通过Cloudflare代理的域名SSL 证书应该如何安装?
在使用 Cloudflare 保护域名时,由于访问流量会先经过 Cloudflare 节点再到达我们的服务器,如果两端的加密协议不匹配,可能会导致网站无法访问或陷入重定向死循环。因此,我们需要确保 Cloudflare 的加密设置与后台证书配置保持一致。
情况一:启用 Cloudflare 代理(推荐)
将代理状态改为 橙色云(Proxied),即可自动获得 Cloudflare 的免费 SSL 证书,无需手动安装。
修改代理状态在 DNS 管理页面,点击 A 记录(@ 和 www)的代理状态图标,将其从 “仅 DNS” 切换为 “已代理”,配置 SSL/TLS 模式进入:Cloudflare 控制台 → 域名管理 → SSL/TLS → 概述:推荐选择 完全(严格)(Full (Strict)) 模式,提供最高安全性。
若源服务器暂无证书,可先选择 完全 (Full) 模式,后续再配置源站证书。
情况二:保持 “仅 DNS” 模式(直连源站)
如果你需要保持流量直连源服务器,则需要在源服务器上安装 SSL 证书。
进入 Cloudflare 控制台 → SSL/TLS → 源服务器 (Origin Server),点击 创建证书 (Create Certificate),保持默认设置(包含根域和通配符),选择有效期(建议 15 年)。
复制并保存生成的 公钥 (Origin Certificate) 和 私钥 (Private Key)。
在源服务器安装证书以 Nginx 为例:将公钥保存为 cert.pem,私钥保存为 privkey.pem,上传到服务器(如 /etc/nginx/ssl/ 目录),修改 Nginx 配置文件,添加 SSL 配置:
重启 Nginx 服务使配置生效。
最后进入 SSL/TLS → 概述,选择 完全(严格)(Full (Strict)) 模式,确保 Cloudflare 到源服务器的连接也使用加密。
请先 登录后发表评论 ~