードを設定する

Step 1 - オリジンCA証明書を作成する

Cloudflareのダッシュボードで独自のオリジンCA証明書を作成することができます。

1. Cloudflareにログインする
2. オリジンCA証明書が必要なドメインのアカウントを選択します。
3. ドメインを選択します。
4. SSL/TLSアプリをクリックします。
5. 「オリジンサーバー」タブをクリックします。
6. 「証明書の作成」をクリックし、オリジン証明書のインストールウィンドウを開きます。
7. オリジン証明書のインストールウィンドウで、以下のいずれかを選択します。
   • Cloudflareがプライベート キーとCSRを生成できるようにする - プライベート キーのタイプをRSAかECDSAのどちらかに指定する必要があります。
   • 自分のプライベート キーとCRSを所有している - テキストフィールドに証明書の署名リクエスト（CSR）を貼り付ける必要があります。
8. 証明書がSSL暗号化を使って保護しなければならないホスト名（ワイルドカードを含める）を一覧化します。ゾーンルートと第一レベルワイルドカードホスト名は、デフォルトに含まれています。

9. 証明書の有効期限を選択します。デフォルトは15年で、最小値は7日間です

10. 次へをクリックします。

11. キーフォーマットを選択します。環境に最も適したキーペアフォーマットを選択します。ApacheやNGINXなどのOpenSSLをベースとしたWebサーバーの多くが、PEMファイル (Base64でエンコードされたASCII)を想定していますが、バイナリDERファイルでも動作できます。WindowsとApache Tomcatのユーザーは、PKCS#7を選択しなければなりません。

12. 署名されたオリジン証明書とプライベート キーの詳細を、オリジン証明書のインストールウィンドウの指示通りに別々のファイルにコピーします。

13. OKをクリックします。

Step 2 - オリジンサーバーで、オリジンCA証明書をインストールする

オリジンCA証明書をオリジンWebサーバーに追加するには、通常いくつかの手順があります。

1. （Step 1で作成した）オリジンCA証明書をオリジンWebサーバーにアップロードします。
2. 以下のインストールガイド（リンク）を使って、証明書を提示するWebサーバーの設定をアップデートします。
3. （オリジンWebサーバーの多くは任意で）CloudflareのCAルート証明書をオリジンWebサーバーにアップロードします。 type: embedded-entry-inline id: 5oi7FdUVG0YjUXJvfK27Ck
4. オリジンWebサーバーで、SSLとポート443を有効にします。
5. オリジンサーバーのファイアウォールがポート443への接続をブロックしていないことを確認します。

下記のリンク一覧は、特定のオリジンWebサーバーへのインストール手順に関するものです。この一覧をご確認ください。オリジンCA証明書のインストールに関するサポートについては、ホスティングプロバイダー、Web管理者、Webサーバーベンダーにお問い合わせください。

• Apache httpd
• GoDaddy Hosting (cPanel付き)
• Microsoft IIS 7
• Microsoft IIS 8と8.5
• Microsoft IIS 10
• NGINX
• Tomcat
• Amazon Web サービス
• Apache cPanel
• Ubuntu Server with Apache2

Step 3 - Cloudflare SSL/TLSアプリで、SSL/TLSモードを設定する

オリジンWebサーバーで、CloudflareオリジンCA証明書をインストール後、オリジンWebサーバーへのトラフィックを暗号化するようにCloudflareに指示します。CloudflareSSL/TLSアプリで、SSL/TLS暗号化モードをFullまたはFull (strict)のどちらかに設定し、CloudflareとオリジンWebサーバー間の暗号化を有効にします。

（任意）Step 4 - Cloudflare オリジンCAルート証明書を追加する

CloudflareオリジンCAルート証明書のアップロードを必要とするオリジンWebサーバーもあります。CloudflareオリジンCAルート証明書のRSAとECCバージョンについては、次を参照してください。リンクをクリックすると、ファイルがダウンロードできます。

• cloudflare_origin_ecc.pem
• cloudflare_origin_rsa.pem

または、以下をクリックして、オリジンWebサーバー設定にコピー＆ペーストするルート証明書のコンテンツを開いてください。

    -----証明書開始-----
 MIIEADCCAuigAwIBAgIID+rOSdTGfGcwDQYJKoZIhvcNAQELBQAwgYsxCzAJBgNV
 BAYTAlVTMRkwFwYDVQQKExBDbG91ZEZsYXJlLCBJbmMuMTQwMgYDVQQLEytDbG91
 ZEZsYXJlIE9yaWdpbiBTU0wgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MRYwFAYDVQQH
 Ew1TYW4gRnJhbmNpc2NvMRMwEQYDVQQIEwpDYWxpZm9ybmlhMB4XDTE5MDgyMzIx
 MDgwMFoXDTI5MDgxNTE3MDAwMFowgYsxCzAJBgNVBAYTAlVTMRkwFwYDVQQKExBD
 bG91ZEZsYXJlLCBJbmMuMTQwMgYDVQQLEytDbG91ZEZsYXJlIE9yaWdpbiBTU0wg
 Q2VydGlmaWNhdGUgQXV0aG9yaXR5MRYwFAYDVQQHEw1TYW4gRnJhbmNpc2NvMRMw
 EQYDVQQIEwpDYWxpZm9ybmlhMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC
 AQEAwEiVZ/UoQpHmFsHvk5isBxRehukP8DG9JhFev3WZtG76WoTthvLJFRKFCHXm
 V6Z5/66Z4S09mgsUuFwvJzMnE6Ej6yIsYNCb9r9QORa8BdhrkNn6kdTly3mdnykb
 OomnwbUfLlExVgNdlP0XoRoeMwbQ4598foiHblO2B/LKuNfJzAMfS7oZe34b+vLB
 yrP/1bgCSLdc1AxQc1AC0EsQQhgcyTJNgnG4va1c7ogPlwKyhbDyZ4e59N5lbYPJ
 SmXI/cAe3jXj1FBLJZkwnoDKe0v13xeF+nF32smSH0qB7aJX2tBMW4TWtFPmzs5I
 lwrFSySWAdwYdgxw180yKU0dvwIDAQABo2YwZDAOBgNVHQ8BAf8EBAMCAQYwEgYD
 VR0TAQH/BAgwBgEB/wIBAjAdBgNVHQ4EFgQUJOhTV118NECHqeuU27rhFnj8KaQw
 HwYDVR0jBBgwFoAUJOhTV118NECHqeuU27rhFnj8KaQwDQYJKoZIhvcNAQELBQAD
 ggEBAHwOf9Ur1l0Ar5vFE6PNrZWrDfQIMyEfdgSKofCdTckbqXNTiXdgbHs+TWoQ
 wAB0pfJDAHJDXOTCWRyTeXOseeOi5Btj5CnEuw3P0oXqdqevM1/+uWp0CM35zgZ8
 VD4aITxity0djzE6Qnx3Syzz+ZkoBgTnNum7d9A66/V636x4vTeqbZFBr9erJzgz
 hhurjcoacvRNhnjtDRM0dPeiCJ50CP3wEYuvUzDHUaowOsnLCjQIkWbR7Ni6KEIk
 MOz2U0OBSif3FTkhCgZWQKOOLo1P42jHC3ssUZAtVNXrCk3fw9/E15k8NPkBazZ6
 0iykLhH1trywrKRMVw67F44IE8Y=
 -----証明書終了-----

    -----証明書開始-----
 MIICiTCCAi6gAwIBAgIUXZP3MWb8MKwBE1Qbawsp1sfA/Y4wCgYIKoZIzj0EAwIw
 gY8xCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRYwFAYDVQQHEw1T
 YW4gRnJhbmNpc2NvMRkwFwYDVQQKExBDbG91ZEZsYXJlLCBJbmMuMTgwNgYDVQQL
 Ey9DbG91ZEZsYXJlIE9yaWdpbiBTU0wgRUNDIENlcnRpZmljYXRlIEF1dGhvcml0
 eTAeFw0xOTA4MjMyMTA4MDBaFw0yOTA4MTUxNzAwMDBaMIGPMQswCQYDVQQGEwJV
 UzETMBEGA1UECBMKQ2FsaWZvcm5pYTEWMBQGA1UEBxMNU2FuIEZyYW5jaXNjbzEZ
 MBcGA1UEChMQQ2xvdWRGbGFyZSwgSW5jLjE4MDYGA1UECxMvQ2xvdWRGbGFyZSBP
 cmlnaW4gU1NMIEVDQyBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkwWTATBgcqhkjOPQIB
 BggqhkjOPQMBBwNCAASR+sGALuaGshnUbcxKry+0LEXZ4NY6JUAtSeA6g87K3jaA
 xpIg9G50PokpfWkhbarLfpcZu0UAoYy2su0EhN7wo2YwZDAOBgNVHQ8BAf8EBAMC
 AQYwEgYDVR0TAQH/BAgwBgEB/wIBAjAdBgNVHQ4EFgQUhTBdOypw1O3VkmcH/es5
 tBoOOKcwHwYDVR0jBBgwFoAUhTBdOypw1O3VkmcH/es5tBoOOKcwCgYIKoZIzj0E
 AwIDSQAwRgIhAKilfntP2ILGZjwajktkBtXE1pB4Y/fjAfLkIRUzrI15AiEA5UCL
 XYZZ9m2c3fKwIenMMojL1eqydsgqj/wK4p5kagQ=
 -----証明書終了-----

オリジンCA証明書を削除する

以下のオリジンCA証明書を無効にする手順に従ってください。

1. Cloudflareにログインする
2. オリジンCA証明書を無効にするドメインのアカウントを選択します。
3. ドメインを選択します。
4. SSL/TLSアプリをクリックし、オリジン証明書までスクロールダウンしてください。 次に、embedded-entry-inline id: mdJO30UrQ5xhK46OC6wmlを入力してください。
5. オリジンCA証明書の一覧で証明書名の右側にあるXアイコンをクリックします。
6. オリジン証明書を無効にするという確認ウィンドウが表示されます。
7. 確認ボックスをチェックし、「無効（Revoke）」をクリックします。

関連リソース

• Cloudflare SSLについて：概要
• Cloudflareブログ：CloudflareオリジンCAの紹介