サービス開始当初から Cloudflare WARP の TLS Inspection (SSL可視化) などで利用するルート証明書は、Cloudflare Zero Trust の全アカウントで共通のものでしたが、2024年10月頃よりアカウントごとに作成したものに切り替えられるようになりました。また、全アカウントで共通だったTLS証明書は2025年2月2日に失効します。
このページでは、新しい証明書の作成方法と、証明書のMDMでの配布方法をご案内いたします。
証明書の作成方法
[Settings] > [Resources] の中 [Certificates] にある [Manage] のボタンを押します。
新しい証明書を作るには [Generate Certificate] をクリックします。作成するTLS証明書の有効期間 (Expiration) を設定します。デフォルトでは5年が推奨されています。
Windows以外 (Mac、iPhone、iPad、Android) でMDMを使われている場合は、MDMで証明書の配布をすることをおすすめします。作成したTLS証明書の pem または crt をダウンロードしてください。
TLS証明書の配布
配布先のPCがWindowsの場合は、Cloudflare WARPによって証明書の配布が行えます。
配布先がMacの場合は、Cloudflare WARPによって証明書の配布は行えますが、配布した証明書を「常に信頼する」ことはCloudflare WARPでは行えないため、MDMによる証明書配布をおすすめします。
WARP による配布 (Windows向け)
Cloudflare WARPによる証明書配布を行うには、Cloudflare Zero Trust の設定画面の [Settings] > [WARP] > [Global settings] 内の [Install CA to system certificate store] のチェックボックスをOnにしてください。
MDM として Jamf Pro を利用した配布 (Mac向け)
-
Cloudflare Zero Trust のCertificates から .crt 形式で証明書をダウンロードしてください。
-
この証明書の拡張子を .crt から .cer に変更してください。コマンドでしたら下記のように実行してください。
mv certificate.crt certificate.cer
-
Jamf で新しいConfiguration Profile (構成プロファイル) を作成してください。
-
Configuration ProfileのOptionsの Certificatesに、先程の cer ファイルをUploadしてください。
-
-
Scopeなどを設定して保存してください。
既存のConfiguration Profileを編集して新しい証明書を追加すると、MDMの配布では既存のConfiguration Profileを削除してから新しい証明書が構成されます。既存の内容がMacから一旦消されるためご注意ください。
そのため、今回の手順では新しいCertificateのために既存とは別の新しいConfiguration Profileを作成する手順をご案内しています。
証明書の配布が済んだことを、構成プロファイルの配布済み台数などを元にしてご確認ください。
新しい証明書の有効化
証明書の配布が完了したら、新しい証明書を有効にしてください。
-
Cloudflare Zero Trustの管理ページの [Settings] > [Resources] の中 [Certificates] にある、[Manage] のボタンをクリックします。
-
新しく作った証明書の右側の3点ボタンをクリックします。
-
ポップアップメニューの [Activate] ボタンをクリックし、数分待ちます。
-
この証明書の利用開始のために、証明書の [Detail] を表示します。
-
Detailの中の [Confirm and turn on certificate] をクリックします。