Cloudflare Zero Trust クライアント側のセットアップ手順

背景

この記事以外にもいくつかCloudflareのゼロトラストについての記事を書いています。今回はそのうちのクライアントセットアップについて書きます。

• 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する
• Cloudflare Zero Trust の基本的なセットアップ手順
• Cloudflare Zero Trust クライアント側のセットアップ手順
• Cloudflare Zero Trust 経由でAWS上のEC2（グローバルIPアドレス無し）にSSHでログインする
• Cloudflare Tunnel 経由で自前のDNSリゾルバーを利用する

社内外を問わず、どこからインターネットにアクセスしてもトラフィックやDNSクエリに基づいて、ウイルススキャンやアクセスブロックをしてくれて、社内や自宅からクラウド上の自社サーバーに安全にアクセスできるサービスを50人まで無料で提供してくれるのは凄くありがたいです。

ただ、Cloudflare Zero Trust っていざ設定するとなるとどういう手順でやればいいか意外にわからないのと、主にTLSまわりでハマりどころもあるので、ここで一度まとめときます。いわゆる備忘録ってやつです。

なお、事前に Cloudflare側で ZeroTrust の設定が必要です。まだの場合は以下を参照してください。

• 「Cloudflare Zero Trust」 で組織のゼロトラストネットワークを構成する
• Cloudflare Zero Trust の基本的なセットアップ手順

主な流れ（共通）

主な流れは以下のような感じです。

1. PC, スマートフォン、タブレット等のデバイスに Cloudflare WARP アプリをインストール。
2. 認証情報を設定しゼロトラストネットワークに接続。
3. TLS証明書をダウンロードしてインストール（必要ない場合あり）。

以降で各デバイス向けの設定手順を書いていきます。

Windowsクライアントのセットアップ手順

1. Cloudflare WARP アプリをインストール

The free app that makes your Internet safer.から、Windows向けのアプリをインストールします。

2. 認証情報を設定しゼロトラストネットワークに接続

1. インストールすると右下のタスクバーにWarpアプリが表示されますのでクリック。初期状態ではオレンジ色の画面です。
   

2. 画面右下の⚙歯車アイコンをクリックし、環境設定 をクリック。

   • 左のリストから アカウント を選択。
   • 右下の Cloudflare Zero Trust にログイン をクリック。

4. チーム名を入力。チーム名はCloudflare側の設定で登録したチーム名です。
   

5. Cloudflare側で設定した認証方法が表示されます。下の画像では、Google Workspace の認証が選択できますが、サービス側の設定により表示される認証方法は異なります。
   

6. 認証が通って再度タスクバーから WARP アプリを表示すると、下の画像のように表示が青く、タイトルも Zero Trust に変わっています。
   

3. TLS証明書をダウンロードしてインストール（不要な場合あり）

証明書の手動インストールが必要かチェック

以前は本項の証明書の手動インストールが必須でしたが、最近は CloudFlare Zero Trust のコンソールで、 Setting → Warp Client → Global settings → Install CA to system certificate store が有効になっている場合は必要ない場合が多いです（クライアントのOSの種類にもよるようです）。

試しに適当なWebサイトにいくつかアクセスしてみて、問題なく表示されるようならスキップして通信テストへ進んでください。

正常に表示されない場合は証明書の手動インストールが必要ですので、以下の 証明書の手動インストール手順（必要な場合のみ） へ進んでください。

証明書の手動インストール手順（必要な場合のみ）

最後にルート証明書をインストールする必要があります。
なお、以下にはWindowsでの証明書インポート手順を記します。それ以外の環境での手順は Install the Cloudflare certificateを参照してください。

1. この後の工程でTLS証明書をダウンロードするために、先程の Cloudflare Zero Trust にログインしたアプリで、一旦 Zero Trust をオフにしてください。
   

2. Install the Cloudflare certificateにアクセスして、 Download certificate (.crt) のリンクを探し、証明書を手元のPCにダウンロードします。

3. ダウンロードした証明書をダブルクリックします。警告が表示されますので、 開く をクリックします。
   

4. 証明書のインストール をクリックしてルート証明書をインストールします。
   

5. 証明書のインポートウィザードが開始されますので、「現在のユーザー」「ローカルコンピュータ」から選択します。お持ちのPCで自分のアカウント以外でも有効にする場合は「ローカルコンピュータ」を選択します。
   

6. 証明書をすべて次のストアに配置する を選択し、証明書ストアの横にある 参照 ボタンをクリック。

7. 表示された証明書ストアの選択から 信頼されたルート証明機関 を選択してOKをクリック。

8. 「次へ」をクリックします。
   

9. 最後に「完了」をクリックしてTLS証明書のインポートは完了です。
   

10. Zero Trust のアプリを再びオンにします。
    

以上でWindowsでの設定は完了です。以下のテストサイトで実際にマルウェアサイト等へのアクセスがブロックされる事を確認してください。

通信テスト

ブロックページの設定がしてある場合は、以下のサイトにアクセスして、ブロックした旨のページが表示されればOKです。

• マルウエアテストサイト（実際には無害なテストサイトです）
  • https://malware.testcategory.com
• フィッシングサイト（実際には無害なテストサイトです）
  • https://phishing.testcategory.com
• 仮想通貨マイニングサイト（実際には無害なテストサイトです）
  • https://cryptomining.testcategory.com