Cloudflare免费通配符SSL/TLS证书最长15年申请教程

国外Cloudflare国内玩家简称CF,其中Cloudflare提供的免费内容分发网络(CDN)是出了名的好,大部分海外网站都会选择使用用来加速和安全防护。今天说的是在Cloudflare中的SSL/TLS模式如何申请15年有效期的证书。

Cloudflare官网
Cloudflare

1、打开Cloudflare官网并登录

>> 添加域名修改DNS解析

>> 点击相应的网站进入设置页面

>> 点击“SSL/TLS”

>> 点击切换到“源服务器”

>> 在“源证书”一栏中点击【创建证书】按钮

Cloudflare官网申请SSL证书

2、源证书安装中,选择“使用Cloudflare生成私钥和CSR”

私钥类型默认为RSA(2048)即可(PS:或选择ECC),主机名称一般默认即可

证书有效期默认15年(PS:也可选7天、30天、90天、1年、2年、3年)

最后点击【创建】按钮。

Cloudflare签名免费通配符SSL/TLS证书最长15年

3、源证书安装中,密钥格式默认PEM格式,复制 粘贴 保存,最后点击【确定】按钮即可。

PS:一点要记得保存私钥,因为只出现一次,以后再点击也不会出现私钥,只出现源证书

宝塔面板添加SSL证书
宝塔面板添加SSL证书

确定之后即可在源证书中看到我们刚才成功申请的TLS证书,到期日期为2036年9月28日,15年的时间。

4、打开域名进行访问出现:不受信任的Cloudflare SSL证书

Cloudflare证书不受信任

在 Cloudflare 为您的域提供 SSL 证书之前,各种浏览器中会出现 HTTPS 流量的以下错误:

Firefox

     ssl_error_bad_cert_domain
     此连接不受信任

Chrome

     您所用连接不是专用连接

Safari

     Safari 无法验证网站的身份

Edge/Internet Explorer

     此网站的安全证书存在问题

即使为您的域配置了 Cloudflare SSL 证书,旧版浏览器也会显示有关不受信任的 SSL 证书的错误,因为它们不支持 Cloudflare Universal SSL 证书使用的服务器名称指示(SNI)协议。

这里说一下:并非所有Web浏览器都信任该证书。您可能需要安装中间/链证书以将其链接到受信任的根 证书。

Cloudflare SSL 证书仅适用于通过 Cloudflare 代理的流量。如果您发现 SSL 错误,并且在 Cloudflare SSL/TLS 应用的边缘证书部分中您的域没有类型为 Universal 的证书,则尚未配置 Universal SSL 证书。

至于为什么显示不安全,因为这个是由 Cloudflare 发给服务器的TLS证书,仅仅用于Cloudflare与源服务器访问用,而用户访问用的是Cloudflare中的边缘证书(SSL证书)。

源证书

生成由 Cloudflare 签名的免费 TLS 证书,以安装在源服务器上。

源证书仅对 Cloudflare 与源服务器之间的加密有效。

客户端证书

使用客户端证书保护和验证您的 API 和 Web 应用程序。
通过 mTLS 规则阻止不具备有效客户端 SSL/TLS 证书的设备发出的流量。

边缘证书

管理和购买将提供给您的 Web 访问者的 SSL 证书。

这是Cloudflare 通用 SSL 证书,自定义主机名的是商业证书需要购买。

免费套餐中不允许您上传任何 SSL 证书,但是可以订购自动续订证书或升级到 Business 计划来启用此功能。

边缘证书
通配符+自动续订=牛逼?

5、在源服务器上安装和配置好Cloudflare源证书后,站点的SSL/TLS加密模式选择为 :完全(严格)

SSL/TLS加密模式
端到端加密需要服务器上有受信任的 CA 证书或 Cloudflare Origin CA 证书

我的具体设置如下:

SSL/TLS 加密模式: 完全(严格)

始终使用HTTPS:将“http”的所有请求重定向到“https”。

TLS 1.3:启用最新版本的 TLS 协议,以提高安全性和性能。

自动HTTPS重写:自动HTTPS重写可帮助修复混合内容,方法是将网站上可通过HTTPS提供的所有资源或链接更改为“https”。

HTTP严格传输安全(HSTS):为网站实施网络安全政策。

发表回复