カスタムSSL証明書の追加、編集に加えて秘密鍵ファイルのパスワードの削除についても学びましょう。
概要
カスタムSSL証明書は次のような利点があります。
- 複数のお客様のドメインで共有することはできません。
- お客様は、Cloudflareのネットワークから有効で既存するSSL 証明書を提供されます。
BusinessプランとEnterpriseプランのドメインがCloudflareでアクティブになると、ドメインは、カスタムSSL証明書が許可されます。Business ドメインごとに一つのカスタムSSL証明書だけが許可されます。デフォルトで、企業のお客様はEnterprise ドメインごとに一つのカスタムSSL証明書が許可されますが、Cloudflareアカウントチームに追加のカスタムSSL証明書を要求することもできます。カスタムSSL証明書の対象となっていない第1レベルホスト名は全て、有効化すれば、CloudflareのUniversal SSL証明書で対象となります。
Cloudflareでは、数種類のSSL証明書のアップロードができます:
- ユニファイドコミュニケーション証明書 (UCC)
- EV認証(EV)
- ドメイン認証 (DV)
- 企業実在認証(OV)
カスタムSSL証明書をCloudflareにアップロードする前に、秘密鍵ファイルがパスワード保護されていないことを確認してください。
前提条件
カスタムSSL証明書をCloudflareにアップロードする前に、前提条件が二つあります:
キーファイルのパスワードを削除する
アップロードしたキーファイルがパスワードで保護されている場合は、CloudflareSSL/TLSアプリが次のエラーを生成します。
キーがパスワードで保護されています。パスワードを消去して、再送信してください。
キーファイルパスワードを消去する際、使用するオペレーティングシステムによって解決方法が異なります。例えば、mydomain.com.key が秘密鍵のファイルである場合、パスワード保護は次の方法のうち一つを使って削除することができます。
1. コマンドコンソールを開きます。
2. mydomain.com.key ファイルを含むディレクトリに移動します。
3. オリジナルキーをコピーします:
cpmydomain.com.key temp.key
4. 次のコマンドを実行します:
openssl rsa -in temp.key -out mydomain.com.key
5. コンソールウインドウが表示されたら、オリジナルキーパスワードを入力します。
6. Cloudflareにmydomain.com.key ファイルのコンテンツをアップロードします。
1. http://indy.fulgan.com/SSL/を閲覧します。
2. x86 or x86_64オペレーティングシステムにOpenSSLの最新版をダウンロードします。
3. .zipファイルを開いてから解凍します。
4.openssl.exeをクリックします。
5. 表示されたコマンドウィンドウで、次を実行します:
rsa -in C:\Path\To\mydomain.com.key -out key.pem
6. openssl.exeコマンドウィンドウで表示されたら、オリジナルキーパスワードを入力します。
7. Cloudflareに、 mydomain.com.key ではなく、key.pem ファイルのコンテンツをアップロードします。
秘密鍵と証明書をPEM形式に変換する
秘密鍵と証明書がPFXのように標準PEM形式に変換されていることを確認します。Cloudflareが次の形式を許可します:
- PEMエンコードされたキーと証明書が通常のテキストファイルにあり、通常は.pem で終わります。ファイル拡張子は、暗号化されていない証明書および/または秘密鍵が含まれています。
- PKCS#7ファイルは、通常 .p7b か.p7cファイル拡張子で終わります。そして、 "signedData"形式(data (データ)、envelopedData(署名・エンベロープ データ)、digestedData(ダイジェストデータ)、encryptedData(暗号データ)はサポートされていません)で暗号化されています。
- PKCS#12 ファイルは通常 .pfx または.p12 で終わっていて、空白のパスワードで暗号化されています。
変換の例については、OpenSSLを使って変換するの資料を参照してください。この前提条件を無視すると、SSL証明書のアップロード時にこのキーでは解析できませんというエラーが発生します。
カスタムSSL証明書のアップロード
次の手順を行って、カスタムSSL証明書のアップロードを行ってください:
1. Cloudflareのダッシュボードにログインします。
2. 使用するCloudflareアカウントをクリックし、適切なドメインを選択します。
3. SSL/TLSアプリをクリックします。
4. Edge証明書セクションの中にあるカスタムSSL証明書をアップロードするをクリックします。カスタムSSL証明書をアップロードすると、キーウィンドウが表示されます。
5. SSL証明書ファイルを開けます。
6. SSL証明書ファイルのコンテンツをSSL証明書テキストエリアにコピペします。
7. 適切なバンドル方法を選択します(下記の手順を参照してください)。
8. SSL証明書の秘密鍵ファイルを開いてください。
9. 秘密鍵ファイルのコンテンツを秘密鍵テキストエリアにコピペします。
10. 秘密鍵の制限を選択します(下記の手順を参照してください)。
11. レガシークライアントサポートを選択します下記の手順を参照してください)。
カスタムSSL証明書をアップデートする手順は、最初に証明書をアップロードする手順と非常によく似ています。
バンドルメソッドを選択する
バンドルメソッドによって、どのようにSSL証明書が中間証明書とバンドルされて、証明書チェーンを完成させるかが決定されます。バンドルメソッドのおかげで、お客様はお好みのSSL証明書チェーンを選択することができます。
- Compatible(コンパチブル )が古いブラウザともお客様とも互換性を最大限にします。
- 新しくて数も少ない中間証明書は古いブラウザをネグレクトしており、それを使うことで、Modern(モダン)が効果性を上げるために証明チェーンを最適化します。
- User Defined(ユーザー定義)を使うことで、お客様は独自の証明書チェーンを提供できます。
秘密鍵制限を選択する
Private Key Restriction(秘密鍵制限)によって、どのCloudflarデータセンターがSSL秘密鍵を保存するかに制限を加えます。秘密鍵を所有するデータセンターと訪問者のHTTPSリクエストの物理的な距離によって、最初のリクエストにレイテンシーが発生することがあります。詳細については、Cloudflareのブログに掲載されているGeo Key Managerの紹介をご覧ください。
レガシクライアントのサポートを有効化する
Legacy Client Support(レガシクライアントのサポート)がサーバー名表示 (SNI)を切り替えます。オプションは次の通りです:
- Modern(モダン): SNIのみ
- Legacy(レガシ): 非SNIをサポート
Modern(モダン)はデフォルト動作であり、Cloudflareで推奨されています。特定のクライアントが非SNIサポートをご希望の場合にLegacyをご使用ください。 現在、Cloudflare APIが全てのSSL証明書をLegacy(レガシ)として扱っています。
カスタムSSL証明書を更新する
SSL証明書には、必ず有効期限がついています。カスタムSSL証明書は、Cloudflareによって自動的に更新されるものではありません。そのため、ご自身でカスタムSSLの有効期限日を確かめ、証明書のベンダーから最新のSSL証明書を取得する必要があります。
次の手順で、以前にアップロードしたカスタムSSL証明書を更新してください。
1. Cloudflareのダッシュボードにログインします。
2. ドメインに使用されるCloudflareアカウントをクリックし、該当するドメインを選択します。
3. SSL/TLSアプリをクリックします。
4. Edge証明書で、Type(タイプ)がアップロードされているカスタムSSL証明書に対してManage(管理)をクリックします。
5. レンチアイコンをクリックすると、SSL証明書とキーを取り換えるウィンドウが表示されます。
6. このガイドのカスタムSSL証明書をアップロードするにあるステップ5から始まる元の手順にしたがってください。