HOME  /ZeroTrust
 /Cloudflare WARPの証明書の更新
2024年11月11日

Cloudflare WARPの証明書の更新

CloudflareのZero Trustに接続するWARPの証明書は[デフォルトの証明書]を利用してセットアップしてきました。

この[デフォルトの証明書]は利用期限が決まっており、期日が迫るとCloudflareから証明書を更新しろ!とのメールが届きます。

 

[デフォルトの証明書]はどのセキュリティ空間にも利用できる共通の証明書でしたが、これから作成する証明書は貴方のセキュリティ空間専用の証明書になります。

ここではこの証明書の作成方法と展開方法を解説します。

1.事前知識

2.新しい証明書の作成と切り替え

3.WindowsPCの証明書変更

4.Androidの証明書変更

5.iOSの証明書変更

1.事前知識

1.証明書の名前

更新証明書はデフォルトの証明書と下表の様に名前が異なります。

項目 ファイル名 証明書に記述されている名前
デフォルト証明書 Cloudflare_CA.crt Cloudflare for Teams ECC Certificate Authority
新たな証明書 certificate.crt Gateway CA -Cloudflre Managed G1 xxxxxxxxxx

■xxxxxxxxxxは作成時に付けられ、これにより貴方のセキュリティ空間専用の証明書名になります。

 

2.証明書を切換えると発生する問題

証明書を切り替えるとZero Trustの設定の一部がデフォルトに戻る事がありましたので、切り替える前に下記の設定内容を確認し、記録しておいて下さい。

[TLS decryption]と[AV scanning]の設定

[settings]→[Network]にある[TLS decryption]と[AV scanning]がOFFになる事がありました。

よって証明書を更新した後は必ずこの設定を確認し、OFFの場合はONにして下さい。

 

Gatewayのブロック画面のカスタマイズの設定

[Settings]→[Custom Pages]の中の[Block page]の設定がデフォルトに戻る事がありました。

よってこの設定も証明書を切換える前に確認し設定内容を他のツールに記録しておいて下さい。

このサイトのサンプル事例は[Gatewayのブロック画面のカスタマイズ]になります。

 

2.新しい証明書の作成と切り替え

①[Settings]→[Resources]を開きます。

②[Cloudflare certificates]の[manage]ボタンを挿入します。

③現在の画面の確認

下記画面はデフォルトの証明書[Cloudflare default certificate]が[Active]で[IN-Use(現在の証明書)]である事を表しています。

この証明書の有効期限が近づいたのでCloudflare社からメールが送られてきました。

■もし上記以外の証明書が自動で作られていた場合は、右側のメニュをクリックし[Details]画面に入り[Deactivate]ボタンを挿入後、[Delete]ボタンで削除して下さい。

 

④画面にある[Generate certificate]を挿入して、新しい証明書を作成します。

デフォルトの証明書の期間は5年なので、これで作成して下さい。(30年まで作れるようです)

作成された証明書は[INACTIVE]になっているので、右側のメニュから[Activate]を実行します。

 

⑤利用する証明書の切り替え

[Activate]したあと暫くすると、新しい証明書も[Active]になります。

次はこの証明書を使う!という宣言です。

右側のメニュから[Details]を実行します。

 

⑥表示された画面から[Confirm and turn on certificate]を実行します

 

⑦画面の確認と証明書のダウンロード

新しい証明書が[IN-Use(現在の証明書)]になりました。

あとは新しい証明書を右側のメニュの[Download.crt]でダウンロードしPCにインストールします。

スマホにはメールで上記の証明書を添付ファイルで送りインストールします。

 

3.WindowsPCの証明書変更

1.古い照明書の削除

①Windowsマークを右クリックし[ファイル名を指定して実行]を起動します。

②[certmgr.msc]を入力しOKボタンを挿入します。

③[信頼されたルート証明機関証明書]をダブルクリックして証明書を表示させます。

④古い証明書の削除

・[デフォルト証明書]を利用していた場合は[Cloudflare for Teams ECC Certificate Authority]を削除します。

・既に[新たな証明書]を使っていた場合は[Gateway CA -Cloudflre Managed G1 xxxxxxxxxx]を削除します。

 

2.新しい証明書のインストール

①ダウンロードした証明書(certificate.crt)をダブルクリックし、開いたダイアログボックスの[開く]ボタンを挿入します。

②表示された画面の[証明書のインストール]ボタンを挿入します。

③次の画面で保存場所を[ローカルコンピュータ]に設定し[次へ]で先に進みます。

④次の画面で[証明書をすべて次のストアに配置する]を選択し、[参照]ボタンを挿入し、[信頼されたルート証明機関]を選択して[OK]ボタンを挿入します。

⑥[次へ]で先に進み[完了]ボタンを挿入します。

 

4.Androidの証明書変更

1.古い照明書の削除

①[設定セキュリティ認証情報ストレージ]を実行します。

②[信頼できる証明書]を選択します。

③[ユーザ]タブを選択します。

④古い証明書の削除

・[デフォルト証明書]を利用していた場合は[Cloudflare for Teams ECC Certificate Authority]を削除します。

・既に[新たな証明書]を使っていた場合は[Gateway CA -Cloudflre Managed G1 xxxxxxxxxx]を削除します。

⑤ファイルアプリの[ダウンロード]フォルダから古い証明書ファイルも削除して下さい。

・[デフォルト証明書]を利用していた場合は[Cloudflare_CA.crt]を削除します。

・既に[新たな証明書]を使っていた場合は[certificate.crt]を削除します。

 

2.新しい証明書のインストール

①PCにダウンロードした証明書(certificate.crt)をメールに添付してスマホに送ります。

②スマホのメールを開いて添付された証明書にあるダウンロードボタンを挿入します。

以上で内部ディスクに証明書がダウンロードされます。

③ファイルアプリの[ダウンロード]フォルダでダウンロードされたファイルを確認します。

新しい証明書は[certificate.crt]です。

無い場合はSDカードの[ダウンロード]フォルダを確認して下さい。

④[設定セキュリティ認証情報ストレージ]を実行します。

⑤表示された画面から[ストレージから証明書をインストール]を実行します。

⑥[CA証明書]を選択します。

⑦次の画面で[インストールする]を選択します。

⑧ファイル一覧が表示されるので[certificate.crt]を探して選択します。

以上で証明書がインストールされます。

 

5.iOSの証明書変更

1.古い照明書の削除

①[設定一般]の[VPNとデバイス管理]を開きます。

②古い証明書の削除

・[デフォルト証明書]を利用していた場合は[Cloudflare for Teams ECC Certificate Authority]を削除します。

・既に[新たな証明書]を使っていた場合は[Gateway CA -Cloudflre Managed G1 xxxxxxxxxx]を削除します。

 

2.新しい証明書のインストール

iOSでは[Safari]ブラウザのみ証明書をダウンロードできます。

①PCにダウンロードした証明書(certificate.crt)をWebメールに添付して送ります。

②SafaliからWebメールを開き証明書(certificate.crt)をクリックします。

③画面に表示された[ダウンロード]をクリックし[許可]を選択します。

ダウンロードしたら[閉じる]で終了します。

④[設定一般]の[VPNとデバイス管理]を開きます。

この中に[Gateway CA -Cloudflre Managed G1 xxxxxxxxxx]が表示されています。

⑤証明書をクリックします。

⑥表示された画面の右上の[インストール]をクリックします。

⑦警告画面の右上の[インストール]をクリックし、プロファイル画面の[インストール]をクリックします。

⑧[完了]を挿入します。

以上で証明書がインストールされました。

 

次にこの証明書の信頼度設定を行います。

①[設定一般]の[情報]を開きます。

②画面の一番下にある[証明書信頼設定]を開きます。

③[Gateway CA -Cloudflre Managed G1 xxxxxxxxxx]をONにします。

④ルート証明書画面の[続ける]をクリックします。

以上でこの証明書が利用できる様になりました。

 

3.参考情報

2024年10月21日現在のiOSの[Cloudflare One Agent]のバージョンは1.6です。

このバージョンはローカルリソースアクセスは問題ないのですが、インターネットアクセスにバグがある様です。

DNSポリシは機能しているので[セキュリティカテゴリ]や[コンテンツカテゴリ]はブロックされるのですが、セキュリティ空間専用のDNSリゾルバとにリンクが上手くいってないようで、カスタマイズしたブロック画面が表示されません。

[セキュリティカテゴリ]や[コンテンツカテゴリ]のブロックは[サーバとセキュリティ保護された接続を確立できなかったため、ページは開けません]とのメッセージでブロックされます。

また、Cloudflareのブロックのテストサイトは全く機能しません。

又、[TLS decryption]も上手く働かないようで、HTTPポリシが機能しません。

いずれにしてもデバイスに悪影響を与えるサイトはブロックされるので問題ありません。

そのうちに改善されると思います。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

VirusTotalでの情報流出をCloudflareのZero Trustでブロックし安全に使う

VirusTotal(バイアス・トータル)やVT4Browsersは便利なツールですが、これを利用する事による情報流出が問題となっています。ここではCloudflareのZero Trustを利用する事により、これらのツールを安全に利用する方法を解説しています。

WARPをインストールする前に設定する事

WARPをインストールしセキュリティ空間と接続すると[TLS decryption]や[AV scanning]機能が利用できますが、これを利用する為には利用宣言とCloudflareの証明書が必要になります。ここではその設定法を解説しています。

Cloudflare ZeroTrustのGatewayでエラーコード526でブロックされる

CloudflareのGatewayでHTTPポリシー経由にするとHTTPS優先が自動的にONになります。その結果、HTTPサイトはエラーコード526でブロックされます。このではこの対処方法を解説しています。

Cloudflare ZeroTrustのGatewayの[HTTPポリシー]でブロック

Cloudflare ZeroTrustのGatewayで[Split Tunnels]を[Include]で運用していてもHTTPポリシーを利用したブロックを行う事もできます。

Cloudflare ZeroTrustのGatewayで[アダルトコンテンツ]をブロック

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロック

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトのアクセス許可

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustの Gatewayを利用する為の事前設定

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

Cloudflare Zero Trustから見たAIのスクールサイトの[Phishing]問題

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

Cloudflare Zero Trustから見たタクシー求人サイトの[Anonymizer]問題

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

Cloudflare Zero Trustから見たNHKプラスの [DNS Tunneling] 問題

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

Cloudflare Zero Trustから見た自治体HPの[DNS Tunneling]問題

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

Cloudflare Raderによるサイトの評価確認と変更依頼

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロック

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのブロック画面のカスタマイズ

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted を利用する

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

Cloudflare ZeroTrustのAccessに Private network を利用する

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

Cloudflare Zero Trustの ­­Accessに Bookmark を利用する

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下で SSH を利用する

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WebDAV を利用する

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

Cloudflare ZeroTrustの Access とアプリランチャ

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

Cloudflare ZeroTrustのWARPの Local Domain Fallback とは

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

Cloudflare ZeroTrustのWARPを[Exclude]で運用する

CloudflareのZero TrustのWARPの[Exclude]運用は大手企業向けの設定です。中小企業は[Include]運用がお勧めです。

Cloudflare ZeroTrustのWARPを [Include] で運用する

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのWARP運用の[Exclude]と[Include]の違いを理解する

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

Cloudflare ZeroTrustにローカルネットワークを接続する

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

Cloudflare WARPのダウンロードと ZeroTrustとの接続

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

Cloudflare WARPの[TSL decryption]と[AV scanning]とは

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

Cloudflare ZeroTrustのWARP利用ユーザを設定する

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

Cloudflare ZeroTrustのGoogle認証の全体像を理解する

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Cloudflare ZeroTrustのIdPにGoogle認証を利用する方法

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

Cloudflare ZeroTrustのGoogle認証に必要な情報を作成する

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

企業用のGmailアドレスを取得する方法

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

Cloudflare One (Zero Trust) のセキュリティ空間を作成する

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。