Related posts
如果你正在使用 Cloudflare 来提升网站性能与安全性,除了自动提供的通配 SSL 证书之外,你也可以手动申请一张 Cloudflare 签发的 Origin Server 证书,用于服务器与 Cloudflare 边缘节点之间的安全连接。相比 Let’s Encrypt 等第三方证书,这种证书配置更简单,并专为 Cloudflare 环境优化。
下面我们将一步一步介绍,如何通过 Cloudflare 面板手动申请证书并配置到服务器上。
一、什么是 Origin Server 证书?
Cloudflare 的 Origin Server 证书是用于“源服务器”和“Cloudflare”之间加密连接的证书,并不适用于公网浏览器访问。它由 Cloudflare 签发,仅对 Cloudflare 网络信任,用于实现 Full 或 Full (Strict) SSL 模式。
二、申请证书的步骤
第一步:登录 Cloudflare 并选择站点
进入你的账户,选择目标站点
第二步:进入 SSL/TLS 设置页面
点击左侧菜单中的「SSL/TLS」
切换到「Origin Server」标签页(有时叫“源服务器证书”),点击创建证书
cloudflare创建证书
第三步:创建证书
点击「Create Certificate」按钮,按如下选项配置:
Private key type:建议选择 RSA(兼容性高),也可以选择 ECDSA(体积更小)。
Hostnames:
默认包含主域名(如 example.com)和泛域名(如 *.example.com)
你也可以根据需要调整
Certificate validity:可选有效期(最多15年)
点击「Next」
Cloudflare 会生成:
一段 Origin Certificate(公钥证书)
一段 Private Key(私钥)
⚠️ 请注意:私钥仅显示一次,请及时保存到本地并妥善保管!
三、部署证书到服务器
你需要将证书和私钥文件保存下来,例如:
/etc/ssl/cloudflare.crt # 公钥证书
/etc/ssl/cloudflare.key # 私钥
然后根据你使用的 Web 服务器配置:
server {
listen 443 ssl;
server_name example.com;ssl_certificate /etc/ssl/cloudflare.crt;
ssl_certificate_key /etc/ssl/cloudflare.key;ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;# 其它站点配置
}
重启 Nginx:
sudo systemctl restart nginx
四、Cloudflare 面板设置正确的 SSL 模式
在 Cloudflare 的「SSL/TLS」 > 「Overview」中:
建议选择 Full (strict) 模式(表示 Cloudflare 会校验证书是否可信)
如使用 Cloudflare 自签证书,也可选 Full(不验证证书链)
五、其他注意事项
安全性:Cloudflare Origin 证书不受浏览器信任,仅用于内部通信,避免泄露。
自动化:目前 Cloudflare 未提供自动续签 Origin Cert 的方式,需要定期手动更换。
通配符支持:Cloudflare 支持申请带有 *.example.com 的泛域名证书,非常适合子域多的网站。
总结
通过 Cloudflare 自签证书,你可以轻松在源服务器与 Cloudflare 边缘节点之间建立加密连接,无需申请第三方 CA 证书,操作简单、兼容性高、非常适合长期托管在 Cloudflare 上的项目。
