Alle Bereitstellungsanleitungen Bereitstellung

Ein Origin-Zertifikat mit Cloudflare einrichten

Wenn Sie Cloudflare als CDN/Proxy verwenden, verbinden sich Ihre Besucher mit den Edge-Servern von Cloudflare. Aber was ist mit der Verbindung zwischen Cloudflare und Ihrem Origin-Server? Ohne ein Zertifikat auf Ihrem Origin ist diese Verbindung möglicherweise unverschlüsselt — was den Zweck von HTTPS zunichtemacht.

Cloudflare-SSL-Modi erklärt

ModusBesucher → CloudflareCloudflare → OriginSicherheit
AusHTTPHTTP❌ Keine Verschlüsselung
FlexibleHTTPS ✅HTTP ❌⚠️ Trügerische Sicherheit
FullHTTPS ✅HTTPS (ungeprüft)⚠️ Verschlüsselt, aber keine Zertifikatsvalidierung
Full (Strict)HTTPS ✅HTTPS (geprüft) ✅✅ Empfohlen

“Flexible” ist gefährlich. Ihre Besucher sehen ein Schloss, aber die Verbindung von Cloudflare zum Origin ist unverschlüsseltes HTTP. Jeder auf diesem Netzwerkpfad kann den Verkehr mitlesen. Verwenden Sie immer Full (Strict).

Full (Strict) mit einem Let’s Encrypt-Zertifikat einrichten

Der beste Ansatz: Installieren Sie ein echtes, öffentlich vertrauenswürdiges Zertifikat auf Ihrem Origin und aktivieren Sie Full (Strict).

Schritt 1: Let’s Encrypt-Zertifikat erhalten

Verwenden Sie GetHTTPS, um ein kostenloses Zertifikat für Ihre Domain zu erhalten. Sie müssen den Cloudflare-Proxy vorübergehend deaktivieren (graue Wolke in den DNS-Einstellungen), damit die HTTP-01-Challenge Ihren Origin erreicht, oder verwenden Sie DNS-01, das unabhängig davon funktioniert.

DNS-01-Methode (keine Proxy-Änderung nötig):

  1. Wählen Sie in GetHTTPS die DNS-01-Challenge
  2. Fügen Sie den _acme-challenge TXT-Eintrag im Cloudflare-DNS hinzu
  3. Verifizieren und laden Sie das Zertifikat herunter

HTTP-01-Methode:

  1. Klicken Sie im Cloudflare-DNS auf die orangene Wolke → graue Wolke (nur DNS) für Ihre Domain
  2. Schließen Sie die HTTP-01-Challenge in GetHTTPS ab
  3. Aktivieren Sie nach Erhalt des Zertifikats die orangene Wolke wieder (proxied)

Schritt 2: Auf Ihrem Origin-Server installieren

Installieren Sie das Zertifikat ganz normal auf Nginx oder Apache.

Schritt 3: Full (Strict) in Cloudflare aktivieren

  1. Gehen Sie zum Cloudflare-Dashboard → Ihre Domain
  2. SSL/TLSÜbersicht
  3. Wählen Sie Full (Strict)

Cloudflare überprüft nun, ob Ihr Origin ein gültiges, vertrauenswürdiges Zertifikat hat, bevor eine Verbindung hergestellt wird.

Alternative: Cloudflare Origin CA-Zertifikat

Cloudflare bietet eigene Origin CA-Zertifikate an — kostenlose Zertifikate, die nur von Cloudflare als vertrauenswürdig eingestuft werden, nicht direkt von Browsern.

So erhalten Sie eines

  1. Cloudflare-Dashboard → SSL/TLSOrigin Server
  2. Klicken Sie auf Zertifikat erstellen
  3. Wählen Sie Schlüsseltyp (RSA oder ECDSA) und Gültigkeit (bis zu 15 Jahre)
  4. Laden Sie Zertifikat und privaten Schlüssel herunter
  5. Installieren Sie es auf Ihrem Origin-Server

Vor- und Nachteile im Vergleich zu Let’s Encrypt

Cloudflare Origin CALet’s Encrypt (via GetHTTPS)
Vertrauenswürdig fürNur CloudflareAlle Browser (öffentlich vertrauenswürdig)
GültigkeitBis zu 15 Jahre90 Tage
Automatische Erneuerung nötigNein (lange Gültigkeit)Ja (alle 60-90 Tage)
Funktioniert ohne Cloudflare
Direkter Browser-Zugriff❌ (zeigt Fehler)
KostenKostenlosKostenlos

Verwenden Sie Cloudflare Origin CA, wenn Ihr Origin immer hinter Cloudflare steht und Sie kein Erneuerungsmanagement wünschen.

Verwenden Sie Let’s Encrypt, wenn Sie Cloudflare möglicherweise umgehen (Wartung, Migration), direkten Zugriff auf Ihren Origin benötigen oder ein Zertifikat wünschen, das überall funktioniert.

Überprüfen, ob Full (Strict) funktioniert

Nach der Einrichtung testen Sie, dass die Verbindung vollständig verschlüsselt ist:

  1. Cloudflare-Dashboard → SSL/TLSÜbersicht sollte “Full (Strict)” anzeigen
  2. Besuchen Sie Ihre Website → das Schloss sollte den Besuchern das Cloudflare-Zertifikat anzeigen
  3. Origin direkt prüfen (Cloudflare umgehen):
    curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com
    Dies sollte eine gültige HTTPS-Antwort mit Ihrem Let’s Encrypt- (oder Origin CA-)Zertifikat zurückgeben.

Häufig gestellte Fragen

Warum nicht einfach den Flexible-Modus verwenden?

Der Flexible-Modus verschlüsselt die Verbindung Besucher→Cloudflare, sendet aber den Verkehr von Cloudflare zu Ihrem Origin als unverschlüsseltes HTTP. Das bedeutet:

  • Ihr ISP, Hosting-Anbieter oder jeder andere im Netzwerk zwischen dem Cloudflare-Edge und Ihrem Server kann den gesamten Verkehr mitlesen
  • Ihre Besucher sehen ein Schloss und denken, sie seien sicher, aber die Backend-Verbindung ist es nicht
  • Dies ist besonders gefährlich für Anmeldeseiten, Zahlungsformulare oder andere sensible Daten

Muss mein Origin-Zertifikat exakt mit meiner Domain übereinstimmen?

Für den Full (Strict)-Modus ja — das Origin-Zertifikat muss für die Domain gültig sein, mit der sich Cloudflare verbindet. Ein Let’s Encrypt-Zertifikat für example.com funktioniert. Ein selbstsigniertes Zertifikat oder ein Zertifikat für eine andere Domain funktioniert nicht.

Kann ich ein Wildcard-Origin-Zertifikat verwenden?

Ja. Ein Wildcard-Zertifikat für *.example.com auf Ihrem Origin funktioniert mit Full (Strict) für jede über Cloudflare proxied Subdomain.

Was passiert, wenn mein Origin-Zertifikat abläuft?

Der Full (Strict)-Modus von Cloudflare prüft die Zertifikatsgültigkeit. Wenn Ihr Origin-Zertifikat abläuft, kann Cloudflare keine sichere Verbindung herstellen und Ihre Website zeigt einen 526-Fehler (Invalid SSL Certificate). Richten Sie Ablaufüberwachung ein, um dies zu verhindern.

Verwandte Artikel

Vergleiche 2026-05-07
Let's Encrypt vs Cloudflare SSL: Was sollten Sie verwenden?
Let's Encrypt gibt Ihnen ein Zertifikat, das Sie besitzen. Cloudflare verwaltet SSL als Teil ihres CDN-Proxys. Vergleich der beiden Ansatze fur Datenschutz, Kontrolle und Einsatzszenarien.
Bereitstellung 2026-05-08
So installieren Sie ein SSL-Zertifikat auf Nginx
Schritt-für-Schritt-Anleitung zur Installation eines SSL-Zertifikats auf Nginx. Behandelt Dateiupload, vollständige Serverblock-Konfiguration, TLS Best Practices, HTTP/2, HSTS, Weiterleitungs-Setup, Tests und Fehlerbehebung für 6 häufige Fehler.
Erste Schritte 2026-05-08
Kostenloses SSL-Zertifikat erhalten (Schritt-für-Schritt-Anleitung)
Erhalten Sie ein kostenloses SSL-Zertifikat von Let's Encrypt in 5 Minuten — keine Software-Installation, kein Konto erforderlich. Vollständige Anleitung mit 4 Methoden, beiden Challenge-Typen, Installation auf 6 Plattformen und Fehlerbehebung.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten