- 前言
在cloudflare使用的过程中,为了保证通信安全,最好可以开启“完全(严格)”模式。该模式下,将实现端到端加密,但服务器上需要有受信任的 CA 证书或 Cloudflare Origin CA 证书。
故开启后,需要为服务器配置SSL证书,网页中只提供了pem格式的证书。而在实际使用中,部分服务端软件需要提供crt+key组合形式的证书文件。在本文中,将对这两种证书文件的生成方法进行说明。
- 生成证书方法
2.1. 进入cloudflare控制台后,选择打开自己的域名,然后单击『SSL/TLS』—— 『源服务器』——『创建证书』。
2.2. 选择由“Cloudflare 生成私钥和 CSR”或者使用“Cloudflare 生成私钥和 CSR”、受保护的主机名以及证书有效期。完成后点击“下一步”。
2.3. 此时会显示生成的证书内容。该窗口中会显示以下两部分内容
(1)源证书
将下面的私钥和证书保存到您的 Web 服务器。
要保存,请复制下面的框中的内容,然后将其粘贴到 Web 服务器上的其他文件中,例如,example.com.pem 和 example.com.key。保存后,从下拉列表中选择 Web 服务器,然后单击“显示说明”按钮以查看安装指南。
以下证书已由 Cloudflare 颁发,可以在源服务器上与您在上一步中提供的主机名一起使用。如果您需要原始请求中未包含的其他主机名,应重新生成证书。
-----BEGIN CERTIFICATE-----
(源证书内容)
-----END CERTIFICATE-----
(2)私钥
将下面的私钥内容复制到 Web 服务器并设置文件权限,限制只有您的 http 服务器可以访问此文件。此外,您还可以选择加密此文件,并提供用于在源 Web 服务器启动期间进行解密的密码。私钥数据不会存储在 Cloudflare 上,创建完成后,将无法再访问。请确保创建此密钥的本地副本。
请像保护您的重要密码一样保护此私钥,因为任何有权访问此私钥的用户可能都可以解密您的 HTTPS 流量。如果此密钥已泄漏,您应从“源证书”表中吊销证书,然后使用新密钥重新生成证书。
-----BEGIN PRIVATE KEY-----
(私钥内容)
-----END PRIVATE KEY-----
我们将这两部分内容分别复制粘贴到本机电脑上的txt文件中。接着,我们将源证书的后缀名修改为".crt",私钥的后缀名修改为".key",随后上传到服务器中即可。
- 总结
生成秘钥的界面中,私钥仅会显示一次,需要马上保存到电脑中,否则私钥将会丢失。丢失后只能删除证书,然后重复上述操作,重新添加新证书。而源证书可以在控制台中重复预览和保存。
一般而言,服务端软件会自动识别证书内容,因此不需要使用转换工具对证书文件进行格式转换,仅进行文件重命名即可。
评论 (0)