Como gerenciar os certificados de CA de origem da Cloudflare

Entenda como utilizar um certificado de CA de origem da Cloudflare para criptografar o tráfego entre a Cloudflare e o seu servidor web de origem. Saiba como gerenciar os certificados de CA de origem por meio da Cloudflare e receba orientações sobre como instalar os certificados de CA de origem no seu servidor web de origem.


Visão geral

Use certificados de CA de origem para criptografar o tráfego entre a Cloudflare e o seu servidor web de origem. Para garantir maior comodidade, segurança e desempenho, a Cloudflare recomenda um certificado de CA de origem adicionado a um certificado autoassinado ou a um certificado adquirido de uma Autoridade de Certificação. Com um certificado de CA de origem, você pode usar os modos de SSL Completo e Completo (rigoroso) no aplicativo SSL/TLS da Cloudflare sem antes ter que adquirir um certificado de uma Autoridade de Certificação para instalar no seu servidor web de origem.

Os certificados de CA de origem criptografam apenas o tráfego entre a Cloudflare e o seu servidor web de origem e não são considerados confiáveis por navegadores de clientes que acessam o seu site de origem diretamente, fora da Cloudflare. Para os subdomínios que utilizam certificados de CA de origem, pausar ou desabilitar a Cloudflare causará erros de certificado não confiável para os visitantes do site.

De modo geral, a implantação de certificados de CA de origem requer três etapas:

  1. Criar um certificado de CA de origem
  2. Instalar um certificado de CA de origem no seu servidor web de origem
  3. Configurar o modo de SSL no aplicativo SSL/TLS da Cloudflare
O Google App Engine não suporta os certificados de CA de origem da CloudFlare. 

Etapa 1 — criar um certificado de CA de origem

Você pode gerar seu próprio certificado de CA de origem no painel da Cloudflare:

  1. Faça login na Cloudflare.

  2. Selecione a conta correspondente ao domínio que requer um certificado de CA de origem.

  3. Selecione o domínio.

  4. Clique no aplicativo SSL/TLS.

  5. Role para baixo na página até Certificados de Origem.

  6. Clique em Criar Certificado para abrir a janela de Instalação do Certificado de Origem .

  7. Na janela de Instalação do Certificado de Origem opte por:
    • Deixar a Cloudflare gerar uma chave privada e uma CSR — requer a especificação do tipo de chave privada, RSA ou ECDSA; ou
    • Tenho minha própria chave privada e CSR — requer copiar e colar a Solicitação de Assinatura de Certificado no campo de texto.

  1. Listar os hostnames (incluindo caracteres curingas) que o certificado deve proteger com criptografia SSL. A zona raiz e o hostname de primeiro nível com caractere curinga são incluídos por padrão.
Você pode incluir até 100 hostnames ou hostnames com caracteres curingas em um único certificado e pode incluir hostnames para outros domínios dentro da mesma conta na Cloudflare. Você também pode adicionar o suporte a subdomínios de diversos níveis, tais como *.test.dev.www.example.com.
  1. Selecione a data de expiração do certificado. A validade padrão é de 15 anos e a validade mínima é de 7 dias.

  1. Clique em Avançar.

  2. Selecione o Formato da Chave. Selecione o formato do par de chaves que melhor corresponda ao seu ambiente. A maioria dos servidores web baseados em OpenSSL, como Apache e NGINX, esperam arquivos PEM (ASCII codificado em Base64), mas também funcionam com arquivos binários DER. Os usuários de Windows e do Apache Tomcat devem optar pelo padrão PKCS#7.

  3. Copie os dados da Chave privada e do Certificado de Origem assinados em arquivos separados, conforme as instruções da janela de Instalação do Certificado de Origem.
Certifique-se de copiar os dados da Chave privada antes de clicar em OK. Por motivos de segurança, a Chave privada não será exibida novamente após a criação do certificado de origem.

  1. Clique em OK.

Etapa 2 — instalar um certificado de CA de origem no seu servidor web de origem

Adicionar um certificado de CA de origem a um servidor web de origem requer várias etapas de caráter geral:

  1. Carregue o certificado de CA de origem (criado acima, na Etapa 1) no seu servidor web de origem.

  2. Use os manuais de instalação nos links abaixo para atualizar a configuração do seu servidor web de forma a apontar para o certificado.

  3. (Opcional para a maioria dos servidores web de origem) Carregue o certificado raiz de CA da Cloudflare para o seu servidor web de origem.
Alguns servidores web, como o IIS e o cPanel, validam o certificado raiz de CA de origem. Esses servidores web solicitam o certificado raiz de CA da Cloudflare durante a configuração.
  1. Habilite o SSL e a porta 443 no seu servidor web de origem.

  2. Verifique se o firewall do seu servidor de origem não bloqueia as conexões da porta 443.

Confira a lista de links abaixo para obter instruções de instalação específicas para o seu servidor web de origem. Para obter ajuda adicional relativa à instalação de um certificado de CA de origem, entre em contato com o seu provedor de hospedagem, administrador da web ou fornecedor de servidor web.

 


Etapa 3 — configurar o modo de SSL no aplicativo SSL/TLS da Cloudflare

Após instalar o certificado de CA de origem da Cloudflare no seu servidor web de origem, instrua a Cloudflare a criptografar o tráfego para o seu servidor web de origem. Para habilitar a criptografia entre a Cloudflare e o seu servidor web de origem, configure o modo SSL no aplicativo SSL/TLS da Cloudflare como Completo ou Completo (rigoroso).

Essa alteração deve ser feita por meio do aplicativo SSL/TLS em âmbito geral somente se todos os seus hosts de origem estiverem protegidos por certificados de CA de origem ou certificados publicamente confiáveis.  Caso contrário, considere configurar o SSL como Completo ou Completo (rigoroso) por meio do aplicativo Page Rules da Cloudflare.
Para evitar erros de loop de redirecionamento, primeiro verifique se a configuração do seu servidor web de origem não está redirecionando HTTPS para HTTP ou HTTP para HTTPS de contrariando a forma como o modo de SSL da Cloudflare está configurado para as conexões entre a Cloudflare e seu servidor web de origem.

Etapa 4 (opcional) — adicionar certificados raiz de CA de origem da Cloudflare

Alguns servidores web de origem exigem que o certificado raiz de CA de origem da Cloudflare seja carregado no servidor. Veja abaixo as versões RSA e ECC do certificado raiz de CA de origem da Cloudflare. Clique em um dos links a seguir para baixar o arquivo:

O cPanel não suporta certificados ECC. Use o certificado raiz RSA de CA de origem abaixo.

Alternativamente, clique para expandir o conteúdo do certificado raiz e, em seguida, copie e cole na configuração do seu servidor web de origem:


Remover um certificado de CA de origem

Siga essas etapas para revogar um certificado de CA de origem:

  1. Faça login na Cloudflare.

  1. Selecione a conta correspondente ao domínio no qual o certificado de CA de origem precisa ser revogado.

  1. Selecione o domínio.

  1. Clique no aplicativo SSL/TLS e role para baixo na página até Certificados de Origem.
Os visitantes verão erros relativos à insegurança do site até o certificado de CA de origem ser substituído. Para evitar erros, antes de revogar um certificado de CA de origem certifique-se de que o modo SSL esteja configurado como Completo ou Flexível, e não como Completo (rigoroso), seja em âmbito geral, por meio do aplicativo SSL/TLS, seja para um hostname específico, por meio do aplicativo Page Rules.
  1. Clique no ícone X à direita do nome do certificado na lista de certificados de CA de origem.

  1. A janela de confirmação de Revogar o Certificado de Origem será exibida.

  1. Marque a caixa de confirmação e clique emRevogar.

Recursos relacionados

Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.