Last Updated: 2024-02-11

Cloudflare Zero Trust - Client

クライアントをCloudflareのネットワークまでWireGuard VPNでトンネルセッションを貼ることで、Cloudflareのネットワークを使ってインターネットに接続するサービスです。

対応端末

https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/download-warp/

Windows 10, 11

macOS Catalina+ (10.15+)

iOS 11+

Android 5.0+

Linux CentOS 8, RHEL 8, Ubuntu 16.04, Ubuntu 18.04, Ubuntu 20.04, Ubuntu 22.04,

Debian 9, Debian 10, Debian 11

Cloudflare アカウント

Cloudflareアカウントを作成します。

既にアカウントを所有している場合は本手順をスキップしてください。

Log in to Cloudflare

Sign-up

メールアドレス、パスワード(ルールに準拠)、Cloudflare Turnstile(Bot対策用チェックボックスサービス)のチェックを通してください。

Complete

メールアドレス宛に本人確認を行うURLが送付されているので確認してください。

(任意)言語設定

デフォルトではEnglish(英語)が選択されています。

右上の言語部分を押すとプルダウンリストが表示されるため、任意の言語に変更してください。

本手順書はEnglishでキャプチャを選択しています。

(任意)MFA設定

Muilti-Factor Authenticator(MFA:多要素)認証の設定を推奨します。

初期設定

チーム名は後ほどWARPクライアントからZero Trustにサインインする際に必要となります

変更は後ほど記載する画面でも変更可能です

チーム名は各クライアントがインターネットを経由してアクセスするURLに利用されるため、

世界で一意の文字列である必要があります。

例)

名前-日付 鈴木さんが2024年2月11日実施する場合 suzuki-handson20240211 など

プラン選択

Account Type が標準(キャプチャ)でBusinessになっていますが、プルダウンメニューで

Personalに変更して登録してください。

ダッシュボード画面の表示

Cloudflare Zero Trustの初期画面が表示されればOK

Account

登録した情報を確認するメニューです。

Custom Pages

Team domain

初期登録したチーム名を変更する場合はこちらです

今回は変更しません

Block page

Gateway Block時に表示する画面の設定がこちらです

今回は変更しません

Login Page

WARPからZero Trustにログインする画面の設定がこちらです

今回は変更しません

Network

取得するログの方針を変更する設定がこちらです

今回は変更しません

Authentication

認証方式を変更する設定がこちらです。

今回は変更しません

WARP Client

Plan変更に遷移してしまうので何もしません

Downloads

ルート証明書、WARPクライアント、Cloudflaredなどがダウンロードできます

今は何もしません

Custom Pagesの初期設定

Settings > Custom Pagesに移動してください。

Network Settingsの変更

Settings > Network に移動してください。

Firewall

Proxy

Disabled -> Enabled✅

TCP ☑(標準で入っており変更不可)

UDP ☑(HTTP/3規格ではUDPベースのため)

ICMP ☐

TLS decryption

Disabled -> Enabled✅

Enable only cipher suites and TLS versions compliant with FIPS 140-2. ☐

AV inspection

Disabled -> Enabled✅

Scan on file upload ☑

Scan on file download ☑

Block requests for files that cannot be scanned ☑

Gateway Policyの変更

Gatewayで通信を見てアクセス許可(Allow)、禁止(Block)、透過(Bypass)など設定が可能です。

今回は、Zero Trustが有効な間は特定のサイトへの通信をブロックして通常利用できないようにします。

Gateway Policyを変更

指定のURL(ハンズオン講師の指示に従ってください)をBlockします

Display block pageを✅にします

Save Policy を押すとDefault DNS Locationが未登録のため有効化できない警告がでるので、

そのまま、Gateway/Location を押します

Add A Locationを押します

ここまで設定した後に、ブラウザで指定されたURLにアクセスをブロックする準備が整いました。

利用するデバイスポリシーの設定

My Team > Devices と進みます

Connect a Device を押します

Create an enrollment policy を押します

裏側でdefault policyが自動作成されます

今回利用するドメインを入力します

@gmail.com , @yahoo.co.jp などです

独自ドメインのメールで受信する場合はそちらを入力してください。

iPhone, Android, Windows, macOSでそれぞれ手順が異なります。

ご自身の設定に合わせて用意してください。

デバイスの用意(iPhone)

アプリのダウンロード

「1.1.1.1: Faster Internet」をApp Storeで

アプリの初回起動

「同意する」「VPNプロファイルをインストール」

Cloudflare Zero Trustへログイン

右上のハンバーガーメニューから設定 を開き、アカウントを選択する

Zero Trustに画面が切り替わるものの、まだ正常に接続できない状態です。

Download certificate (.pem) からルート証明書をダウンロード

URL:

https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.pem

iPhoneの設定

設定 > 一般 > VPNとデバイス管理 でCloudflare for Teams ECC Certificate Authority をインストール

設定 > 一般 > 情報 > 証明書信頼設定 で Cloudflare for Teams ECC Certificate Authority を信頼

これで接続できるようになります。

実際にアクセス

対象のサイトへアクセス

デバイスの用意(Andoroidの方)

アプリのダウンロード

1.1.1.1 + WARP: Safer Internet - Apps on Google Play

アプリの初回起動

「同意する」「VPNプロファイルをインストール」

通知は「Not now」

証明書のダウンロードとインストール

Download certificate (.crt) からルート証明書をダウンロード

URL:

https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.crt

設定 > セキュリティとプライバシー > その他のセキュリティとプライバシー > 暗号化と認証情報 > 証明書のインストール > CA証明書 で証明書をインストール

警告が表示されますが、 Cloudflareで復号化するために必要なので「インストールする」を押す

"cloud" と入力すると、ダウンロードした証明書が表示される

Cloudflare_CA.crt を選択してインストールする

Cloudflare Zero Trustへログイン

右上のハンバーガーメニューからアカウント > Cloudflare Zero Trustにログイン

組織名(チーム名)を入力すると認証画面が表示されるためメールアドレスを入力

送付されるPINを入力

証明書も自動配置されるのでそのまま接続可能

Andoroid 14.xで確認する場合、

設定⚙ > セキュリティとプライバシー > その他のセキュリティとプライバシー > 暗号化と認証情報

Cloudflareが登録されていることが確認できます

実際にアクセス

対象のサイト へアクセス

デバイスの用意(Windows)

以下の画面が別タブで開きます

https://install.appcenter.ms/orgs/cloudflare/apps/1.1.1.1-windows-1/distribution_groups/release

DOWNLOAD を押します

MSIファイルになっているのでダブルクリックしてインストールを進めます

チーム名をコピーします

証明書のダウンロード画面が出てきますので、念のためダウンロードしてください

Cloudflare WARPの設定変更

右下の⚙マークを押します

チームドメインを入力

アカウント タブを選択すると、右下に Cloudflare Zero Trustにログインが出てきます

自身で設定したチーム名を入力します

サインイン

今回利用するEmail Addressを入力してください

送られてきたメールに記載されているPINを入力します

認証が通るとWARPを開こうとします

ここでWARPからZero Trustに表示が変わります

(必要に応じて)ルート証明書のインストール

WARP(デスクトップアプリ)が自動配置する動きが標準ですが、

手順書作成時に、ルート証明書が配置されなかったので手順を追記しています。

Download the Cloudflare certificate

  1. 証明書ファイルを右クリックします。
  2. 「開く」を選択します。セキュリティ警告が表示された場合は、「開く」を選択して進みます。
  3. 証明書ウィンドウが表示されます。「証明書のインストール」を選択します。
  4. 次に、ストアの場所を選択します。セキュリティ警告が表示された場合は、「はい」を選択して進みます。
  5. 次の画面で、「参照」を選択します。
  6. リストから、「信頼されたルート証明機関」ストアを選択します。
  7. 「OK」を選択し、次に「完了」を選択します。

Zero Trustの通信が有効か確認

curl https://ipinfo.io/

"Org": が現在のプロバイダになっている状態

トグルスイッチをONにして接続します

curl https://ipinfo.io/

"org": "AS13335 Cloudflare, Inc.",

実際にアクセス

対象のサイト へアクセス

デバイスの用意(macOS)

以下の画面が別タブで開きます

https://install.appcenter.ms/orgs/cloudflare/apps/1.1.1.1-macos-1/distribution_groups/release

DOWNLOADを押します

パッケージファイルからインストールを進めます。

インストールが完了するまで進めてください。

Cloudflare WARPの設定変更

メニューバーに追加されたWARPの歯車⚙マークを押して設定(Preferences)を押します。

チームドメインを入力

Accountタブから Login to Cloudflare Zero Trust を押します

自身で設定したチーム名を入力します

以下の確認が表示されるので、 Next -> Accept と進んでください。

サインイン

今回利用するEmail Addressを入力してください

送られてきたメールに記載されているPINを入力します

認証が通るとWARPを開こうとします

ここでWARPからZero Trustに表示が変わります

接続ができるかトグルをOnにしてください。

(必要に応じて)ルート証明書のインストール

WARP(デスクトップアプリ)が自動配置する動きが標準ですが、

接続をしようとしても保護されていると表示されない方は手動で配置してください。

download the Cloudflare certificate から .crt ファイル

  1. ルート証明書をダウンロード
  2. ターミナルを開く
  3. 以下のコマンドを実行
    sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain <path-to-Cloudflare_CA.crt>
  4. (任意)もし異なるキーチェーンに証明書を配置する場合は以下のコマンドを実行
    echo | sudo tee -a /etc/ssl/cert.pem < Cloudflare_CA.pem

Zero Trustの通信が有効か確認

ターミナルで以下のコマンドを実行してください。

curl https://ipinfo.io

"Org": が現在のプロバイダになっている状態

トグルスイッチをONにして接続します

curl https://ipinfo.io

"org": "AS13335 Cloudflare, Inc.",

実際にアクセス

対象のサイト へアクセス

macOS・ESETの環境の方向け

ESETを一時的に通信の対話モードへ切り替えて、WARPの接続を起動して通信を発生させて、追加させる対応を実施しました。

WARP のインストール

Debian系統

# Add cloudflare gpg key

curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg

# Add this repo to your apt repositories

echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list

# Install

sudo apt-get update && sudo apt-get install cloudflare-warp

Red Hat系統

# Add cloudflare-warp.repo to /etc/yum.repos.d/

curl -fsSl https://pkg.cloudflareclient.com/cloudflare-warp-ascii.repo | sudo tee /etc/yum.repos.d/cloudflare-warp.repo

# Update repo

sudo yum update

# Install

sudo yum install cloudflare-warp

証明書のダウンロード

URL(Debian系統、Red Hat系統共通):

https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.pem

URL(Red Hat系統のみ追加で必要):

https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.crt

ダウンロード(サンプル)

curl -O https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.crt

curl -O https://developers.cloudflare.com/cloudflare-one/static/Cloudflare_CA.pem

独自証明書のインストール

Debian系統

sudo apt-get install ca-certificates

Red Hat系統

sudo dnf install ca-certificates

証明書のコピー

Debian系統

sudo cp Cloudflare_CA.pem /usr/share/ca-certificates/Cloudflare_CA.crt

Red Hat系統

sudo cp Cloudflare_CA.crt Cloudflare_CA.pem /etc/pki/ca-trust/source/anchors

証明書の反映

Debian系統

sudo dpkg-reconfigure ca-certificates

Red Hat系統

sudo update-ca-trust

Zero Trustの通信が有効か確認

ターミナルで以下のコマンドを実行してください。

curl https://ipinfo.io

"Org": が現在のプロバイダになっている状態

トグルスイッチをONにして接続します

curl https://ipinfo.io

"org": "AS13335 Cloudflare, Inc.",

実際にアクセス

対象のサイト へアクセス