在启用 SSL / HTTPS 前,还是按照惯例,解释一下 SSL / HTTPS 各是什么吧。其实,不了解也没关系,Young Free 我也搞不太明白,我们只需要知道这是大势所趋,是有利于网站安全的就行了。动手给网站部署上才是关键。?
什么是 SSL
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。—— 百度百科
什么是 HTTPS
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。—— 百度百科
CloudFlare CDN 启用 SSL/TLS
虽然我们一直都叫给网站启用 https ,但是 CloudFlare 这里叫启用 SSL/TLS,我也不明白为什么会这样,但是,好用就行。进入 CloudFlare 域名管理面板,找到 SSL/TLS 按钮,点击进入,如下图。
CloudFlare 提供免费且不限量的网站加速服务,为站长解决了 jpg / JS / CSS 这些静态文件到 CDN 上的问题,并且通过它部署在全球各大洲的缓存结点服务器,提供高效的加速服务,本教程手把手的图文介绍了如何注册 CloudFlare 账号,并添加站点域名到 CF 进行托管。
因为我们第一篇教程里选择启用 HTTPS 服务,这里默认的 SSL/TLS 加密模式为 灵活。建议这里至少选择灵活。
| 选项 | 含义 | Young Free 建议 |
|---|---|---|
| 关闭 | 从 客户浏览器 到 CloudFlare 到 您的服务器 间的流量全部走不加密的 http |
非常不建议 |
| 灵活 | 仅 客户浏览器 到 CloudFlare 服务器间的流量走加密的 https,CloudFlare 回源到 服务器 间的流量依旧走不加密的 http |
如果您不想在您的服务器上部署 SSL 证书,或者您使用的虚拟主机不支持上传自己的 SSL 证书,那么,灵活 选项是最好的选择 |
| 完全 | 客户浏览器 到 CloudFlare 服务器间的流量走加密的 https,CloudFlare 回源到 服务器 间的流量也走加密的 https,但是 不验证服务器 SSL 证书的有效性和真伪 |
此时您需要在您的服务器上部署 SSL 证书,但是该证书可以是服务器自签发的证书,如果不想每年都更新一次证书或者购买证书,选择这个即可 |
| 严格 | 从 客户浏览器 到 CloudFlare 服务器间 到 您自己的服务器 间的流量全部走只能走 https 流量,且必须验证您服务器上证书的有效性和真伪。 |
此时您需要在服务器上部署由认证的 CA 机构签发的 SSL 证书才行。如果您比较注重隐私安全,或者您网站上有支付交易功能,那么这个才是最好的选择。另外,如果您想参与 hstspreload 项目,也必须选择这个。 |
CloudFlare CDN 边缘证书管理
在这里您可以看到 CloudFlare 为您的网站签发 SSL 证书的域名,也可以管理您的网站是否把所有流量都重定向到 HTTPS 上。如果您不明白怎么配置好,那么请按照 Young Free 的截图配置各个选项。
如果您在 最开始 SSL/TLS 加密选项里,选择了 严格,那么您在这里可以启用 HSTS 服务。在您没有一定的服务器维护基础的前提下,不建议启用。
最低 TLS 版本,这里 Young Free 建议选择 TLS 1.1 作为最低版本,虽然 1.0 版本兼容性好,但毕竟 TLS 1.0 太老旧了,问题也多,没必要为了兼容一些古董设备去用不安全的协议。
TLS 1.3 版本 为最新的协议,也是未来的趋势,目前 Chrome / FireFox / Edge / 360 安全浏览器 / 360 极速浏览器 等智慧浏览器都已经支持了 TLS 1.3 协议,所以也是建议启用哦。
自动 HTTPS 重写,启用后,能帮您将网站上所有 未加密的 HTTP 流量重定向到 HTTPS 上。
宝塔面板部署 CloudFlare TLS 证书
如果您不想花钱买域名证书,或者,您不想每年都更新一次服务器上的证书配置,那么您可以选择在服务器上部署 CloudFlare 免费签发的 长达 15年 的 TLS 证书。
经过身份验证的源服务器拉取,这个选项不建议开启,开启这个选项后,会导致您的服务器只认可和 CloudFlare 的链接,并拒绝其它链接。不是大佬的我们不需要这个,弄不好会让我们自己都无法访问服务器。?
CloudFlare 签发 SSL 证书
点击上图中的蓝色 创建证书 按钮,会跳转到 SSL 证书签发页面,这里我们选择兼容性比较好的 RSA(2048) 私钥类型。至于多级域名证书,没必要了,CloudFlare 虽然能给服务器签发多级域名证书,但是免费版的 CF 却不能为我们提供供客户端用的多级域名证书。
点击创建后,我们选择 PEM 格式的证书。
宝塔部署 SSL 证书
我们打开宝塔面板,选中我们要部署 SSL 证书的域名,按下图步骤,找到对应界面,并填入对应的 CF 私钥 和 CF 源证书,再 保存。末了,建议启用 强制 HTTPS 服务。
至此,您的网站就用上了 CloudFlare 提供的免费 SSL 服务了,您的网站就可以完整的使用 HTTPS 进行加密访问了。
