一、引言
近期,诸多用户咨询 SSL 证书相关问题,其中不乏对阿里云、腾讯云等平台提供的免费证书仅有 3 个月有效期,需频繁更新的困扰。鉴于此,本文将详细介绍 Cloudflare 提供的 15 年期免费 SSL 证书申请流程,该证书支持通配符域名,为用户提供了新的选择。
二、选择 Cloudflare 15 年免费SSL证书的原因
相较于其他免费证书 3 个月的有效期,Cloudflare 的 15 年期证书具有显著特点,以下从优缺点两方面进行分析:
(一)优点
- 完全免费,且有效期长达 15 年。
- 支持通配符域名。
- 可免费使用 Cloudflare 的 CDN 服务。
- 能够保护源站 IP,提升网站安全性。
(二)需要注意的地方
- 必须将域名 DNS 托管到 Cloudflare 平台。
- 国内访问速度可能会受到一定影响。
- 部分主机商的部分功能可能无法使用。
三、准备工作
在开始申请之前,需确保满足以下条件:
- 已注册 Cloudflare 账户,注册地址为:https://www.cloudflare.com/ 。
- 域名已添加到 Cloudflare 账户中。
- 将域名 DNS 托管到 Cloudflare 平台,具体步骤为在购买域名处修改 DNS 解析,设置为 Cloudflare 的名称服务器,例如:coco.ns.cloudflare.com、shane.ns.cloudflare.com 。
- 选择合适的计划,对于免费用户,拉到页面下方选择 FREE 计划即可。
四、详细申请步骤
(一)登录并进入证书申请界面
从域名列表中选择需要申请证书的域名,在左侧菜单栏找到并点击 “SSL/TLS”,然后进入 “源服务器” 标签页,点击 “创建证书” 按钮。
(二)配置证书参数
- 生成私钥和 CSR:可选择让 Cloudflare 生成私钥和 CSR,新手推荐此方式,私钥类型可选择 RSA 或 ECC。
- 配置证书域名范围:输入需要 SSL 保护的主机名,可使用通配符(如 *.example.com),默认包含顶级域名和一级通配符。若需添加域的其他级别,如one.two.example.com,可在此处添加。
- 选择证书有效期:默认有效期为 15 年,可根据需求缩短。
- 选择密钥格式:Apache/Nginx 服务器选择 PEM 格式,Windows/Tomcat 服务器选择 PKCS#7 格式。
(三)保存证书信息
点击创建按钮生成证书后,需立即将私钥和证书内容复制保存到安全位置。建议创建两个单独的文本文件,分别命名为 “private.key”(私钥文件)和 “certificate.pem”(证书文件)。
⚠️特别注意:离开证书生成页面后将无法再次查看私钥,请务必保存好。
五、证书部署步骤
(一)安装证书到服务器
登录服务器控制面板(如 1Panel 等),找到证书相关功能,选择上传证书,分别粘贴私钥和证书内容,完成证书安装。
(二)配置 CA 根证书(按需)
若服务器需要,可下载并安装相应的根证书:
- ECC 版本:Cloudflare Origin ECC PEM
- RSA 版本:Cloudflare Origin RSA PEM
注意:Apache cPanel 用户请勿使用 ECC 版本。
(三)Cloudflare 面板配置
返回 SSL/TLS 设置页面,开启 “Authenticated Origin Pulls” 选项,然后切换到 “概述” 标签,选择合适的加密模式,可选择 “完整(严格)” 或 “完整(仅限 SSL 源站拉取)”。
Chinese 
English