管理 Cloudflare Origin CA 证书

了解如何使用 Cloudflare Origin CA 证书加密 Cloudflare 与源 Web 服务器之间的流量。了解如何通过 Cloudflare 管理 Origin CA 证书,并获得在源 Web 服务器上安装 Origin CA 证书的建议。


概述

使用 Origin CA 证书加密 Cloudflare 与源 Web 服务器之间的流量。为确保更高的便利性、安全性和性能,Cloudflare 建议使用 Origin CA 证书,而不是自签名证书或从证书颁发机构购买的证书。使用 Origin CA 证书,您可以在 Cloudflare SSL/TLS 应用中使用“完全”和“完全(严格)SSL”模式,而无需先从证书颁发机构购买证书以安装在您的源 Web 服务器上。

Origin CA 证书仅加密 Cloudflare 与您的源 Web 服务器之间的流量,并且在 Cloudflare 之外直接访问您的原始网站时不受客户端浏览器的信任。对于使用 Origin CA 证书的子域,暂停或禁用 Cloudflare 会导致站点访问者出现不受信任的证书错误。

部署 Origin CA 证书通常需要三个步骤:

  1. 创建 Origin CA 证书
  2. 在源 Web 服务器上安装 Origin CA 证书
  3. 在 Cloudflare SSL/TLS 应用中配置 SSL 模式
Google App Engine 不支持 CloudFlare Origin CA 证书。 

第 1 步 - 创建 Origin CA 证书

您可以在 Cloudflare 仪表板中生成自己的 Origin CA 证书:

  1. 登录 Cloudflare。

  2. 为需要 Origin CA 证书的域选择相应的账户。

  3. 选择域。

  4. 单击 SSL/TLS 应用。

  5. 向下滚动到 Origin 证书

  6. 单击创建证书以打开 Origin 证书安装窗口。

  7. Origin 证书安装窗口中,选择以下任一项:
    • 由 Cloudflare 生成私钥和 CSR - 需要指定私钥类型是 RSA 还是 ECDSA。
    • 我有自己的私钥和 CSR - 需要将证书签名请求粘贴到文本字段中。

  1. 列出证书应使用 SSL 加密保护的主机名(包括通配符)。默认情况下包含区域根和一级通配符主机名。
您可以在单个证书上包含最多 100 个主机名或通配符主机名,并且可以包含同一 Cloudflare 账户中其他域的主机名。您还可以添加对多级子域(例如 * .test.dev.www.example.com)的支持。
  1. 选择证书到期时间。默认值为 15 年,最短为 7 天。

  1. 单击下一步

  2. 选择密钥格式。选择最适合您环境的密钥对格式。大多数基于 OpenSSL 的 Web 服务器(如 Apache 和 NGINX)都希望使用 PEM 文件(Base64 编码的 ASCII),但也可以使用二进制 DER 文件。Windows 和 Apache Tomcat 用户必须选择 PKCS#7。

  3. 按照 Origin 证书安装窗口的指示,将已签署的 Origin 证书私钥详细信息复制到单独的文件中。
在单击确定之前,请务必复制私钥信息。出于安全原因,在创建 Origin 证书后,不会再次显示私钥

  1. 单击确定

第 2 步 - 在源 Web 服务器上安装 Origin CA 证书

将 Origin CA 证书添加到源 Web 服务器需要几个常规步骤:

  1. 将 Origin CA 证书(在第 1 步中创建)上传到源 Web 服务器。

  2. 使用下面的链接安装指南更新 Web 服务器配置以指向证书。

  3. (大多数源 Web 服务器可选)将 Cloudflare 的 CA 根证书上传到源 Web 服务器。
某些 Web 服务器(如 IIS 和 cPanel)会验证 Origin CA 根证书。此类 Web 服务器在配置期间需要 Cloudflare 的根 RSA 证书
  1. 在源 Web 服务器上启用 SSL 和端口 443。

  2. 检查您的源站防火墙是否阻止与端口 443 的连接。

查看下面的链接列表,了解特定于源 Web 服务器的安装说明。有关安装 Origin CA 证书的进一步帮助,请与您的主机提供商、Web 管理员或 Web 服务器供应商联系。

 


第 3 步 - 在 Cloudflare SSL/TLS 应用中配置 SSL 模式

在源 Web 服务器上安装 Cloudflare Origin CA 证书后,指示 Cloudflare 加密到源 Web 服务器的流量。在 Cloudflare SSL/TLS 应用中将 SSL 模式设置为完全完全(严格),以在 Cloudflare 和您的源 Web 服务器之间启用加密。

仅当所有源主机受 Origin CA 证书或公共信任证书保护时,才能通过 SSL/TLS 应用全局进行此更改。 否则,请考虑通过 Cloudflare Page Rule 应用SSL 设置为完全完全(严格)
要避免重定向循环错误,请先确保您的源 Web 服务器配置不会将 HTTPS 重定向到 HTTP 或将 HTTP 重定向到 HTTPS,其方式与将 Cloudflare SSL 模式配置为 Cloudflare 连接到源 Web 服务器的方式相反。

(可选)第 4 步 - 添加 Cloudflare Origin CA 根证书

一些源 Web 服务器需要上传 Cloudflare Origin CA 根证书。有关 Cloudflare Origin CA 根证书的 RSA 和 ECC 版本,请参见下文。单击链接以下载文件:

cPanel 不支持 ECC 证书。使用下面的 Origin CA 根 RSA 证书。

或者,单击以展开根证书内容以进行复制并粘贴到源 Web 服务器配置中:


删除 Origin CA 证书

请按照以下步骤撤消 Origin CA 证书:

  1. 登录 Cloudflare。

  1. 为需要撤消 Origin CA 证书的域选择适当的账户。

  1. 选择域。

  1. 单击 SSL/TLS 应用,然后向下滚动到 Origin 证书
在替换 Origin CA 证书后,访问者将看不到有关站点不安全的错误。为避免错误,请在撤销 Origin CA 证书之前确保 SSL 模式设置为“完全”或“灵活”而不是“完全(严格)”,可以通过 SSL/TLS 应用全局设置,也可以通过 Page Rule 应用为特定主机名设置。
  1. 单击 Origin CA 证书列表中证书名称右侧的 X 图标。

  1. 随即将出现撤消 Origin 证书确认窗口。

  1. 选中确认框,然后单击撤消

相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持