V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
programV2
V2EX  ›  程序员

免费 Letsencrypt SSL 证书和 cloudflare CDN 完美方案?

  •  
  •   programV2 · 2020-01-10 11:20:34 +08:00 · 8549 次点击
    这是一个创建于 1539 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景: 面向海外的小公司网站, 只是用于简单产品浏览

    请问: 1: 使用了 cloudflare CDN 的 Flexible ssl, 虽然 cloudflare 到我们的 server 的流量没有加密, 但是访客到 cloudflare CDN 是加密的, 请问主流浏览器 chrome safari edge 打开我们的网站都会显示安全连接吗?

    2 有没有免费的 letsencrypt 证书自动更新脚本? V 友有没有稳定的脚本推荐?

    谢谢各位

    第 1 条附言  ·  2020-01-10 14:54:57 +08:00
    忘了补充了 , 服务器是放在海外, 永远不考虑将服务器放国内.
    第 2 条附言  ·  2020-01-10 14:56:35 +08:00
    忘了补充了 , 服务器是放在海外, 永远不会将服务器放国内. 这种前提下 还要考虑 cloudflare 到我们的服务器的流量没有加密可能被插广告的问题吗>??
    27 条回复    2020-01-12 01:34:46 +08:00
    MidLinn
        1
    MidLinn  
       2020-01-10 11:33:02 +08:00   ❤️ 1
    1.会。2.acme.sh
    我推荐你服务器上直接装上 cf 的 15 年证书,还不用更新。只是只能用在 cf 上,对用户是没有影响的。
    zhxhwyzh14
        2
    zhxhwyzh14  
       2020-01-10 12:51:27 +08:00
    第二个,acme.sh
    no1xsyzy
        3
    no1xsyzy  
       2020-01-10 13:09:37 +08:00
    注意一下
    > cloudflare 到我们的 server 的流量没有加密
    这个地方还是可能被插广告,有前车之鉴 /t/477565,站长给建议是仅 HTTPS 回源。
    oudemen
        4
    oudemen  
       2020-01-10 14:18:09 +08:00
    tcifer
        5
    tcifer  
       2020-01-10 15:00:33 +08:00
    1、不显示,需要配置 SSL 才显示
    2、楼上说的脚本加上 crontab 定时就可以自动更新证书了
    SakuraKuma
        6
    SakuraKuma  
       2020-01-10 15:03:04 +08:00
    可以去 cf 里面申请个证书给 cf 认一下就好。
    programV2
        7
    programV2  
    OP
       2020-01-10 15:19:52 +08:00
    @no1xsyzy 谢谢回复, 忘了补充了 , 服务器是放在海外, 永远不会将服务器放国内. 这种前提下 还要考虑 cloudflare 到我们的服务器的流量没有加密可能被插广告的问题吗??
    encro
        8
    encro  
       2020-01-10 15:22:13 +08:00
    letsencrypt 有各大域名厂商插件就可以自动了。
    encro
        9
    encro  
       2020-01-10 15:26:55 +08:00
    https://c4ys.com/archives/1845 使用的阿里云域名+letsencrypt 插件。

    另外 PHP 小站直接用宝塔 BT,amh 之类,可以也可以自动续期。
    lc7029
        10
    lc7029  
       2020-01-10 18:03:48 +08:00
    自己签个 99 年证书给自己的服务器到 Cloudflare 用,cloudflare 有自己的 sni 证书。
    sneezry
        11
    sneezry  
       2020-01-10 18:09:17 +08:00 via iPhone
    公司尽量别用免费的东西,会降低客户对你们的信任度,认为你们公司财力有限。
    geekvcn
        12
    geekvcn  
       2020-01-10 18:27:09 +08:00
    @sneezry 然而懂这些的客户没几个
    xmumiffy
        13
    xmumiffy  
       2020-01-10 18:38:29 +08:00 via Android   ❤️ 1
    cf 访问你的服务器可以用 cf 给的证书,记得是 15 年泛域名,但是不被普通浏览器信任,只能用来回源
    imkerberos
        14
    imkerberos  
       2020-01-10 18:40:50 +08:00
    上 caddy.
    no1xsyzy
        15
    no1xsyzy  
       2020-01-10 18:54:54 +08:00
    @programV2 这点不确定,毕竟出现过欧洲到欧洲从中国绕一圈的意外了( BGP 泄漏)
    况且只是回个源用 HTTPS 压力并不大吧
    msg7086
        16
    msg7086  
       2020-01-10 19:31:25 +08:00 via Android
    @sneezry 看来 Linux 也不能用了。
    MonoLogueChi
        17
    MonoLogueChi  
       2020-01-10 20:16:35 +08:00 via Android
    @programV2 服务器在海外就不会有人攻击了吗,服务器在海外就不会被劫持了吗,服务器在海外就不会被插广告了吗
    iammecn
        18
    iammecn  
       2020-01-10 20:17:23 +08:00
    没有问题的。
    ruimz
        19
    ruimz  
       2020-01-10 20:23:56 +08:00 via Android
    楼主这个需求可以考虑一下用 cf 的源站证书,cf 服务器是信任他们自己的这个自签证书的。之后开启 full strict 模式,可以保证服务器到 cf 这一段没有问题
    Buges
        20
    Buges  
       2020-01-10 20:29:04 +08:00 via Android
    Caddy
    programV2
        21
    programV2  
    OP
       2020-01-11 00:12:44 +08:00 via iPhone
    @ruimz
    @no1xsyzy
    @xmumiffy
    @MidLinn
    @SakuraKuma
    @SakuraKuma 谢谢大家回复! 请问一个域名能同时向两个不同 CA 申请单域名证书吗? 如果签了 15 年的 CF 证书,但在两年后想要换个其他 CA 的 SSL 证书 ,这时候可以直接购买吗?还是要等到 15 年到期后才能买?
    xmumiffy
        22
    xmumiffy  
       2020-01-11 01:05:13 +08:00 via Android
    @programV2 是可以的
    jinliming2
        23
    jinliming2  
       2020-01-11 01:48:17 +08:00 via iPhone
    我记得 CF 有直接提供类似于 LE 的三月续签的免费证书的啊?
    我记错了吗?
    zninjia
        24
    zninjia  
       2020-01-11 12:10:39 +08:00
    必须吹爆 Caddy,实在是太方便了,Caddy 配置下域名服务商的 API 的 token,启动服务即自动签名
    no1xsyzy
        25
    no1xsyzy  
       2020-01-11 13:52:14 +08:00
    @programV2 申请随便申请,各自分别验证通过就行,难道恶意 CA 胡乱签发就能让网站无法申请正常 CA 的证书了吗?
    sneezry
        26
    sneezry  
       2020-01-11 15:06:02 +08:00
    @msg7086 商业上使用 Linux 并不便宜,面向企业用户的 Linux 发行版都有价格不菲的附加服务
    msg7086
        27
    msg7086  
       2020-01-12 01:34:46 +08:00 via Android
    @sneezry 可这改变不了 Linux 是免费提供的这一事实。附加服务再贵,本体也是免费的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2585 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 15:54 · PVG 23:54 · LAX 08:54 · JFK 11:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.