CloudFlare CDN 使用教程 启用 SSL / HTTPS
虽然我们一直都叫给网站启用 https ,但是 CloudFlare 这里叫启用 SSL/TLS,我也不明白为什么会这样,但是,好用就行。进入 CloudFlare 域名管理面板,找到 SSL/TLS 按钮,点击进入,如下图。选项含义建议
关闭从 客户浏览器 到 CloudFlare 到 您的服务器 间的流量全部走不加密的 http非常不建议
灵活仅 客户浏览器 到 CloudFlare 服务器间的流量走加密的 https,CloudFlare 回源到 服务器 间的流量依旧走不加密的 http
如果您不想在您的服务器上部署 SSL 证书,或者您使用的虚拟主机不支持上传自己的 SSL 证书,那么,灵活 选项是最好的选择
完全客户浏览器 到 CloudFlare 服务器间的流量走加密的 https,CloudFlare 回源到 服务器 间的流量也走加密的 https,但是 不验证服务器 SSL 证书的有效性和真伪此时您需要在您的服务器上部署 SSL 证书,但是该证书可以是服务器自签发的证书,如果不想每年都更新一次证书或者购买证书,选择这个即可
严格从 客户浏览器 到 CloudFlare 服务器间 到 您自己的服务器 间的流量全部走只能走 https 流量,且必须验证您服务器上证书的有效性和真伪。此时您需要在服务器上部署由认证的 CA 机构签发的 SSL 证书才行。如果您比较注重隐私安全,或者您网站上有支付交易功能,那么这个才是最好的选择。另外,如果您想参与 hstspreload 项目,也必须选择这个。
在这里您可以看到 CloudFlare 为您的网站签发 SSL 证书的域名,也可以管理您的网站是否把所有流量都重定向到 HTTPS 上。如果您不明白怎么配置好,那么请按照我们的截图配置各个选项。
如果您在 最开始 SSL/TLS 加密选项里,选择了 严格,那么您在这里可以启用 HSTS 服务。在您没有一定的服务器维护基础的前提下,不建议启用。HTTP 严格传输安全 (HSTS, RFC 6797) 是一个标头,允许网站在客户端 Web 浏览器中指定并强制执行安全策略。强制执行此策略可以保护安全网站免受降级攻击、SSL 剥离和 Cookie 劫持。它允许 Web 服务器声明一个策略,即浏览器将仅使用安全 HTTPS 连接进行连接,并确保最终用户不会“点击”重要安全警告警示的内容。HSTS 是实现高安全性网站的一项重要安全机制。仅当通过 HTTPS 连接(而非 HTTP)提供服务时,才会遵守 HSTS 标头。
最低 TLS 版本,这里 Young Free 建议选择 TLS 1.1 作为最低版本,虽然 1.0 版本兼容性好,但毕竟 TLS 1.0 太老旧了,问题也多,没必要为了兼容一些古董设备去用不安全的协议。TLS 1.3 版本 为最新的协议,也是未来的趋势,目前 Chrome / FireFox / Edge / 360 安全浏览器 / 360 极速浏览器 等智慧浏览器都已经支持了 TLS 1.3 协议,所以也是建议启用哦。自动 HTTPS 重写,启用后,能帮您将网站上所有 未加密的 HTTP 流量重定向到 HTTPS 上。如果您不想花钱买域名证书,或者,您不想每年都更新一次服务器上的证书配置,那么您可以选择在服务器上部署 CloudFlare 免费签发的 长达 15年 的 TLS 证书。如果您选择了使用 CloudFlare 签发的证书,那么请确保您的网站流量都是走的 CF CDN,不然您的浏览器可能不认可证书,导致无法正常访问。
经过身份验证的源服务器拉取,这个选项不建议开启,开启这个选项后,会导致您的服务器只认可和 CloudFlare 的链接,并拒绝其它链接。不是大佬的我们不需要这个,弄不好会让我们自己都无法访问服务器。CloudFlare 签发 SSL 证书点击上图中的蓝色 创建证书 按钮,会跳转到 SSL 证书签发页面,这里我们选择兼容性比较好的 RSA(2048) 私钥类型。至于多级域名证书,没必要了,CloudFlare 虽然能给服务器签发多级域名证书,但是免费版的 CF 却不能为我们提供供客户端用的多级域名证书。点击创建后,我们选择 PEM 格式的证书。我们打开宝塔面板,选中我们要部署 SSL 证书的域名,按下图步骤,找到对应界面,并填入对应的 CF 私钥 和 CF 源证书,再 保存。末了,建议启用 强制 HTTPS 服务。至此,您的网站就用上了 CloudFlare 提供的免费 SSL 服务了,您的网站就可以完整的使用 HTTPS 进行加密访问了。
页:
[1]