管理Cloudflare Origin CA证书

小提示：您能找到这篇{管理Cloudflare Origin CA证书}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的管理Cloudflare Origin CA证书内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">概述

< font-size: 16px;">使用 Origin CA 证书加密 Cloudflare 与源 Web 服务器之间的流量。为确保更高的便利性、安全性和性能，Cloudflare 建议使用 Origin CA 证书，而不是自签名证书或从证书颁发机构购买的证书。使用 Origin CA 证书，您可以在 Cloudflare SSL/TLS 应用中使用“完全”和“完全（严格）SSL”模式，而无需先从证书颁发机构购买证书以安装在您的源 Web 服务器上。

< font-size: 16px;">Origin CA 证书仅加密 Cloudflare 与您的源 Web 服务器之间的流量，并且在 Cloudflare 之外直接访问您的原始网站时不受客户端浏览器的信任。对于使用 Origin CA 证书的子域，暂停或禁用 Cloudflare 会导致站点访问者出现不受信任的证书错误。

< font-size: 16px;">部署 Origin CA 证书通常需要三个步骤：

< font-size: 16px;">创建 Origin CA 证书

< font-size: 16px;">在源 Web 服务器上安装 Origin CA 证书

< font-size: 16px;">在 Cloudflare SSL/TLS 应用中配置 SSL 模式

< font-size: 16px;">Google App Engine 不支持 CloudFlare Origin CA 证书。 

< font-size: 16px;">第 1 步 - 创建 Origin CA 证书

< font-size: 16px;">您可以在 Cloudflare 仪表板中生成自己的 Origin CA 证书：

< font-size: 16px;">登录 Cloudflare。

< font-size: 16px;">为需要 Origin CA 证书的域选择相应的账户。

< font-size: 16px;">选择域。

< font-size: 16px;">单击 SSL/TLS 应用。

< font-size: 16px;">向下滚动到 Origin 证书。

< font-size: 16px;">单击创建证书以打开 Origin 证书安装窗口。

< font-size: 16px;">在 Origin 证书安装窗口中，选择以下任一项：

< font-size: 16px;">由 Cloudflare 生成私钥和 CSR - 需要指定私钥类型是 RSA 还是 ECDSA。

< font-size: 16px;">我有自己的公关公司的哪家好私钥和 CSR - 需要将证书签名请求粘贴到文本字段中。

< font-size: 16px;">列出证书应使用 SSL 加密保护的主机名（包括通配符）。默认情况下包含区域根和一级通配符主机名。

< font-size: 16px;">您可以在单个证书上包含最多 100 个主机名或通配符主机名，并且可以包含同一 Cloudflare 账户中其他域的主机名。您还可以添加对多级子域（例如 * .test.dev.www.example.com）的支持。

< font-size: 16px;">选择证书到期时间。默认值为 15 年，最短为 7 天。

< font-size: 16px;">单击下一步。

< font-size: 16px;">选择密钥格式。选择最适合您环境的密钥对格式。大多数基于 OpenSSL 的 Web 服务器（如 Apache 和 NGINX）都希望使用 PEM 文件（Base64 编码的 ASCII），但也可以使用二进制 DER 文件。Windows 和 Apache Tomcat 用户必须选择 PKCS#7。

< font-size: 16px;">按照 Origin 证书安装窗口的指示，将已签署的 Origin 证书和私钥详细信息复制到单独的文件中。

< font-size: 16px;">在单击确定之前，请务必复制私钥信息。出于安全原因，在创建 Origin 证书后，不会再次显示私钥。

< font-size: 16px;">单击确定。

< font-size: 16px;">可以通过 Cloudflare API 创建 Cloudflare Origin CA 证书。

< font-size: 16px;">第 2 步 - 在源 Web 服务器上安装 Origin CA 证书

< font-size: 16px;">将 Origin CA 证书添加到源 Web 服务器需要几个常规步骤：

< font-size: 16px;">将 Origin CA 证书（在第 1 步中创建）上传到源 Web 服务器。

< font-size: 16px;">使用下面的链接安装指南更新 Web 服务器配置以指向证书。

< font-size: 16px;">（大多数源 Web 服务器可选）将 Cloudflare 的 CA 根证书上传到源 Web 服务器。

< font-size: 16px;">某些 Web 服务器（如 IIS 和 cPanel）会验证 Origin CA 根证书。此类 Web 服务器在配置期间需要 Cloudflare 的根 RSA 证书。

< font-size: 16px;">在源 Web 服务器上启用 SSL 和端口 443。

< font-size: 16px;">检查您的源站防火墙是否阻止与端口 443 的连接。

< font-size: 16px;">查看下面的链接列表，了解特定于源 Web 服务器的安装说明。有关安装 Origin CA 证书的进一步帮助，请与您的主机提供商、Web 管理员或 Web 服务器供应商联系。

< font-size: 16px;">Apache httpd

< font-size: 16px;">GoDaddy Hosting（带有 cPanel）

< font-size: 16px;">Microsoft IIS 7

< font-size: 16px;">Microsoft IIS 8 和 8.5

< font-size: 16px;">Microsoft IIS 10

< font-size: 16px;">NGINX

< font-size: 16px;">Tomcat

< font-size: 16px;">第 3 步 - 在 Cloudflare SSL/TLS 应用中配置 SSL 模式

< font-size: 16px;">在源 Web 服务器上安装 Cloudflare Origin CA 证书后，指示 Cloudflare 加密到源 Web 服务器的流量。在 Cloudflare SSL/TLS 应用中将 SSL 模式设置为完全或完全（严格），以在 Cloudflare 和您的源 Web 服务器之间启用加密。

< font-size: 16px;">仅当所有源主机受 Origin CA 证书或公共信任证书保护时，才能通过 SSL/TLS 应用全局进行此更改。 否则，请考虑通过 Cloudflare Page Rule 应用将 SSL 设置为完全或完全（严格）。

< font-size: 16px;">要避免重定向循环错误，请先确保您的源 Web 服务器配置不会将 HTTPS 重定向到 HTTP 或将 HTTP 重定向到 HTTPS，其方式与将 Cloudflare SSL 模式配置为 Cloudflare 连接到源 Web 服务器的方式相反。

< font-size: 16px;">（可选）第 4 步 - 添加 Cloudflare Origin CA 根证书

< font-size: 16px;">一些源 Web 服务器需要上传 Cloudflare Origin CA 根证书。有关 Cloudflare Origin CA 根证书的 RSA 和 ECC 版本，请参见下文。单击链接以下载文件：

< font-size: 16px;">cloudflare_origin_ecc.pem

< font-size: 16px;">cloudflare_origin_rsa.pem

< font-size: 16px;">cPanel 不支持 ECC 证书。使用下面的 Origin CA 根 RS山东电视台广告A 证书。

< font-size: 16px;">或者，单击以展开根证书内容以进行复制并粘贴到源 Web 服务器配置中：

< font-size: 16px;">Cloudflare Origin CA - RSA 根证书

< font-size: 16px;">Cloudflare Origin CA - ECC 根证书

< font-size: 16px;">删除 Origin CA 证书

< font-size: 16px;">请按照以下步骤撤消 Origin CA 证书：

< font-size: 16px;">登录 Cloudflare。

< font-size: 16px;">为需要撤消 Origin CA 证书的域选择适当的账户。

< font-size: 16px;">选择域。

< font-size: 16px;">单击 SSL/TLS 应用，然后向下滚动到 Origin 证书。

< font-size: 16px;">在替换 Origin CA 证书后，访问者将看不到有关站点不安全的错误。为避免错误，请在撤销 Origin CA 证书之前确保 SSL 模式设置为“完全”或“灵活”而不是“完全（严格）”，可以通过 SSL/TLS 应用全局设置，也可以通过 Page Rule 应用为特定主机名设置。

< font-size: 16px;">单击 Origin CA 证书列表中证书名称右侧的 X 图标。

< font-size: 16px;">随即将出现撤消 Origin 证书确认窗口。

< font-size: 16px;">选中确认框，然后单击撤消。