Es sollte ein schnelles Wochenendprojekt sein. Du kennst die Art: "Ich werde schnell eine Egress-VM aufsetzen, etwas Traffic durchleiten, meinen Kaffee trinken und bis zum Mittagessen fertig sein." Leser, ich war nicht bis zum Mittagessen fertig.

Das Setup

Ich baute einen kleinen Zugriffs-Tier fur einige Dev-Umgebungen: eine Egress-VM mit Cloudflare Zero Trust davor, hostnamebasiertes Routing fur zwei bestimmte Dev-Domains und AWS WAF auf der anderen Seite, das die Quell-IP pruft. Ganz normaler Kram nach dem Motto "Gib meinem Team sicheren Zugriff, ohne Dinge dem offentlichen Internet auszusetzen."

Alles lief reibungslos, bis ich zu dem Teil kam, wo man TLS-Entschlusselung aktivieren muss. Das ist die Magie, die es Cloudflares Gateway ermoglicht, Traffic tatsachlich zu inspizieren und basierend auf dem Hostnamen statt nur der IP zu routen. Ohne das sitzen deine schonen Hostnamen-Regeln da, sehen hubsch aus und tun absolut nichts.

Die Tutorial-Spur

Ich folgte dem offiziellen Cloudflare-Lernpfad. Ich folgte drei verschiedenen Blogbeitragen. Ich folgte dem YouTube-Tutorial von jemandem, dessen Stimme klang, als wollte er wirklich, dass ich abonniere. Sie alle sagten dasselbe:

Gehe zu Zero Trust > Settings > Network > Firewall > TLS decryption und lege den Schalter um.

Also ging ich dorthin. Der Schalter liess sich umlegen. Dann erschien ein rotes Banner oben auf dem Bildschirm, das einfach sagte:

Error configuring TLS setting.

Das war's. Kein Code. Kein Hinweis. Kein "Hier klicken fur Details"-Link. Nur ein Gefuhl von "etwas ist schiefgelaufen, viel Gluck."

Ich versuchte es erneut. Gleicher Fehler. Ich aktualisierte. Gleicher Fehler. Ich versuchte es in Firefox. Gleicher Fehler. Ich leerte den Cache. Gleicher Fehler. Ich uberlegte, Kaffee zu machen. Machte Kaffee. Gleicher Fehler.

Die Detektivarbeit

Hier kommt mein Lieblingswerkzeug ins Spiel. Wenn die UI sich weigert, dir zu sagen, was falsch ist, werden der Netzwerk-Tab und curl es tun. Ich offnete die Entwicklertools, beobachtete die Anfrage, die der Schalter sendete, kopierte sie als curl und fuhrte sie lokal aus:

{
  "result": null,
  "success": false,
  "errors": [
    {
      "code": 2211,
      "message": "TLS decryption cannot be enabled without a certificate. Please disable TLS encryption or configure a certificate using the 'certificate' setting."
    }
  ],
  "messages": []
}

Da war es. Eine klare, hilfreiche, umsetzbare Fehlermeldung. Die Art von Nachricht, die mir, wenn sie in der UI angezeigt worden ware, etwa neunzig Minuten meines Lebens erspart hatte. Stattdessen versteckte sie sich in der JSON-Antwort, irgendwo zwischen der API und dem Bildschirm verschluckt.

Die Nachricht sagte im Grunde: "Du brauchst zuerst ein Zertifikat, du absolute Kartoffel." (Ich paraphrasiere.)

Die echte Losung

Hier ist die Sache, die niemand im Internet zu erwahnen scheint: Die Zertifikatsverwaltung ist umgezogen.

Jede Anleitung, die ich las, verwies auf den alten Speicherort. Der tatsachliche aktuelle Speicherort ist in einem ganz anderen Bereich vergraben. Genauer gesagt:

Zero Trust > Traffic policies > Traffic settings > Certificates (Tab oben)

Nicht Network. Nicht Firewall. Traffic policies > Traffic settings.

Du generierst dort ein von Cloudflare verwaltetes Zertifikat. Dann markierst du es als Available und In-Use. Dann wartest du funf bis zehn Minuten (diesen Teil erwahnt auch niemand, du starrst einfach auf ein Statusfeld und hinterfragst leise deine Lebensentscheidungen). Sobald das Zertifikat vollstandig aktiv ist, kannst du endlich zuruckgehen und TLS-Entschlusselung aktivieren.

Es funktioniert einfach. Der Schalter lasst sich umlegen. Das rote Banner bleibt fern. Die Welt ergibt wieder Sinn.

Die Moral

Zwei Dinge sind mir von diesem kleinen Abenteuer geblieben.

Erstens: Die Dokumentation war nicht falsch, sie war nur veraltet. Cloudflare bewegt sich schnell und reorganisiert sein Dashboard oft. Das ist keine Beschwerde, nur eine Realitat. Wenn du irgendeiner Anleitung fur ein sich schnell entwickelndes Produkt folgst, erwarte, dass sich die Menupfade moglicherweise verschoben haben. Die Konzepte sind dieselben, die Schaltflachen sind nicht immer dort, wo die Screenshots sie zeigen.

Zweitens: Der Netzwerk-Tab ist dein bester Freund. Wenn eine UI dir einen nutzlosen Fehler gibt, weiss die API fast immer mehr. Browser-DevTools, curl oder einfach nur das Lesen der rohen Antwort ist der Unterschied zwischen Debugging in funf Minuten und Debugging in funf Stunden. UI-Fehlerbehandlung ist eine dunne Schicht, die uber ein viel ausfuhrlicheres System gemalt ist, und dieses System ist normalerweise genau da und wartet darauf, dass du es nett fragst.

Der Bonus

Ich habe dies tatsachlich an Cloudflare gemeldet. Der Fehlercode 2211 hat eine vollkommen gute Nachricht daran angehangt. Sie schafft es nur nicht auf den Bildschirm. Hoffentlich findet es jemand und ein zukunftiger Wochenend-Krieger bekommt ein hilfreiches Banner statt eines vagen.

Bis dahin, wenn du jemals "Error configuring TLS setting" ohne weitere Details siehst, lautet die Antwort wahrscheinlich:

  1. Generiere zuerst ein Zertifikat (unter Traffic policies > Traffic settings)
  2. Markiere es als Available und In-Use
  3. Warte
  4. Aktiviere dann TLS-Entschlusselung

Und jetzt entschuldige mich, ich habe eine Egress-VM, die endlich funktioniert, und einen Kaffee, der zweimal kalt geworden ist.

Grusse vom Sonntag-Mitternacht (02:42 Uhr) Debugging-Schreibtisch.