免费 Letsencrypt SSL 证书和 cloudflare CDN 完美方案?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1772 天前的主题，其中的信息可能已经有所发展或是发生改变。

背景: 面向海外的小公司网站, 只是用于简单产品浏览

请问: 1: 使用了 cloudflare CDN 的 Flexible ssl, 虽然 cloudflare 到我们的 server 的流量没有加密, 但是访客到 cloudflare CDN 是加密的, 请问主流浏览器 chrome safari edge 打开我们的网站都会显示安全连接吗?

2 有没有免费的 letsencrypt 证书自动更新脚本? V 友有没有稳定的脚本推荐?

谢谢各位

第 1 条附言 · 2020-01-10 14:54:57 +08:00

忘了补充了 , 服务器是放在海外, 永远不考虑将服务器放国内.

第 2 条附言 · 2020-01-10 14:56:35 +08:00

忘了补充了 , 服务器是放在海外, 永远不会将服务器放国内. 这种前提下还要考虑 cloudflare 到我们的服务器的流量没有加密可能被插广告的问题吗>??

27 条回复 • 2020-01-12 01:34:46 +08:00

MidLinn

2020-01-10 11:33:02 +08:00

1.会。2.acme.sh
我推荐你服务器上直接装上 cf 的 15 年证书，还不用更新。只是只能用在 cf 上，对用户是没有影响的。

zhxhwyzh14

2020-01-10 12:51:27 +08:00

第二个，acme.sh

no1xsyzy

2020-01-10 13:09:37 +08:00

注意一下
> cloudflare 到我们的 server 的流量没有加密
这个地方还是可能被插广告，有前车之鉴 /t/477565，站长给建议是仅 HTTPS 回源。

oudemen

2020-01-10 14:18:09 +08:00

acme.sh

tcifer

2020-01-10 15:00:33 +08:00

1、不显示，需要配置 SSL 才显示
2、楼上说的脚本加上 crontab 定时就可以自动更新证书了

SakuraKuma

2020-01-10 15:03:04 +08:00

可以去 cf 里面申请个证书给 cf 认一下就好。

programV2

2020-01-10 15:19:52 +08:00

@no1xsyzy 谢谢回复, 忘了补充了 , 服务器是放在海外, 永远不会将服务器放国内. 这种前提下还要考虑 cloudflare 到我们的服务器的流量没有加密可能被插广告的问题吗??

encro

2020-01-10 15:22:13 +08:00

letsencrypt 有各大域名厂商插件就可以自动了。

encro

2020-01-10 15:26:55 +08:00

https://c4ys.com/archives/1845 使用的阿里云域名+letsencrypt 插件。

另外 PHP 小站直接用宝塔 BT，amh 之类，可以也可以自动续期。

lc7029

2020-01-10 18:03:48 +08:00

自己签个 99 年证书给自己的服务器到 Cloudflare 用，cloudflare 有自己的 sni 证书。

sneezry

2020-01-10 18:09:17 +08:00 via iPhone

公司尽量别用免费的东西，会降低客户对你们的信任度，认为你们公司财力有限。

geekvcn

2020-01-10 18:27:09 +08:00

@sneezry 然而懂这些的客户没几个

xmumiffy

2020-01-10 18:38:29 +08:00 via Android

cf 访问你的服务器可以用 cf 给的证书，记得是 15 年泛域名，但是不被普通浏览器信任，只能用来回源

imkerberos

2020-01-10 18:40:50 +08:00

上 caddy.

no1xsyzy

2020-01-10 18:54:54 +08:00

@programV2 这点不确定，毕竟出现过欧洲到欧洲从中国绕一圈的意外了（ BGP 泄漏）
况且只是回个源用 HTTPS 压力并不大吧

msg7086

2020-01-10 19:31:25 +08:00 via Android

@sneezry 看来 Linux 也不能用了。

MonoLogueChi

2020-01-10 20:16:35 +08:00 via Android

@programV2 服务器在海外就不会有人攻击了吗，服务器在海外就不会被劫持了吗，服务器在海外就不会被插广告了吗

8n1AfdFQWA5CWTNQ

2020-01-10 20:17:23 +08:00

没有问题的。

ruimz

2020-01-10 20:23:56 +08:00 via Android

楼主这个需求可以考虑一下用 cf 的源站证书，cf 服务器是信任他们自己的这个自签证书的。之后开启 full strict 模式，可以保证服务器到 cf 这一段没有问题

Buges

2020-01-10 20:29:04 +08:00 via Android

Caddy

programV2

2020-01-11 00:12:44 +08:00 via iPhone

@ruimz
@no1xsyzy
@xmumiffy
@MidLinn
@SakuraKuma
@SakuraKuma 谢谢大家回复！请问一个域名能同时向两个不同 CA 申请单域名证书吗？如果签了 15 年的 CF 证书，但在两年后想要换个其他 CA 的 SSL 证书，这时候可以直接购买吗？还是要等到 15 年到期后才能买？

xmumiffy

2020-01-11 01:05:13 +08:00 via Android

@programV2 是可以的

jinliming2

2020-01-11 01:48:17 +08:00 via iPhone

我记得 CF 有直接提供类似于 LE 的三月续签的免费证书的啊？
我记错了吗？

zninjia

2020-01-11 12:10:39 +08:00

必须吹爆 Caddy，实在是太方便了，Caddy 配置下域名服务商的 API 的 token，启动服务即自动签名

no1xsyzy

2020-01-11 13:52:14 +08:00

@programV2 申请随便申请，各自分别验证通过就行，难道恶意 CA 胡乱签发就能让网站无法申请正常 CA 的证书了吗？

sneezry

2020-01-11 15:06:02 +08:00

@msg7086 商业上使用 Linux 并不便宜，面向企业用户的 Linux 发行版都有价格不菲的附加服务

msg7086

2020-01-12 01:34:46 +08:00 via Android

@sneezry 可这改变不了 Linux 是免费提供的这一事实。附加服务再贵，本体也是免费的。