カスタムホスト名機能を使用して、セキュリティとパフォーマンスを向上させるCloudflareのメリットをエンドカスタマーにも享受してもらう方法を説明します。 カスタムホスト名を管理する方法を理解する
概要
カスタムホスト名(SSL for SaaS)を使用することにより、セキュリティとパフォーマンスを向上させるCloudflareのメリットをエンドカスタマーにも享受してもらうことができます。 Cloudflareは、新規発行や自動更新を含むSSL証明書ライフサイクル全体を管理します。
カスタムホスト名は、SaaS企業のエンドカスタマーに次のようなメリットを提供します:
- ブランド名の含まれる訪問者の利用体験
- 信頼とSEOランキングの向上
- HTTP/2プロトコルを使用することによる高速化
- SSLライフサイクル全体の効率的な管理
エンドカスタマーがすでにCloudflareを使用している場合、カスタムホスト名の設定によって管理されるホスト名に対する、特定のCloudflare機能のカスタム設定を制御することはできません。たとえば次のような設定です:
- Page Rule
- ファイアウォールの設定
- Web Application Firewall(WAF)
- SSLの設定
エンドカスタマーのPage Rules、Rate Limiting, SSL、または他の機能を制御する方法を理解するには、Cloudflareの開発者向けドキュメント「ホスト名の特定の動作をカスタマイズする」を参照してください。
CloudflareのアカウントチームがEnterpriseドメインでカスタムホスト名機能を利用できるようにしたら、 カスタムホスト名を追加することができます。
クライアントがSNIサポートを必要とする場合:
- Cloudflareで生成されたカスタムホスト名(SSL for SaaS)証明書を使用します、または
- Cloudflare APIを介してお客様のサイトのカスタムホスト名(SSL for SaaS)SNI証明書をアップロードします。
クライアントがSNIサポートを必要としない場合:
- アップロード時にまたはCloudflare APIを介してカスタムSSL証明書をアップロードして、 レガシークライアントサポートをレガシーに設定します。
- あるいは、Cloudflareサポートを通じて、Universal証明書、専用証明書、カスタム証明書、またはカスタムホスト名証明書について、Proプラン、Businessプラン、またはEnterpriseプランのドメインに対するSNI以外のサポートを有効にすることができます。
カスタムホスト名を追加する
UIを介してカスタムホスト名を追加するには、次の手順に従います。 あるいは、カスタムホスト名API ドキュメントを参照してください。
- Cloudflareダッシュボードにログインします。
- カスタムホスト名を管理するドメインの該当するCloudflareアカウントをクリックします。
- ドメインを選択します。
- SSL/TLSアプリをクリックします。
- 「カスタムホスト名(Custom Hostnames)」タブをクリックします。
- 「カスタムホスト名(Custom Hostnames)」内で、「カスタムホスト名の追加(Add Custom Hostname)」をクリックします。 「カスタムホスト名の追加(Add a Custom Hostname)」画面が表示されます。
- カスタムホスト名に追加するホスト名(ドメインにCNAMEが含まれるもの)を入力します。
- 検証方法を選択します(HTTP検証を推奨)。
- 「カスタムホスト名の追加(Add Custom Hostname)」をクリックします。
カスタムホスト名を追加したら、 SSL/TLS アプリ内の 「カスタムホスト名(Custom Hostnames)」 タブの 「カスタムホスト名(Custom Hostnames)」 セクションの 証明書ステータス にあるプロビジョニングステータスを確認します。カスタムホスト名の 証明書ステータスの即時再検証を依頼するには、 「アクション(Actions)」の下にある円形矢印アイコンをクリックします。 証明書ステータス の詳細については、Cloudflareの開発者向けドキュメントを参照してください。
発行された証明書は1年間有効で、有効期限の30日前に自動的に更新されます。 更新時に、お客様やエンドカスタマーは何もする必要はありません。
カスタムホスト名の検証方法を理解する
エンドカスタマーのドメインのSSL証明書をプロビジョニングするには、検証が必要です。 検証プロセスと展開プロセスは、約90秒で完了します。 次の3つの検証方法があります:
- HTTP(推奨):SSL証明書が発行される前に、Cloudflare経由(CNAMEレコード経由)でエンドカスタマーのHTTPトラフィックをプロキシする必要があります。 エンドカスタマーのDNS CNAMEレコードが、カスタムホスト名を管理するドメインを指すよう設定します。
- メール:CloudflareがレジストラーにあるファイルのWHOIS連絡先にドメインおよびドメインの次のアドレスをメール送信します:admin、administrator、hostmaster、postmaster、およびwebmaster。
- CNAME:認証局がSSL証明書のプロビジョニングを承認するために、エンドカスタマーが、権威DNSサーバーにて追加のDNS CNAMEレコードを設定する必要があります。
CNAMEまたはメールの検証方法を選択しても、CloudflareはデフォルトでHTTP経由でSSL証明書を自動的に更新します。 HTTP経由の自動更新に問題がある場合、Cloudflareは、すべてのアドミニストレーター、スーパーアドミニストレーター、およびカスタムホスト名を管理するドメインのアカウントに対してSSL/TLS権限を持つメンバーに、CNAME検証レコードをメール送信します。カスタムホスト名SSL証明書を更新するために、エンドカスタマーの権威DNSサーバーでCNAME検証レコードを設定してください。
カスタマイズしたカスタムホスト名の証明書を管理する
カスタムホスト名機能は、カスタムSSL証明書のアップロードをサポートしています。カスタムSSL証明書の一般的な使用例は、 拡張検証(EV)証明書 を提供する場合、またはエンドカスタマーの情報セキュリティポリシーが、エンドカスタマーに代わって第三者が秘密鍵を生成することを許可していない場合です。独自の証明書を提供する場合に問題となるのは、手動での更新と有効期限前の再アップロードです。 カスタム証明書のアップロードに関する開発者向けドキュメントを参照してください。
エンドカスタマーが認証局(CA)から各自のSSL証明書を取得することを希望する場合、Cloudflareは、エンドカスタマーの組織名や組織の所在地などを含む証明書署名要求(CSR)を生成できます。 関連付けられている秘密鍵は、Cloudflareによって生成され、Cloudflareのネットワークから離れることはないので、不安全な取り扱いがされるリスクを回避できます。 証明書署名要求に関するCloudflareの開発者向けドキュメントを参照してください。
カスタムホスト名ごとにカスタム動作を設定する
エンドカスタマーのためにカスタム動作を設定するには、次の2つの方法があります:
- Page Rule
- Custom Metadata
Page Rule
Page Rulesアプリを使用して、エンドカスタマーのホスト名ごと、またはエンドカスタマー要求にワイルドカードを使用するURLパスごとにカスタム動作を設定します。キャッシュ動作を変更するための Rate Limitingの変更、キャッシュの削除、または Page Rule の設定の例およびエンドカスタマーのホスト名のセキュリティ設定の例については、 Cloudflareの開発者向けドキュメントを参照してください。
Page Ruleで設定できるルール数の上限は100です。この上限を超えるエンドカスタマーの動作を設定する必要がある場合は、Custom Metadataオプションを使用してください。
Custom Metadata
Page RulesまたはRate Limitsで許可されている上限の100ルールを超えてエンドカスタマーのホスト名ごとにカスタム動作を設定するには、Cloudflareのアカウントチームに連絡してCloudflare Workers機能とCustom Metadata機能を有効にしてください。Custom Metadataの使用例および使用に際しての制限事項については、開発者向けドキュメントを参照してください。 こうした機能の使用について何か不明な点がありましたら、Cloudflareのアカウントチームに連絡してください。