管理Cloudflare Origin CA證書

概述

使用 Origin CA 證書加密 Cloudflare 與源 Web 服務(wù)器之間的流量。為確保更高的便利性、安全性和性能，Cloudflare 建議使用 Origin CA 證書，而不是自簽名證書或從證書頒發(fā)機(jī)構(gòu)購(gòu)買的證書。使用 Origin CA 證書，您可以在 Cloudflare SSL/TLS 應(yīng)用中使用“完全”和“完全（嚴(yán)格）SSL”模式，而無需先從證書頒發(fā)機(jī)構(gòu)購(gòu)買證書以安裝在您的源 Web 服務(wù)器上。

Origin CA 證書僅加密 Cloudflare 與您的源 Web 服務(wù)器之間的流量，并且在 Cloudflare 之外直接訪問您的原始網(wǎng)站時(shí)不受客戶端瀏覽器的信任。對(duì)于使用 Origin CA 證書的子域，暫停或禁用 Cloudflare 會(huì)導(dǎo)致站點(diǎn)訪問者出現(xiàn)不受信任的證書錯(cuò)誤。

部署 Origin CA 證書通常需要三個(gè)步驟：

創(chuàng)建 Origin CA 證書

在源 Web 服務(wù)器上安裝 Origin CA 證書

在 Cloudflare SSL/TLS 應(yīng)用中配置 SSL 模式

Google App Engine 不支持 CloudFlare Origin CA 證書。 

第 1 步 - 創(chuàng)建 Origin CA 證書

您可以在 Cloudflare 儀表板中生成自己的 Origin CA 證書：

登錄 Cloudflare。

為需要 Origin CA 證書的域選擇相應(yīng)的賬戶。

選擇域。

單擊 SSL/TLS 應(yīng)用。

向下滾動(dòng)到 Origin 證書。

單擊創(chuàng)建證書以打開 Origin 證書安裝窗口。

在 Origin 證書安裝窗口中，選擇以下任一項(xiàng)：

由 Cloudflare 生成私鑰和 CSR - 需要指定私鑰類型是 RSA 還是 ECDSA。

我有自己的私鑰和 CSR - 需要將證書簽名請(qǐng)求粘貼到文本字段中。

列出證書應(yīng)使用 SSL 加密保護(hù)的主機(jī)名（包括通配符）。默認(rèn)情況下包含區(qū)域根和一級(jí)通配符主機(jī)名。

您可以在單個(gè)證書上包含最多 100 個(gè)主機(jī)名或通配符主機(jī)名，并且可以包含同一 Cloudflare 賬戶中其他域的主機(jī)名。您還可以添加對(duì)多級(jí)子域（例如 * .test.dev.www.example.com）的支持。

選擇證書到期時(shí)間。默認(rèn)值為 15 年，最短為 7 天。

單擊下一步。

選擇密鑰格式。選擇最適合您環(huán)境的密鑰對(duì)格式。大多數(shù)基于 OpenSSL 的 Web 服務(wù)器（如 Apache 和 NGINX）都希望使用 PEM 文件（Base64 編碼的 ASCII），但也可以使用二進(jìn)制 DER 文件。Windows 和 Apache Tomcat 用戶必須選擇 PKCS#7。

按照 Origin 證書安裝窗口的指示，將已簽署的 Origin 證書和私鑰詳細(xì)信息復(fù)制到單獨(dú)的文件中。

在單擊確定之前，請(qǐng)務(wù)必復(fù)制私鑰信息。出于安全原因，在創(chuàng)建 Origin 證書后，不會(huì)再次顯示私鑰。

單擊確定。

可以通過 Cloudflare API 創(chuàng)建 Cloudflare Origin CA 證書。

第 2 步 - 在源 Web 服務(wù)器上安裝 Origin CA 證書

將 Origin CA 證書添加到源 Web 服務(wù)器需要幾個(gè)常規(guī)步驟：

將 Origin CA 證書（在第 1 步中創(chuàng)建）上傳到源 Web 服務(wù)器。

使用下面的鏈接安裝指南更新 Web 服務(wù)器配置以指向證書。

（大多數(shù)源 Web 服務(wù)器可選）將 Cloudflare 的 CA 根證書上傳到源 Web 服務(wù)器。

某些 Web 服務(wù)器（如 IIS 和 cPanel）會(huì)驗(yàn)證 Origin CA 根證書。此類 Web 服務(wù)器在配置期間需要 Cloudflare 的根 RSA 證書。

在源 Web 服務(wù)器上啟用 SSL 和端口 443。

檢查您的源站防火墻是否阻止與端口 443 的連接。

查看下面的鏈接列表，了解特定于源 Web 服務(wù)器的安裝說明。有關(guān)安裝 Origin CA 證書的進(jìn)一步幫助，請(qǐng)與您的主機(jī)提供商、Web 管理員或 Web 服務(wù)器供應(yīng)商聯(lián)系。

Apache httpd

GoDaddy Hosting（帶有 cPanel）

Microsoft IIS 7

Microsoft IIS 8 和 8.5

Microsoft IIS 10

NGINX

Tomcat

第 3 步 - 在 Cloudflare SSL/TLS 應(yīng)用中配置 SSL 模式

在源 Web 服務(wù)器上安裝 Cloudflare Origin CA 證書后，指示 Cloudflare 加密到源 Web 服務(wù)器的流量。在 Cloudflare SSL/TLS 應(yīng)用中將 SSL 模式設(shè)置為完全或完全（嚴(yán)格），以在 Cloudflare 和您的源 Web 服務(wù)器之間啟用加密。

僅當(dāng)所有源主機(jī)受 Origin CA 證書或公共信任證書保護(hù)時(shí)，才能通過 SSL/TLS 應(yīng)用全局進(jìn)行此更改。 否則，請(qǐng)考慮通過 Cloudflare Page Rule 應(yīng)用將 SSL 設(shè)置為完全或完全（嚴(yán)格）。

要避免重定向循環(huán)錯(cuò)誤，請(qǐng)先確保您的源 Web 服務(wù)器配置不會(huì)將 HTTPS 重定向到 HTTP 或?qū)?HTTP 重定向到 HTTPS，其方式與將 Cloudflare SSL 模式配置為 Cloudflare 連接到源 Web 服務(wù)器的方式相反。

（可選）第 4 步 - 添加 Cloudflare Origin CA 根證書

一些源 Web 服務(wù)器需要上傳 Cloudflare Origin CA 根證書。有關(guān) Cloudflare Origin CA 根證書的 RSA 和 ECC 版本，請(qǐng)參見下文。單擊鏈接以下載文件：

cloudflare_origin_ecc.pem

cloudflare_origin_rsa.pem

cPanel 不支持 ECC 證書。使用下面的 Origin CA 根 RSA 證書。

或者，單擊以展開根證書內(nèi)容以進(jìn)行復(fù)制并粘貼到源 Web 服務(wù)器配置中：

Cloudflare Origin CA - RSA 根證書

Cloudflare Origin CA - ECC 根證書

刪除 Origin CA 證書

請(qǐng)按照以下步驟撤消 Origin CA 證書：

登錄 Cloudflare。

為需要撤消 Origin CA 證書的域選擇適當(dāng)?shù)馁~戶。

選擇域。

單擊 SSL/TLS 應(yīng)用，然后向下滾動(dòng)到 Origin 證書。

在替換 Origin CA 證書后，訪問者將看不到有關(guān)站點(diǎn)不安全的錯(cuò)誤。為避免錯(cuò)誤，請(qǐng)?jiān)诔蜂N Origin CA 證書之前確保 SSL 模式設(shè)置為“完全”或“靈活”而不是“完全（嚴(yán)格）”，可以通過 SSL/TLS 應(yīng)用全局設(shè)置，也可以通過 Page Rule 應(yīng)用為特定主機(jī)名設(shè)置。

單擊 Origin CA 證書列表中證書名稱右側(cè)的 X 圖標(biāo)。

隨即將出現(xiàn)撤消 Origin 證書確認(rèn)窗口。

選中確認(rèn)框，然后單擊撤消。