Cloudflare Origin Zertifikat in Plesk einrichten

Cloudflare Origin Zertifikat in Plesk einrichten

Update:

Möchtest du mehr zum Thema Cloudflare Origin erfahren?

Diese Anleitung zeigt dir, wie du das Origin CA Zertifikat (zu deutsch Ursprungsserver Zertifikat) von Cloudflare bei deinem Webserver einrichtest.

Hast du das erledigt, sparst du dir die lästige Let’s Encrypt ACME Challenge mit Cloudflare.

Die Dokumentation von Cloudflare für die Einrichtung des Cloudflare Ursprungszertifikates ist leider sehr schwammig und unvollständig, weshalb ich mich entschlossen habe, diese Anleitung zu veröffentlichen. Das Origin-Zertifikat gibt es übrigens schon seit 2016.

Das Beste daran ist, das Zertifikat hält 15 Jahre und ist kostenlos!

Ziel

Das Cloudflare Origin Zertifikat verschlüsselt den Verkehr zwischen deinem Webhoster und dem Cloudflare Server.

Dadurch brauchst du auf deinem Webserver kein kostenpflichtiges Let’s Encrypt-Zertifikat mehr einrichten.

Stattdessen installieren wir das Cloudflare Origin CA Zertifikat, welches 15 Jahre nicht erneuert werden muss.

Problemstellung

  • Wie wird das Ursprungsserver Zertifikat beim Webhoster installiert?
  • Wo finde ich das CA-Zertifikat?

Was benötige ich von Cloudflare?

  • SSL/TLS Zertifikat
  • Privater Schlüssel
  • CA Zertifikat (Siehe Schritt 12)

Anleitung: Cloudflare Origin CA Zertifikat einrichten

Für diese Anleitung benötigst du einen kostenlosen Cloudflare Account, wo du das Origin CA Zertifikat installierst.

Außerdem benötigst du ausreichend Rechte bei deinem Webspace bzw. Webserver, um das Zertifikat anzulegen.

  1. SSL/TLS Ursprungsserver Zertifikat
    Im Cloudflare Backend für die gewünschte Domain, wechselst du ins Menü SSL/TLS > Ursprungsserver.
  2. Auf „Zertifikat erstellen“ klicken.
    Cloudflare Ursprungszertifikat
  3. Im neuen Fenster kannst du alle Voreinstellungen übernehmen und auf „Erstellen“ klicken.
    Wähle „Privaten Schlüssel und CSR mit Cloudflare generieren“.
    Achte darauf, dass unter Hostnamen *.domain.com und domain.com eingetragen ist.
    Vorausgewählt sind auch die 15 Jahre Gültigkeit des Zertifikates.
    Cloudflare Ursprungsserverzertifikat generieren.
  4. Kopiere und hebe dir das Zertifikat und den privaten Schlüssel gut auf!
    Achtung: Sobald du auf „OK“ geklickt hast, kannst du auf den privaten Schlüssel nicht mehr zugreifen!
    Du kannst dir die Schlüssel-Codes in .PEM oder .CRT Dateien speichern. Es ist egal, weil wir die Schlüssel anschließend ohnehin in Textform beim Hoster einfügen.
  5. Ab jetzt geht die Anleitung hauptsächlich für das Webhostingpanel Plesk weiter. Für CPanel gehst du ins Menü Sicherheit > SSL/TLS. Bei allen anderen Providern und Panels sind die Vorgänge fast identisch.
  6. In Plesk wechselst du nach „Websites & Domains“ und klickst auf „SSL/TLS-Zertifikate„.
    Das Plesk Dashboard.
  7. Im folgenden Menü siehst du vielleicht dein aktuelles Zertifikat aktiv. Bei mir war das Let’s Encrypt installiert.
    Wechsle aber bitte gleich auf die Karte „Erweiterte Einstellungen“ im Menü rechts oben.
  8. Im Fenster „SSL/TLS-Zertifikat hinzufügen“ musst du ganz oben einen Namen vergeben. Du hast freie Wahl, bei mir heißt es „Cloudflare Origin bp“, wobei „bp“ einfach für BloggerPilot steht.
    SSL/TLS-Zertifikat in Plesk hinzufügen.Alle restlichen Felder, die mit einem roten Stern gekennzeichnet sind, fülle bitte auch nach bestem Wissen aus. Bei Bit habe ich 2048 gewählt, weil das bei Cloudflare auch so angegeben war.
    Nicht auf Anfordern klicken!
  9. Ebenfalls noch im Fenster „SSL/TLS-Zertifikat hinzufügen“ scrollst du nun nach ganz unten, wo du drei leere Felder unter der Überschrift „Zertifikat als Text hochladen“ siehst. Hier fügst du nun deine Schlüssel ein:
    Die SSL-Schlüssel einfügen.
  10. Privater Schlüssel (*.key) *: Cloudflare > Ursprungsserver > Privater Schlüssel einfügen.
  11. Zertifikat (*.crt): Cloudflare > Ursprungsserver > Ursprungszertifikat einfügen.
  12. CA-Zertifikat (*-ca.crt): Cloudflare > Cloudflare Origin RSA PEM von hier downloaden, im Editor öffnen und einfügen.
  13. Zertifikat hochladen“ klicken.
    Damit ist das Zertifikat installiert.
  14. Zurück in „SSL/TLS-Zertifikate für domain.com“ kannst du gleich das neue Zertifikat auswählen und damit Webmail und E-Mails schützen.
    Zertifikat für Webmail und E-Mails auswählen.
  15. Wechsle zurück nach „Websites & Domains„, bei der gewünschten Domain klicke auf den Reiter „Hosting und DNS“ und anschließend auf „Hosting-Einstellungen„.
    Zum Menü Hosting-Einstellungen.
  16. Im Fenster „Hosting-Einstellungen für domain.com“ belässt du alles, wie es war und wählst lediglich neben Zertifikat, das neu angelegte Cloudflare-Origin-Zertifikat (Cloudflare Origin bp) aus und speicherst mit „OK“.
    Cloudflare-Origin-Zertifikat auswählen.
  17. Damit ist dein neues Cloudflare Origin Zertifikat für deine Domain aktiv.
  18. Zum Abschluss kannst du noch mal im Menü „Websites & Domains“ > „SSL/TLS-Zertifikate“ überprüfen, ob alles in Ordnung gegangen ist.
    Cloudflare Origin CA fertig eingerichtet.
  19. In Cloudflare > SSL/TLS > Übersicht kannst du nun die Verschlüsselung auf „Vollständig (strikt)“ wählen, wenn das noch nicht so war.
    Aktiviere die strikte Verschlüsselung
  20. Optional: Hattest du vorher ein anderes Zertifikat installiert, kannst du das jetzt im Menü „Erweitere Einstellungen“ löschen. Zurück in Cloudflare > DNS habe ich dann noch den TXT-Eintrag „_acme-challenge“ gelöscht, da dieser nur für das alte Let’s Encrypt Zertifikat notwendig war.

Wenn dich manche Begriffe verwirren, scrolle vorher weiter runter zur Begriffserklärung.

Klopf dir auf die Schultern, du hast erfolgreich dein SSL-Zertifikat bei deinem Webhost eingerichtet!

Teste nun deine Website im Browser, ob das Zertifikat aktiv ist.

Begriffserklärung

Origin CA certificate

Origin CA certificat = Ursprungszertifikat

Das Origin Certificate Authority (CA)-Zertifikat wird genutzt, um den Datenverkehr zwischen Cloudflare und deinem Ursprungs-Webserver zu verschlüsseln und den Bandbreitenverbrauch des Ursprungsservers zu reduzieren. Nach der Bereitstellung sind diese Zertifikate mit dem Strict SSL-Modus kompatibel.

Was ist ein Origin Server? (Ursprungsserver)

Was ist ein Ursprungsserver?
Was ist ein Ursprungsserver? @cloudflare

Origin Server = Webhosting / Webserver

Der Zweck eines Ursprungsservers ist die Verarbeitung und Beantwortung eingehender Internet-Anfragen von Internet-Clients. Das Konzept eines Origin Servers wird in der Regel in Verbindung mit dem Konzept eines Edge-Servers verwendet. Im Kern ist ein Ursprungsserver ein Computer, auf dem ein oder mehrere Programme laufen, die eingehende Internetanfragen abhören und verarbeiten sollen.

Was ist ein Edge Server?

Was ist ein Edge-Server?
Was ist ein Edge-Server? @cloudflare

Edge Server = Cloudflare / CDN / Cache-Server

Ein CDN-Edge-Server ist ein Computer, der am logischen Ende oder „Rand“ eines Netzes steht. Ein Edge-Server dient oft als Verbindung zwischen getrennten Netzwerken. Der Hauptzweck eines Edge-Servers besteht darin, Inhalte so nah wie möglich an einem anfragenden Client-Rechner zu speichern und dadurch die Latenzzeit zu verringern und die Ladezeiten einer Seite zu verbessern.

Meine Cloudflare How-Tos:

Quellen:

Offenlegung Werbelinks: Mit einem Stern (*) gekennzeichnete Links und Buttons sind sogenannte Affiliate-Links. BloggerPilot bekommt bei einem Kauf eine Provision, die sich jedoch nicht auf den Endpreis auswirkt. Es ist uns wichtig zu betonen, dass dies keinen Einfluss auf unsere Bewertung oder Meinung hat.

Avatar für Jochen Gererstorfer
Jochen Gererstorfer

Mehr über Jochen Gererstorfer
Jochen Gererstorfer ist Fachautor und Marketing Manager mit den Schwerpunkten WordPress, SEO und Online Marketing. Seit über 20 Jahren ist er in der Branche tätig und verfügt über umfassende Erfahrung in der Erstellung von Inhalten und der Entwicklung von Marketingstrategien. Als Experte für Content Marketing betreibt und betreut er zahlreiche Online-Publikationen als Chefredakteur oder in beratender Funktion. Er ist bekannt für seine praxisnahen und leicht verständlichen Beiträge.
SEO, Webworker, Schreiber und stolzer Vater

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

 

2 Kommentare

  1. Wie kann ich Letsencrypt verwenden, um meinen Mailtraffic neben dem Cloudflare Origin Certificate zu sichern? Ist es möglich, eine ACME Challenge mit Letsencryt nur für E-Mails (Pop3, Imap, Smtp) auszuführen und diese neben dem CF Zertifikat abzusichern? Und würde das Letsencrypt Zertifikat dann auch nach 3 Monaten automatisch erneuert?

    Antworten

    1. Hallo Mark,
      ja das sollte funktionieren. Du kannst ja für E-Mails ein eigenes Zertifikat zuweisen. Siehe Screenshot.
      Gesondertes SSL-Zertifikat für E-Mails
      Ja, Letsencrypt wird automatisch erneuert.

      lg
      Jochen