Cloudflare Zero Trust で TLS Inspection を設定されており、アプリケーションにTLS証明書を追加できないなどの事情があり、TLS Inspection環境ではアプリケーションの利用ができないことがあります。このような場合には通信対象ホストのTLS Inspectionの除外の方法もご検討ください。

確認事項

設定を行う際には、これらのことをご確認ください。

• TLS Inspectionの除外を必要とするアプリケーション。例えばDockerやpythonで書かれたコード、特定のデスクトップアプリなどが挙げられます。
• アプリケーションにTLS証明書を追加する方法をご確認ください。証明書を追加する方法がある場合には、CloudflareからダウンロードできるTLS証明書をアプリに設定してください。
• 通信先のホスト名または、Cloudflare Application library でのアプリケーション名。

管理画面での設定方法

Cloudflare Zero Trustの管理画面の、「Traffic Policies」-「Firewall Policies」に、ポリシーの種類=HTTP と Action=Do Not Inspect を登録することで、TLS Inspection を行わないポリシーを設定します。

新しいポリシーを設定する際には「Add a policy」ボタンを押してポリシーの追加をしてください。

TLS Inspectionを設定する際には、設定ページでこのような選択をしてください。

• Conditions の traffic type では HTTP を選択。
• Action and settingsでは「Do Not Inspect」を選択
• Traffic machiesでは、「Application」や「Host」「Domain」などを選択。

ポリシーの設定では、TLS Inspectionを行わない対象のサーバの指定方法がいくつかあります。

• Application を利用する方法。 Cloudflare が Application Library としてアプリケーション一覧と対応するホストをまとめています。またアプリケーションの種類に「Do Not Inspect」というカテゴリがあり、これがTLS Inspectionを行わない対象を選択する際に便利なアイテムになっています。
• ホスト名またはドメイン名を指定する方法。Application Libraryに登録がないものや、細かく制御したい場合にはホスト名やドメイン名を指定してください。

あとはこのルールに名前をつけて「Create Policy」をクリックして保存してください。

TLS Inspection除外を行った際のご注意

TLS Inspectionの除外を行った際には、これらの機能が動作しませんのでご注意ください。

• Shadow IT検知DashboardでのSaaS利用履歴が表示されなかったり、禁止時にはBlockされなかったりします。
• DLPでの検知ができなくなります。
• HTTPS通信の内容を見たMalware検知なども機能しなくなります。