我们从2016年开始就申请免费的SSL证书,开通https网站,这几年一直都是主要使用Let's Encrypt的免费SSL证书,前年、去年开始使用Cloudflare、百度云加速等CDN服务后,也开始使用CDN上可以顺便免费申请的SSL证书,其中Cloudflare的通用SSL证书包含根域名和通配符二级域名,并且自动续期,也是很方便。
但是Cloudflare的免费版或者专业版都不能上传自己的SSL证书,200美元/月以上的商业版才支持上传自己另外的SSL证书,这让我们的采用了三级域名的子网站无法通过Cloudflare来做代理,只能仅用于DNS解析回源使用。
而最近我们采用Cloudflare的批量重定向功能降低源服务器负载,还特别需要把以前曾经用过、现在已经废弃的三级域名做跳转,虽然用htaccess跳转也可以,但使用Cloudflare的批量重定向功能肯定更好。
在网上搜了半天,也只有通过花10美元/月购买Cloudflare的高级证书管理器这个办法,下面是一些介绍文章:
实际使用的时候购买流程很简单,以前输入过付款方式,只要选择购买、付款就开通了。
高级证书管理器的一些好处:可为证书和 SSL/TLS 设置提供更多控制和更大的灵活性。
- 创建其他证书
- example.com 的公用名
- 可配置的证书有效期
- 可配置的 SAN
- 自定义密码套件设置
- 自定义信任存储区
我们主要是用于生成多级通配符域名证书,使用起来也很简单,如下图:
证书颁发机构目前有三个选项:
- DigiCert
- Let's Encrypt
- Google Trust Services
其中DigiCert提供了其它更多选项,例如验证方式:
- TXT验证(推荐)
- 邮件验证
DigiCert提供的证书有效期选择也是最多的:
- 1年
- 3个月
- 1个月
- 2周
虽然证书的有效期越短相对来说越安全,不过对我们这样的网站来说,选择任何一种都问题不大。
高级证书管理器可以为一个域名添加100个高级证书,每个证书可以包含50个任意级子域名,对一般网站来说都是足够了。
缺点是这种生成的高级证书也只能在Cloudflare中集成使用,无法下载放到源站使用。关于Cloudflare的专门源服务器证书,我最近也刚刚尝试了,后面再专门写一篇博文介绍。
每个域名10美元/月的价格也不算贵,我一下子把好些个在用的域名都去购买了,以前用惯了免费的SSL证书,这次土豪一回。😄
2022年10月15日补充:Cloudflare于2022年10月推出了新的功能 Total TLS: one-click TLS for every hostname you have ,点击打开这个选项后,每个代理的子域名都会生出一个对应的单域名证书,据说这样是为了简化设置,不过对我们来说不一定需要,以及适应了人工来设置。前些天试验的时候不小心打开这个开关,然后就自动生成了上百个子域名的证书,让SSL证书变更通知邮件不停地发送。
评论