管理Cloudflare Origin CA證書(shū)

概述

使用 Origin CA 證書(shū)加密 Cloudflare 與源 Web 服務(wù)器之間的流量。為確保更高的便利性、安全性和性能，Cloudflare 建議使用 Origin CA 證書(shū)，而不是自簽名證書(shū)或從證書(shū)頒發(fā)機(jī)構(gòu)購(gòu)買(mǎi)的證書(shū)。使用 Origin CA 證書(shū)，您可以在 Cloudflare SSL/TLS 應(yīng)用中使用“完全”和“完全（嚴(yán)格）SSL”模式，而無(wú)需先從證書(shū)頒發(fā)機(jī)構(gòu)購(gòu)買(mǎi)證書(shū)以安裝在您的源 Web 服務(wù)器上。

Origin CA 證書(shū)僅加密 Cloudflare 與您的源 Web 服務(wù)器之間的流量，并且在 Cloudflare 之外直接訪問(wèn)您的原始網(wǎng)站時(shí)不受客戶端瀏覽器的信任。對(duì)于使用 Origin CA 證書(shū)的子域，暫?；蚪?Cloudflare 會(huì)導(dǎo)致站點(diǎn)訪問(wèn)者出現(xiàn)不受信任的證書(shū)錯(cuò)誤。

部署 Origin CA 證書(shū)通常需要三個(gè)步驟：

創(chuàng)建 Origin CA 證書(shū)

在源 Web 服務(wù)器上安裝 Origin CA 證書(shū)

在 Cloudflare SSL/TLS 應(yīng)用中配置 SSL 模式

Google App Engine 不支持 CloudFlare Origin CA 證書(shū)。 

第 1 步 - 創(chuàng)建 Origin CA 證書(shū)

您可以在 Cloudflare 儀表板中生成自己的 Origin CA 證書(shū)：

登錄 Cloudflare。

為需要 Origin CA 證書(shū)的域選擇相應(yīng)的賬戶。

選擇域。

單擊 SSL/TLS 應(yīng)用。

向下滾動(dòng)到 Origin 證書(shū)。

單擊創(chuàng)建證書(shū)以打開(kāi) Origin 證書(shū)安裝窗口。

在 Origin 證書(shū)安裝窗口中，選擇以下任一項(xiàng)：

由 Cloudflare 生成私鑰和 CSR - 需要指定私鑰類(lèi)型是 RSA 還是 ECDSA。

我有自己的私鑰和 CSR - 需要將證書(shū)簽名請(qǐng)求粘貼到文本字段中。

列出證書(shū)應(yīng)使用 SSL 加密保護(hù)的主機(jī)名（包括通配符）。默認(rèn)情況下包含區(qū)域根和一級(jí)通配符主機(jī)名。

您可以在單個(gè)證書(shū)上包含最多 100 個(gè)主機(jī)名或通配符主機(jī)名，并且可以包含同一 Cloudflare 賬戶中其他域的主機(jī)名。您還可以添加對(duì)多級(jí)子域（例如 * .test.dev.www.example.com）的支持。

選擇證書(shū)到期時(shí)間。默認(rèn)值為 15 年，最短為 7 天。

單擊下一步。

選擇密鑰格式。選擇最適合您環(huán)境的密鑰對(duì)格式。大多數(shù)基于 OpenSSL 的 Web 服務(wù)器（如 Apache 和 NGINX）都希望使用 PEM 文件（Base64 編碼的 ASCII），但也可以使用二進(jìn)制 DER 文件。Windows 和 Apache Tomcat 用戶必須選擇 PKCS#7。

按照 Origin 證書(shū)安裝窗口的指示，將已簽署的 Origin 證書(shū)和私鑰詳細(xì)信息復(fù)制到單獨(dú)的文件中。

在單擊確定之前，請(qǐng)務(wù)必復(fù)制私鑰信息。出于安全原因，在創(chuàng)建 Origin 證書(shū)后，不會(huì)再次顯示私鑰。

單擊確定。

可以通過(guò) Cloudflare API 創(chuàng)建 Cloudflare Origin CA 證書(shū)。

第 2 步 - 在源 Web 服務(wù)器上安裝 Origin CA 證書(shū)

將 Origin CA 證書(shū)添加到源 Web 服務(wù)器需要幾個(gè)常規(guī)步驟：

將 Origin CA 證書(shū)（在第 1 步中創(chuàng)建）上傳到源 Web 服務(wù)器。

使用下面的鏈接安裝指南更新 Web 服務(wù)器配置以指向證書(shū)。

（大多數(shù)源 Web 服務(wù)器可選）將 Cloudflare 的 CA 根證書(shū)上傳到源 Web 服務(wù)器。

某些 Web 服務(wù)器（如 IIS 和 cPanel）會(huì)驗(yàn)證 Origin CA 根證書(shū)。此類(lèi) Web 服務(wù)器在配置期間需要 Cloudflare 的根 RSA 證書(shū)。

在源 Web 服務(wù)器上啟用 SSL 和端口 443。

檢查您的源站防火墻是否阻止與端口 443 的連接。

查看下面的鏈接列表，了解特定于源 Web 服務(wù)器的安裝說(shuō)明。有關(guān)安裝 Origin CA 證書(shū)的進(jìn)一步幫助，請(qǐng)與您的主機(jī)提供商、Web 管理員或 Web 服務(wù)器供應(yīng)商聯(lián)系。

Apache httpd

GoDaddy Hosting（帶有 cPanel）

Microsoft IIS 7

Microsoft IIS 8 和 8.5

Microsoft IIS 10

NGINX

Tomcat

第 3 步 - 在 Cloudflare SSL/TLS 應(yīng)用中配置 SSL 模式

在源 Web 服務(wù)器上安裝 Cloudflare Origin CA 證書(shū)后，指示 Cloudflare 加密到源 Web 服務(wù)器的流量。在 Cloudflare SSL/TLS 應(yīng)用中將 SSL 模式設(shè)置為完全或完全（嚴(yán)格），以在 Cloudflare 和您的源 Web 服務(wù)器之間啟用加密。

僅當(dāng)所有源主機(jī)受 Origin CA 證書(shū)或公共信任證書(shū)保護(hù)時(shí)，才能通過(guò) SSL/TLS 應(yīng)用全局進(jìn)行此更改。 否則，請(qǐng)考慮通過(guò) Cloudflare Page Rule 應(yīng)用將 SSL 設(shè)置為完全或完全（嚴(yán)格）。

要避免重定向循環(huán)錯(cuò)誤，請(qǐng)先確保您的源 Web 服務(wù)器配置不會(huì)將 HTTPS 重定向到 HTTP 或?qū)?HTTP 重定向到 HTTPS，其方式與將 Cloudflare SSL 模式配置為 Cloudflare 連接到源 Web 服務(wù)器的方式相反。

（可選）第 4 步 - 添加 Cloudflare Origin CA 根證書(shū)

一些源 Web 服務(wù)器需要上傳 Cloudflare Origin CA 根證書(shū)。有關(guān) Cloudflare Origin CA 根證書(shū)的 RSA 和 ECC 版本，請(qǐng)參見(jiàn)下文。單擊鏈接以下載文件：

cloudflare_origin_ecc.pem

cloudflare_origin_rsa.pem

cPanel 不支持 ECC 證書(shū)。使用下面的 Origin CA 根 RSA 證書(shū)。

或者，單擊以展開(kāi)根證書(shū)內(nèi)容以進(jìn)行復(fù)制并粘貼到源 Web 服務(wù)器配置中：

Cloudflare Origin CA - RSA 根證書(shū)

Cloudflare Origin CA - ECC 根證書(shū)

刪除 Origin CA 證書(shū)

請(qǐng)按照以下步驟撤消 Origin CA 證書(shū)：

登錄 Cloudflare。

為需要撤消 Origin CA 證書(shū)的域選擇適當(dāng)?shù)馁~戶。

選擇域。

單擊 SSL/TLS 應(yīng)用，然后向下滾動(dòng)到 Origin 證書(shū)。

在替換 Origin CA 證書(shū)后，訪問(wèn)者將看不到有關(guān)站點(diǎn)不安全的錯(cuò)誤。為避免錯(cuò)誤，請(qǐng)?jiān)诔蜂N(xiāo) Origin CA 證書(shū)之前確保 SSL 模式設(shè)置為“完全”或“靈活”而不是“完全（嚴(yán)格）”，可以通過(guò) SSL/TLS 應(yīng)用全局設(shè)置，也可以通過(guò) Page Rule 應(yīng)用為特定主機(jī)名設(shè)置。

單擊 Origin CA 證書(shū)列表中證書(shū)名稱右側(cè)的 X 圖標(biāo)。

隨即將出現(xiàn)撤消 Origin 證書(shū)確認(rèn)窗口。

選中確認(rèn)框，然后單擊撤消。