使用 Cloudflare 的端到端 HTTPS - 第 2 部分:SSL 证书

区分 Cloudflare 为 HTTPS 流量加密提供的 SSL 证书。了解每个 Cloudflare SSL 证书的优点和用途。


概述

标准 HTTP 通过 Internet 发送未加密的数据,使其易于遭到拦截。 相比之下,安全超文本传输​​协议(HTTPS)加密可防止窃听、被盗信用卡号码和其他拦截。HTTPS 通过加密保护 Internet 流量。HTTPS 是标准 HTTP 协议和称为 SSL/TLS 的安全协议的组合。

Cloudflare 根据流量加密发生的位置对其 SSL 产品进行分类:


加密访问者与 Cloudflare 域之间的流量

有多种选择可以加密访问者与您的 Cloudflare 域之间的流量:

Universal 和 Dedicated SSL Certificates 的私钥不可见或不能导出,无法安装在源 Web 服务器上。

Universal SSL

Universal SSL 是免费 Cloudflare SSL 服务的名称。如果 Cloudflare 是您的权威 DNS 提供商,则通常会在 Cloudflare 激活域后 15 分钟内发出 Universal SSL 证书,并且在域激活后不需要进一步的客户操作。或者,如果您通过权威 DNS 提供商处设置的 CNAME 记录使用 Cloudflare 服务,则配置 Universal SSL 证书需要在权威 DNS 提供商处手动添加 DNS 验证记录

默认情况下,Cloudflare 会为每个活动的 Cloudflare 域提供免费的 Universal SSL 证书。

此外,与 Cloudflare Dedicated SSL 证书相比,Universal SSL 证书具有以下限制:

  • 浏览器和操作系统支持
  • 在多个 Cloudflare 客户之间共享
  • 仅涵盖一级子域(例如:www.example.com,但不包括 dev.www.example.com

Dedicated SSL

与 Universal SSL 证书相比,购买 Dedicated SSL Certificate 有以下几个好处:

  • 证书不与其他客户域共享
  • 具有自定义主机名的 Dedicated Certificates 可以涵盖其他级别的子域(例如:test.dev.www.example.com,而不仅仅是 www.example.com

Custom SSL(仅限 Business 和 Enterprise)

Custom SSL 允许客户将自己的有效证书上传到 Cloudflare。从证书颁发机构购买扩展验证(EV)或组织验证(OV)证书并希望向访问者显示其证书的客户通常首选自定义 SSL 证书。Custom SSL 不适用于未经有效证书颁发机构签名的自签名证书。

Keyless SSL(仅限 Enterprise)

Keyless SSL 专为具有限制证书私钥控制的安全策略的组织而设计。对 Keyless SSL 感兴趣的客户应联系我们的 Enterprise 销售团队以获取相关信息和定价。


加密 Cloudflare 与您的源 Web 服务器之间的流量

为了加密 Cloudflare 与源 Web 服务器之间的流量,Cloudflare 提供了 Origin CA 证书

Origin CA 证书

Cloudflare Origin CA 证书比自签名证书更安全,比证书颁发机构公开信任的证书更方便、更高效。Origin CA 证书对所有计划类型都是免费的。


将 SSL 扩展为最终客户的服务

Cloudflare 自定义主机名功能允许 Enterprise 客户为其最终客户提供 SSL。

自定义主机名(仅限 Enterprise):

Cloudflare 自定义主机名(也称为 SSL for SaaS))允许 SaaS 公司的客户使用自定义域来保护通过 SSL 的通信。自定义主机名可为 SaaS 公司的最终客户带来以下多项好处:

  • 品牌访问者体验
  • 提高信任和 SEO 排名
  • 通过 HTTP/2 提高速度
  • 有效管理整个 SSL 生命周期

相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持