カスタムホスト名機能を使用して、セキュリティとパフォーマンスを向上させるCloudflareのメリットをエンドカスタマーにも広げる方法についてご説明します。カスタムホスト名を管理する方法についてもご案内します。
概要
カスタムホスト名(別名:SSL for SaaS)を使用することにより、セキュリティとパフォーマンスを向上させるCloudflareのメリットをエンドカスタマーにも広げることができます。 Cloudflareでは、新規発行や自動更新を含むSSL証明書ライフサイクル全体を管理します。
カスタムホスト名は、SaaS企業のエンドカスタマーに次のようなメリットを提供します:
- ブランド名が含まれる訪問者の利用体験
- 信頼とSEOランキングの向上
- HTTP/2プロトコルを使用することによる高速化
- SSLライフサイクル全体の効率的な管理
エンドカスタマーがすでにCloudflareを利用している場合、お客様のカスタムホスト名の設定で管理対象となっているホスト名に関しては、特定のCloudflare機能について、エンドカスタマーは自身のカスタム設定を制御することはできません。たとえば次のような設定です:
- Page Rule
- ファイアウォールの設定
- Webアプリケーションファイアウォール(WAF)
- SSLの設定
エンドカスタマーのページ ルール、レート制限、 SSL、または他の機能を制御する方法については、Cloudflareの開発者向けドキュメント「ホスト名の特定の動作をカスタマイズする」を参照してください。
CloudflareのアカウントチームがEnterpriseドメインでカスタムホスト名機能の利用を許可すると、カスタムホスト名を追加することができます。
クライアントがSNIサポートを必要とする場合:
- Cloudflareで生成されたカスタムホスト名(SSL for SaaS)証明書を使用します、または
- Cloudflare APIを介してお客様のサイトのカスタムホスト名(SSL for SaaS)SNI 証明書をアップロードします。
クライアントがSNIサポートを必要としない場合:
- アップロード処理中、またはCloudflare APIを介して、カスタムSSL証明書をアップロードし、 レガシークライアントサポートをレガシーに設定します。
- あるいは、Cloudflareサポートを通じて、Universal証明書、専用証明書、カスタム証明書、またはカスタムホスト名証明書について、Proプラン、Businessプラン、またはEnterpriseプランのドメインに対するSNI以外のサポートを有効にすることができます。
カスタムホスト名を追加する
UIを介してカスタムホスト名を追加するには、次の手順に従います。あるいは、カスタムホスト名APIドキュメントを参照してください。
- Cloudflareダッシュボードにログインします。
- カスタムホスト名を管理するドメインのCloudflareアカウントをクリックします。
- ドメインを選択します。
- SSL/TLSアプリをクリックします。
- カスタムホスト名(Custom Hostnames)タブをクリックします。
- カスタムホスト名(Custom Hostnames)内で、カスタムホスト名の追加(Add Custom Hostname)をクリックします。 カスタムホスト名の追加(Add a Custom Hostname)画面が表示されます。
- カスタムホスト名に追加するホスト名(ドメインにCNAMEが含まれるもの)を入力します。
- 検証方法(validation method)を選択します(HTTP検証を推奨)。
- カスタムホスト名の追加(Add Custom Hostname)をクリックします。
カスタムホスト名を追加したら、 SSL/TLS アプリ内の 「カスタムホスト名(Custom Hostnames)」 タブの 「カスタムホスト名(Custom Hostnames)」 セクションの 証明書ステータス にあるプロビジョニングステータスを確認します。カスタムホスト名の 証明書ステータスの即時再検証を依頼するには、 「アクション(Actions)」の下にある円形矢印アイコンをクリックします。証明書ステータスの詳細については、Cloudflareの開発者向けドキュメントを参照してください。
発行された証明書は1年間有効で、有効期限の30日前に自動的に更新されます。更新時に、お客様やエンドカスタマーは何もする必要はありません。
カスタムホスト名の検証方法を理解する
エンドカスタマーのドメインのSSL証明書をプロビジョニングするには、検証が必要です。 検証プロセスと展開プロセスは、約90秒で完了します。 次の3つの検証方法があります:
- HTTP (推奨):SSL証明書が発行される前に、Cloudflare経由(CNAMEレコード経由)でエンドカスタマーのHTTPトラフィックをプロキシする必要があります。エンドカスタマーのDNS CNAMEレコードが、カスタムホスト名を管理するドメインを指すよう設定します。
- メール:CloudflareはドメインのRegistrarのファイルにあるWHOISの連絡先だけでなく、ドメインのアドレス(admin、administrator、hostmaster、postmaster、webmaster)にもメールを送ります。
- CNAME:認証局がSSL証明書のプロビジョニングを承認するには、エンドカスタマーが権威DNSプロバイダーで、追加のDNS CNAMEレコードを設定する必要があります。
CloudflareはデフォルトでSSL証明書をHTTP経由で自動的に更新します。これはCNAMEまたはメールの検証方法を選択した場合も同様です。HTTP経由の自動更新に問題がある場合、Cloudflareはすべてのアドミニストレーター、スーパーアドミニストレーター、そしてカスタムホスト名を管理するドメインのアカウントに対して、SSL/TLS権限を持つメンバー宛に、CNAME検証レコードをメールで送信します。カスタムホスト名SSL証明書を更新するには、エンドカスタマーの権威DNSサーバーでCNAME検証レコードを設定してください。
カスタマイズしたカスタムホスト名の証明書を管理する
カスタムホスト名機能は、カスタムSSL証明書のアップロードをサポートしています。カスタムSSL証明書の一般的な使用例は、 拡張検証(EV)証明書 を提供する場合、またはエンドカスタマーの情報セキュリティポリシーが、エンドカスタマーに代わって第三者がプライベート キーを生成することを許可していない場合です。独自の証明書を提供する場合に問題になるのは、有効期限前に手動で更新することと再アップロードです。 カスタム証明書のアップロードに関する開発者向けドキュメントを参照してください。
エンドカスタマーが認証局(CA)から自身のSSL証明書を取得することを希望する場合、Cloudflareは、エンドカスタマーの組織名や組織の所在地などを含む証明書の署名リクエスト(CSR)を作成できます。関連付けられているプライベート キーは、Cloudflareが作成し、Cloudflareのネットワークを離れることはないので、不安全な取り扱いのリスクを回避できます。
カスタムホスト名ごとにカスタム動作を設定する
エンドカスタマーのためにカスタム動作を設定するには、次の2つの方法があります:
- Page Rule
- Custom Metadata
Page Rule
Page Rulesアプリを使用して、エンドカスタマーのホスト名ごと、またはエンドカスタマーのリクエストにワイルドカードを使用するURLパスごとにカスタム動作を設定します。キャッシュ動作を変更するための レート制限の変更、キャッシュのパージ、または Page Rule の設定の例およびエンドカスタマーのホスト名のセキュリティ設定の例については、 Cloudflareの開発者向けドキュメントを参照してください。
Page Ruleで設定できるルール数の上限は100です。この上限を超えるエンドカスタマーの動作を設定する必要がある場合は、Custom Metadataオプションを使用してください。
Custom Metadata
Page RulesまたはRate Limitsで許可されている上限の100ルールを超えてエンドカスタマーのホスト名ごとにカスタム動作を設定するには、Cloudflareのアカウントチームに連絡してCloudflare Workers機能とCustom Metadata機能を有効にしてください。Custom Metadataの使用例および使用に際しての制限事項については、開発者向けドキュメントを参照してください。これらの機能の使用について何かご不明な点がございましたら、Cloudflareのアカウントチームにご連絡ください。