SRE文档一、cloudflare 加https、加SSL(加CF处理)实操流程
- 证书介绍
有OFF、Flexible SSL、Full SSL、Full SSL (Strict)四种模式
- OF
如图所示,可以看到代表用户到CF,以及CF到服务器端是没有使用SSL证书的
- Flexible SSL
这个SSL模式一键实现用户到CF的SSL加密模式,我们服务器中的网站可以不安装SSL证书,然后用户打开也可以看到是HTTPS格式。根据CF的建议,This option is not recommended if you have any sensitive information on your website。如果确实没有办法在服务器端给网站安装证书的才使用这个办法。
- Full SSL
这个模式区别在于CF到服务器端是可以使用自签证书的,但是大鸟也不建议使用,一般我们使用下面一种。
- Full SSL (Strict)
这个模式是我们常用的,需要CF到服务器端安装SSL证书而且必须是认证过的证书,不可以自签证书。我们可以用免费的DV SSL或者Let's证书都可以
1.1 http to https
- 当域名购买的平台将解析的dns改为上图中的dns(每个账号对应的cf dns相同,可以先在购买时候,直接填写)后,接下来就是关键步骤
选择“Page Rules”
- 填入形如图的格式;选择“Always Use HTTPS”(如果无,说明域名平台还没生效,等待就好,可以先选online,如图)
- 确认后,点击“ssl”,查看证书授权状态;
- 建议选择“Flexible”模式;
生效后,如图
回到“Page Rules”,再改回online为“Always Use HTTPS”即完成
1.2 Page Rules界面,页面重定向
以iamsea.top这个域名为例
二级域名重定向
二级域名www.iamsea.top重定向到一级域名https://iamsea.top
- 将http访问转为https访问
配置生效可能有时间延迟
1.3 Cloudflare SSL功能选项
Cloudflare SSL设置选项的时候一般功能还是很多的。我们可以根据实际的需要选择都开启,反正开启之后也没有不良反应就可以。
1、Automatic HTTPS Rewrites
自动HTTPS重写可帮助修复可通过HTTPS提供服务的网站上所有资源或链接的“http”为“https”,从而修复混合内容。
2、Opportunistic Encryption
折个中开启之后,浏览器可以从HTTP / 2和SPDY的改进性能中受益,让他们知道您的网站是通过加密连接提供的。 浏览器将继续在地址栏中显示“http”,而不是“https”。
3、Require Modern TLS
只能使用TLS协议的现代版本1.2和1.3(如果启用)。 这些版本使用更安全的密码,但可能会限制旧版本浏览器访问您网站的流量。
4、Authenticated Origin Pulls
TLS客户端证书提供原始的认证。
5、Always use HTTPS
强制所有的链接都采用HTTPS跳转模式,可以起到强制不用HTTP的地址目的
- 四种证书优缺点
Flexible SSL:您的网站访问者和Cloudflare之间有加密连接,但是从Cloudflare到您的服务器没有加密。即半程加密。优点在于:你的网站不需要SSL证书,用户也能实现SSL加密访问。
Full SSL:全程加密,即从你的网站到CDN服务器再到用户,全程都是SSL加密的。优点在于:只要你的服务器有SSL证书(不管是自签名证书还是购买的SSL),就可以实现SSL加密访问。
Full SSL (strict):全程加密,它与Full SSL的区别在于你的服务器必须是安装了那些已经受信任的SSL证书(即购买的SSL证书),否则无法开启SSL加密访问。
Strict (SSL-Only Origin Pull):企业模式。自动将所有的Http转化为Https加密访问,要求你的服务器安装了受信任的有效的SSL证书Flexible SSL:您的网站访问者和Cloudflare之间有加密连接,但是从Cloudflare到您的服务器没有加密。即半程加密。优点在于:你的网站不需要SSL证书,用户也能实现SSL加密访问。
Full SSL:全程加密,即从你的网站到CDN服务器再到用户,全程都是SSL加密的。优点在于:只要你的服务器有SSL证书(不管是自签名证书还是购买的SSL),就可以实现SSL加密访问。
Full SSL (strict):全程加密,它与Full SSL的区别在于你的服务器必须是安装了那些已经受信任的SSL证书(即购买的SSL证书),否则无法开启SSL加密访问。
Strict (SSL-Only Origin Pull):企业模式。自动将所有的Http转化为Https加密访问,要求你的服务器安装了受信任的有效的SSL证书1.4Speed选项
Auto Minify里选择Gzip压缩CSS, JS和HTML三个选项,减少网页传输流量大小。
Rocket Loader™,进一步合并优化JS代码异步加载,我选择off,因为本人博客是双栏的,在国内的网络环境,如果选用了本功能,总是先显示左边栏再显示右边栏,给别人的感觉显示很慢。
这个功能因人而异,需要自己测试,如果对网页加载有影响的话就不要启用Auto Minify里选择Gzip压缩CSS, JS和HTML三个选项,减少网页传输流量大小。
Rocket Loader™,进一步合并优化JS代码异步加载,我选择off,因为本人博客是双栏的,在国内的网络环境,如果选用了本功能,总是先显示左边栏再显示右边栏,给别人的感觉显示很慢。
这个功能因人而异,需要自己测试,如果对网页加载有影响的话就不要启用
1.5Caching选项
1.6ScrapeShield选项
- Email Address Obfuscation启用,保护网页上出现的邮箱名不被机器人扫描
