了解 Universal SSL

了解 Cloudflare 免费 Universal SSL 证书的优点和限制,并确定 Universal SSL 何时适用于您的域。


概述

Universal SSL 是指 Cloudflare 在客户的域激活后 24 小时内向客户发出的免费 SSL 证书,为了提供证书,需要通过 Cloudflare 代理流量。

当证书颁发机构仍在处理域的证书时,Cloudflare SSL/TLS 应用中显示 Universal SSL 状态SSL 正在授权

Universal SSL 仅用于加密站点访问者和 Cloudflare 之间的流量,不会加密 Cloudflare 和源 Web 服务器之间的流量。

有关 Cloudflare 与源 Web 服务器之间加密的详细信息,请查看我们关于 SSL 模式Cloudflare 原始证书的指南。

Universal SSL 配置时间严格取决于某些安全检查和证书颁发机构(CA)规定的其他要求。

对于在将流量迁移到 Cloudflare 之前需要 SSL 证书的站点,请在将流量代理到 Cloudflare 之前,请购买 Dedicated SSL Certificate 或上传自定义 SSL 证书

Cloudflare 不需要源 Web 服务器 SSL 证书便可以颁发 Universal SSL 证书。但是,Cloudflare 建议安装 Cloudflare 原始证书以确保 Cloudflare 与您的源 Web 服务器之间的通信加密。

为保证 Cloudflare 与源 Web 服务器之间的 SSL 加密,请将 Cloudflare SSL/TLS 应用中的 SSL 模式设置为完全完全(严格)

如果源 Web 服务器缺少已安装的 SSL 证书,则将 SSL/TLS 应用设置为完全完全(严格)会导致站点访问者出现 521 或其他 5XX 错误。

有关其他 SSL 技术详细信息,请查看我们的博客文章:Universal SSL 简介。


限制

Universal SSL 证书受以下因素限制:

  • 其涵盖的主机名,以及
  • 其支持的客户端浏览器。

主机名涵盖范围

Universal SSL 证书仅支持根或一级子域(例如 example.comwww.example.com)的 SSL。要在二级、三级和四级子域(例如 dev.www.example.comapp3.dev.www.example.com)上启用 SSL 支持,您可以:

浏览器支持

Universal SSL 将服务器名称指示(SNI)证书与椭圆曲线数字签名算法(ECDSA)搭配使用。SNI 和 ECDSA 证书适用于以下现代浏览器:

在 Windows Vista 或 OS X 10.6 或更高版本上安装的桌面浏览器:

  • Internet Explorer 7
  • Firefox 2
  • Opera 8(已启用 TLS 1.1)
  • Google Chrome v5.0.342.0
  • Safari 2.1

移动浏览器:

  • Mobile Safari for iOS 4.0
  • Android 3.0(Honeycomb)和更高版本
  • Windows Phone 7

我应该禁用 Universal SSL 吗?

一些 Cloudflare 客户需要管理自己的 SSL 证书,以符合其组织的标准操作程序或策略。其他客户仅信任特定的证书颁发机构(CA),并排除 Cloudflare 用于提供 SSL 证书的 CA。此类客户在首次上传自已的自定义 SSL 证书后,可以通过 Cloudflare 仪表板的 SSL/TLS 应用禁用 Universal SSL。

如果禁用 Universal SSL 会发生什么?

禁用 Universal SSL 会从 Cloudflare 网络中删除域的 Universal SSL 证书。重新启用 Universal SSL 之前,Cloudflare 不会订购或续订 Universal SSL 证书。

在禁用 Universal SSL 时,访问使用以下 Cloudflare 功能的域时会发生错误:

  • HSTS
  • 始终使用 HTTPS:
  • 随机加密
  • 将流量重定向到 HTTPS 的任何 Page Rule

同样,在源 Web 服务器上任何 HTTP 到 HTTPS 的重定向都会导致站点访问者出错。

为避免站点流量错误,请先上传自定义证书或购买 Dedicated SSL Certificate,然后再禁用 Universal SSL。

如何禁用 Universal SSL?

要禁用 Universal SSL,请执行以下操作:

1.登录 Cloudflare 仪表板。

2.单击要禁用 Universal SSL 的域的相应 Cloudflare 账户。

3.确保选择了正确的域。

4.单击 SSL/TLS 应用。

5.滚动到禁用 Universal SSL 部分。

6.单击禁用 Universal SSL,随后将显示确认对话框。

7.阅读确认中的警告。

8.勾选我明白,然后单击确认


相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持