更新Cloudflare SSL TLS策略规则,部署免费CA

之前在部署站点的时候因为浏览器提示不安全,所以将停靠在Cloudflare的域名选择的SSL/TLS策略是【灵活】模式,Cloudflare给出的说明是“仅在访问者与 Cloudflare 之间启用加密。这可以避免浏览器发出安全警告,但 Cloudflare 与您的源服务器之间的所有连接均通过 HTTP 建立”,意思就是访问者到Cloudflare之间使用的是HTTPS,而Cloudflare到源服务器之间使用的是HTTP协议。这样设置之后虽然浏览器没有安全警告了,但是由于源服务器没有部署SSL证书,使用的是HTTP协议,从Clouflare到源服务器之间还是容易被黑客监听造成信息泄露隐患。
所以今天我将Cloudflare的证书策略调整为了【完全(严格)】模式,此模式的意思是“启用端到端加密,对源服务器证书强制执行验证。使用 Cloudflare 的源服务器 CA 为您的源服务器生成证书”。而如果你要选择更为高级的【严格】模式,则需要升级账户为企业账户才能设置。

image.png

但是由于我的源服务器还没有部署证书,所以现在访问会提示证书错误,如下图所示。
image.png接下来就需要在你的源服务器部署证书了,当然你也可以使用Cloudflare免费的CA证书,有效期为15年。
按下图进入源服务器界面,按照提示生成证书和密钥,然后上传到源服务器就可以了。

image.png
证书部署完成后就可以正常使用https访问站点了,而且目前全链路都是https。