使用 Cloudflare 边缘证书：Origin CA 证书的配置与作用

Cloudflare  Origin  CA证书是用于加密“Cloudflare边缘节点”到“你源站服务器”之间这段连接的安全SSL证书。它能让你在源站无需购买或配置传统CA证书的情况下，轻松实现“Full  (strict)”模式的端到端加密，免费且有效期长达15年。

简单来说，它的核心作用是专门为Cloudflare代理环境设计的源站服务器证书。

一、核心作用：打通加密的最后一公里

当你的域名接入Cloudflare并开启代理后，用户与网站之间的连接被分为两段：

1.    用户  ↔  Cloudflare：由Cloudflare提供的Universal  SSL证书加密，这是公开可信的。

2.    Cloudflare  ↔  你的源站：这最后一段加密就是由**Origin  CA证书来完成的。

它的主要优势在于：

实现“Full  (strict)”模式：这是Cloudflare最安全的SSL模式。它会要求Cloudflare严格验证源站服务器出示的证书必须是由Cloudflare  Origin  CA签发的，杜绝了中间人攻击的风险。

免费且长期有效：相比Let's  Encrypt通常90天的有效期，Origin  CA证书的有效期最长可达15年，大大减少了证书续期的运维负担。

支持泛域名：你可以为  `*.example.com`  生成一个证书，覆盖所有子域名，非常方便。

重要前提：这个证书仅受Cloudflare信任**，而非浏览器。因此，它只能用于Cloudflare回源时调用，不能作为面向公众的证书。一旦你暂停或关闭Cloudflare代理，浏览器访问你的源站IP时就会报证书错误。

二、配置步骤详解

配置过程分为“生成证书”和“安装到服务器”两步：

第一步：在Cloudflare后台生成证书

1.    登录Cloudflare仪表盘，选择你的域名。

2.    点击左侧菜单  SSL/TLS  >  Origin  Server  选项卡。

3.    点击  Create  Certificate。你可以选择让Cloudflare生成私钥（推荐），或者上传自己的CSR。

4.    在“Hostnames”中指定该证书保护的域名（例如  `example.com`  和  `www.example.com`）。

5.    选择有效期（最长15年），点击  Create。

6.    页面会显示  Origin  Certificate（证书内容）和  Private  Key（私钥）。请立即将其安全地保存到本地，关闭页面后将无法再次查看私钥。

第二步：在源站服务器上安装证书

你需要将上一步得到的证书和私钥上传到服务器，并配置Web服务器（如Nginx、Apache）使用它们。

上传文件：建议将证书和私钥放在安全目录，如  `/etc/ssl/certs/`  和  `/etc/ssl/private/`。

配置Nginx示例：

                nginx

        server  {

                listen  443  ssl  http2;

                server_name  example.com;

                #  指向刚才保存的Origin  Certificate和Private  Key

                ssl_certificate  /etc/ssl/certs/origin_cert.pem;

                ssl_certificate_key  /etc/ssl/private/origin_key.key;

                #  可选：配置Authenticated  Origin  Pulls  (增强安全性)

                #  ssl_client_certificate  /etc/nginx/cloudflare/authenticated_origin_pulls_ca.pem;

                #  ssl_verify_client  on;

                #  其余配置...

        }

                注意：如果使用Plesk等面板，通常有“上传自定义证书”的界面，直接粘贴即可。

第三步：调整Cloudflare  SSL/TLS模式

证书安装完成后，回到Cloudflare的  SSL/TLS  >  Overview  页面，将加密模式从“Full”改为  Full  (strict)。此时，Cloudflare会严格验证你源站上配置的Origin  CA证书。

三、进阶防护：开启  Authenticated  Origin  Pulls

这是Cloudflare提供的一项更高阶的安全功能，可以防止攻击者绕过Cloudflare直接访问你的源站IP。它基于双向TLS认证，验证请求方是否真的是Cloudflare边缘节点。

原理：启用后，Cloudflare在回源时会出示一个客户端证书，你配置源站服务器（如Nginx）要求必须验证该证书。

配置：在Cloudflare的  Origin  Server**  页面开启  Authenticated  Origin  Pulls  开关。同时在源站Nginx中添加上述示例中的  `ssl_client_certificate`  和  `ssl_verify_client`  配置。

三、总结与对比

特性      Origin  CA  证书      Let's  Encrypt  证书    

签发者          Cloudflare  Origin  CA  |  Let's  Encrypt  (公共信任)  

主要用途            仅用于        Cloudflare  到源站的回源连接    面向公网用户的通用SSL证书  

有效期    最长  15  年      90  天  (通常自动续期)  |

依赖关系            必须通过  Cloudflare  代理  |  独立工作，不依赖  Cloudflare  

浏览器信任          ❌  不直接信任  (仅Cloudflare信任)  |  ✅  被所有主流浏览器信任  

简单来说，Origin  CA  证书  +  Full  (strict)  模式是标准的安全配置。如果你还想隐藏源站IP，防止被绕过，建议额外开启  Authenticated  Origin  Pulls。