我們從2016年開始就申請免費的SSL證書,開通https網站,這幾年一直都是主要使用Let's Encrypt的免費SSL證書,前年、去年開始使用Cloudflare、百度雲加速等CDN服務後,也開始使用CDN上可以順便免費申請的SSL證書,其中Cloudflare的通用SSL證書包含根域名和通配符二級域名,并且自動續期,也是很方便。
但是Cloudflare的免費版或者專業版都不能上傳自己的SSL證書,200美元/月以上的商業版才支持上傳自己另外的SSL證書,這讓我們的采用了三級域名的子網站無法通過Cloudflare來做代理,隻能僅用于DNS解析回源使用。
而最近我們采用Cloudflare的批量重定向功能降低源服務器負載,還特别需要把以前曾經用過、現在已經廢棄的三級域名做跳轉,雖然用htaccess跳轉也可以,但使用Cloudflare的批量重定向功能肯定更好。
在網上搜了半天,也隻有通過花10美元/月購買Cloudflare的高級證書管理器這個辦法,下面是一些介紹文章:
實際使用的時候購買流程很簡單,以前輸入過付款方式,隻要選擇購買、付款就開通了。
高級證書管理器的一些好處:可為證書和 SSL/TLS 設置提供更多控制和更大的靈活性。
- 創建其他證書
- example.com 的公用名
- 可配置的證書有效期
- 可配置的 SAN
- 自定義密碼套件設置
- 自定義信任存儲區
我們主要是用于生成多級通配符域名證書,使用起來也很簡單,如下圖:
證書頒發機構目前有三個選項:
- DigiCert
- Let's Encrypt
- Google Trust Services
其中DigiCert提供了其它更多選項,例如驗證方式:
- TXT驗證(推薦)
- 郵件驗證
DigiCert提供的證書有效期選擇也是最多的:
- 1年
- 3個月
- 1個月
- 2周
雖然證書的有效期越短相對來說越安全,不過對我們這樣的網站來說,選擇任何一種都問題不大。
高級證書管理器可以為一個域名添加100個高級證書,每個證書可以包含50個任意級子域名,對一般網站來說都是足夠了。
缺點是這種生成的高級證書也隻能在Cloudflare中集成使用,無法下載放到源站使用。關于Cloudflare的專門源服務器證書,我最近也剛剛嘗試了,後面再專門寫一篇博文介紹。
每個域名10美元/月的價格也不算貴,我一下子把好些個在用的域名都去購買了,以前用慣了免費的SSL證書,這次土豪一回。😄
2022年10月15日補充:Cloudflare于2022年10月推出了新的功能 Total TLS: one-click TLS for every hostname you have ,點擊打開這個選項後,每個代理的子域名都會生出一個對應的單域名證書,據說這樣是為了簡化設置,不過對我們來說不一定需要,以及适應了人工來設置。前些天試驗的時候不小心打開這個開關,然後就自動生成了上百個子域名的證書,讓SSL證書變更通知郵件不停地發送。
评论