前言:以往都是使用的LNMP自动生成Let’s Encrypt免费证书,但前几天cloudflare买了一个域名后,到了在服务器创建主机的阶段卡住了,原因是没办法修改cloudflare dns,不清楚是我创建的api权限没给够还是其他什么原因,最后申请了几次没申请到,反而请求频繁了。所以只能使用cloudflare的证书来给网站上ssl了。
以前我并没有使用过cloudflare的证书,也基本没用过这个网站,这一看,好家伙,cloudflare的证书有效期最长可以达到15年,完全不用每次到期再更换了。
第一步:
打开小云朵,让cloudflare代理你的流量
第二步:
进入你的域名,然后选择SSL/TLS选择加密模式为完全(严格)
第三步:
进入SSL/TLS下的源服务器,点击创建证书
第四步:
这里默认就好,点击创建,生成的是通配符证书
第五步:
上面的是pem下面的是key。
复制里面的内容,然后创建对应的.pem文件和.key文件上传到服务器
第六步:
在nginx配置文件里添加下面圈出的代码,指向ssl文件
第七步:
重启你的Nginx,现在你就可以看到你的网站已经可以使用HTTPS来访问了,如果你想使所有流量都使用HTTPS访问,请看第六步上面两个server,或者通过cloudflare来自动跳转你的流量,个人建议你使用cloudflare来转到HTTPS,因为这将会节省用户访问的时间和资源。
Cloudflare SSL 加密参数说明表
| 参数 | 含义 | 优点 | 缺点 |
|---|---|---|---|
| OFF | 完全不加密,即不使用 Https 协议 | 无 |
|
| Flexible | 你的网站用户和 Cloudflare 之间有加密连接,但是从 Cloudflare 到你的服务器没有加密。即半程加密。 | 就算你的网站没有 SSL 证书,用户也能实现 SSL 加密访问。 |
|
| Full | 全程加密,从用户到 CDN 服务器再到你的网站,全程都是 SSL 加密的,反之亦同。只要你的服务器有 SSL 证书,就可以实现 SSL 加密访问。 | 不限制证书。 openssh 自签名证书还是正规机构签发的 SSL 都可用 |
在 Cloudflare 到源站中仍存在中间人攻击的风险(包括通过证书劫持和伪造等方式,与严格模式不同,Cloudflare 不会对源站的证书进行审核) |
| Full (strict) |
全程加密,它与 Full SSL 的区别在于你的服务器必须是安装了已受信任的 SSL 证书(即购买的或正规机构签发的 SSL 证书),否则无法开启 SSL 加密访问。 | 安全 新增了对证书的认证,源站如果配置了自签证书、非可信证书或过期证书,那么 Cloudflare 会回复客户端访问失败并返回 526 响应码 |
无 |
了解更多关于Cloudflare 的端到端加密 。[3]
注:这四种模式仅在启用了 Cloudflare 的 CDN 后——即点亮了橙色小云朵——才有效。如果只是把 Cloudflare 用作 DNS 解析,那么上述的加密模式都不会起作用!
若是有选择困难症,森见鹿同学整理了常用需求对应的模式,请参照下面的流程图:
参考文献(抄)
2.证书过期忘续?试试 15 年有效期的 Cloudflare Cert
