CloudFlare 的 SSL 用法

昨天把我一直在用的 CloudFlare 的 SSL 配置有做了一些改变。这里得说一下缘由。
phpbbchinese.com 网站，先是用了 CloudFlare 作为 全站CDN。用的挺好，之后，把域名也转移到 CloudFlare，以简化管理。原先就用上了 https 了，买的 gogetssl.com 的证书，它家的证书不说是最便宜吧，也是相当的便宜。

因为 CloudFlare 提供了面向用户的证书了，无需付费，而源站呢？我之前用的就是 gogetssl.com 最便宜的那个证书。

说了前言之后，就是昨天了。才了解到 CloudFlare 对于源站可以接受自签的 SSL 证书（就是忽略了证书警告），也可以用它所提供的源站SSL证书，其实也相当于自签的，但 CloudFlare 接受。

SSL 在开启后，有三种，Flexible，Full，Full（strict）。

好吧，看看 CloudFlare 中文介绍好了。

Cloudflare SSL 以不同的模式运行，具体取决于所需的安全级别和您愿意执行的配置量。传到最终用户的流量将始终加密，这意味着您的网站将始终享受 HTTPS 带来的好处。但是，可以通过多种方式配置 Cloudflare 与原始服务器之间的流量。

（Flexible）灵活的 SSL

灵活的 SSL 会将从 Cloudflare 到您网站最终用户的流量加密，但不会将从 Cloudflare 到您的原始服务器的流量加密。这是启用 HTTPS 的最简单方法，因为无需在您的来源上安装 SSL 证书。虽然不如其他选项安全，但灵活的 SSL 确实可以保护您的访问者免受大量威胁，包括公共 WiFi 窥探和通过 HTTP 进行的广告植入。

这个方式我不愿意用，因为从源站到 CloudFlare 的连接不是加密的。

（Full）完整的 SSL

完整 SSL 模式提供从最终用户到 Cloudflare 以及从 Cloudflare 到原始服务器的加密。这需要原始服务器上安装 SSL 证书。在完整 SSL 模式下，您可以在服务器上安装的证书有三种：一种由证书颁发机构（严格）颁发，一种由Cloudflare（来源 CA）颁发，或者是自签名证书。建议您使用通过 Cloudflare 来源 CA 获得的证书。

我现在在用的就是这种，而采用的就是使用 CloudFlare 源CA 证书。

去到 Cypto 页面，就可以找到生成 SSL 的地方了。

默认可以生成15年的证书，当然就用了。