请教下cf的ssl证书边缘证书究竟啥意思

战神赵日天

我一直以为，是我自己以为：用了cf的边缘证书就能相当于网站不要额外申请其他的ssl证书
因为用了这个证书之后，网站ssl都能直接打开，显示证书也有十五年

但是前几天看论坛有朋友说，这个证书只是cf与源服务器的证书，不能作为客户端访问时候的证书
所以我就iu不懂了，直接访问也没见出啥问题啊，都能正常访问，我的站是套了cf的，cdn是开启状态

笑花落半世琉璃

教你怎么用：
点亮云朵，选择灵活，启用https重定向、启用使用https；服务器那边直接建站，对应的站点不需要配置任何ssl证书，即可享用全站https，会自动引用cf下发的边缘证书。

点亮云朵，选择严格，取消https重定向、取消始终使用https；服务器那边建站，对应的站点直接使用那个15年的泛域名证书，或者自己申请ssl证书，同时web服务启用强制https。



这还看不懂那只能自己上手操作

dvbhack

笑花落半世琉璃 发表于 2023-5-25 15:00
教你怎么用：
点亮云朵，选择灵活，启用https重定向、启用使用https；服务器那边直接建站，对应的站点不需 ...

为什么要取消https重定向、取消始终使用https？这两个选项，在点亮云朵的前提下，与回源方式没有任何关系，不管是灵活、完全、完全（严格）都与此无关。

流星

边缘证书就是签发给客户端使用的，是3个月或1年的。。我的是Let's Encrypt证书，cf会自动签发证书，显示3个月有效。
如果不是特别的情况，直接灵活模式轻松建站，源站完全不需要管ssl。

dvbhack

源证书：部署到你的服务器上（也就是最终网站所在服务器）的证书，由cf自己签发，不被浏览器信任，有效期长达15年，用于 CF 的节点与你的服务器之间的 ssl 通讯；

边缘证书：部署到 CF 的边缘节点（用户直接访问的节点）上，用户访问你的域名（开黄色小云朵）时使用的证书，随机由 letsencrypt、zerossl、google public ca 签发，有效期不超过3个月，与你自己用 ACME 工具申请的免费证书一样的。

客户端证书：这个是部署到客户端，与服务器之间进行双向认证通讯时使用的，面向互联网的公开网站不会使用这个，要用的话一般自己做自签名证书就行了。

笑花落半世琉璃

dvbhack 发表于 2023-5-25 15:04
为什么要取消https重定向、取消始终使用https？这两个选项，在点亮云朵的前提下，与回源方式没有任何关系 ...

最后那句不是说了嘛。
我只的记得你如果不取消，web服务那边又强制使用https，那就必然导致重定向无限循环

dvbhack

笑花落半世琉璃 发表于 2023-5-25 15:09
最后那句不是说了嘛。
我只的记得你如果不取消，web服务那边又强制使用https，那就必然导致重定向无限循 ...

除非你选择“灵活”并且 web 服务那边强制使用 https，才会导致无限重定向。

这是由于 CF --> http --> web server 导致的。

而cf的 “https重定向”、“始终使用 https” 都发生在 用户 --> CF  这里，跟回源通讯没有半毛钱关系。如果出现了你说的情况，那么这里不管怎么选，都不能解决无限重定向的问题。如果你 CF 回源的方式与后端匹配，那么这里不管怎么选都不会出现无限重定向。

战神赵日天

笑花落半世琉璃 发表于 2023-5-25 15:00
教你怎么用：
点亮云朵，选择灵活，启用https重定向、启用使用https；服务器那边直接建站，对应的站点不需 ...

所以说，只要我开了cf的cdn就是云朵点开，那我就是可以一直用那个ssl的十五年证书是吧，不需要额外再买证书是吧

战神赵日天

流星 发表于 2023-5-25 14:54
边缘证书就是签发给客户端使用的，是3个月或1年的。。我的是Let's Encrypt证书，cf会自动签发证书，显示3个 ...

哦哦哦，我大概明白了，就是只要我配置了cf的边缘证书，我就不用管了，因为cf会自动给我续签各种3个月的证书是吧

战神赵日天

dvbhack 发表于 2023-5-25 15:03
源证书：部署到你的服务器上（也就是最终网站所在服务器）的证书，由cf自己签发，不被浏览器信任，有效期长 ...

太难理解，我就问一句，是不是只要我配置了这个所谓15年边缘证书，然后开启cf的加速云朵，就再也不用管证书的事情了，是不是这样