首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OPPO Watch
programV2
V2EX  ›  程序员

免费 Letsencrypt SSL 证书和 cloudflare CDN 完美方案?

  •  
  •   programV2 · 142 天前 · 3791 次点击
    这是一个创建于 142 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景: 面向海外的小公司网站, 只是用于简单产品浏览

    请问: 1: 使用了 cloudflare CDN 的 Flexible ssl, 虽然 cloudflare 到我们的 server 的流量没有加密, 但是访客到 cloudflare CDN 是加密的, 请问主流浏览器 chrome safari edge 打开我们的网站都会显示安全连接吗?

    2 有没有免费的 letsencrypt 证书自动更新脚本? V 友有没有稳定的脚本推荐?

    谢谢各位

    第 1 条附言  ·  141 天前
    忘了补充了 , 服务器是放在海外, 永远不考虑将服务器放国内.
    第 2 条附言  ·  141 天前
    忘了补充了 , 服务器是放在海外, 永远不会将服务器放国内. 这种前提下 还要考虑 cloudflare 到我们的服务器的流量没有加密可能被插广告的问题吗>??
    27 条回复    2020-01-12 01:34:46 +08:00
    MidLinn
        1
    MidLinn   142 天前
    1.会。2.acme.sh
    我推荐你服务器上直接装上 cf 的 15 年证书,还不用更新。只是只能用在 cf 上,对用户是没有影响的。
    zhxhwyzh14
        2
    zhxhwyzh14   142 天前
    第二个,acme.sh
    no1xsyzy
        3
    no1xsyzy   142 天前
    注意一下
    > cloudflare 到我们的 server 的流量没有加密
    这个地方还是可能被插广告,有前车之鉴 /t/477565,站长给建议是仅 HTTPS 回源。
    oudemen
        4
    oudemen   141 天前
    tcifer
        5
    tcifer   141 天前
    1、不显示,需要配置 SSL 才显示
    2、楼上说的脚本加上 crontab 定时就可以自动更新证书了
    SakuraKuma
        6
    SakuraKuma   141 天前
    可以去 cf 里面申请个证书给 cf 认一下就好。
    programV2
        7
    programV2   141 天前
    @no1xsyzy 谢谢回复, 忘了补充了 , 服务器是放在海外, 永远不会将服务器放国内. 这种前提下 还要考虑 cloudflare 到我们的服务器的流量没有加密可能被插广告的问题吗??
    encro
        8
    encro   141 天前
    letsencrypt 有各大域名厂商插件就可以自动了。
    encro
        9
    encro   141 天前
    https://c4ys.com/archives/1845 使用的阿里云域名+letsencrypt 插件。

    另外 PHP 小站直接用宝塔 BT,amh 之类,可以也可以自动续期。
    lc7029
        10
    lc7029   141 天前
    自己签个 99 年证书给自己的服务器到 Cloudflare 用,cloudflare 有自己的 sni 证书。
    sneezry
        11
    sneezry   141 天前 via iPhone
    公司尽量别用免费的东西,会降低客户对你们的信任度,认为你们公司财力有限。
    geekvcn
        12
    geekvcn   141 天前
    @sneezry 然而懂这些的客户没几个
    xmumiffy
        13
    xmumiffy   141 天前 via Android
    cf 访问你的服务器可以用 cf 给的证书,记得是 15 年泛域名,但是不被普通浏览器信任,只能用来回源
    imkerberos
        14
    imkerberos   141 天前
    上 caddy.
    no1xsyzy
        15
    no1xsyzy   141 天前
    @programV2 这点不确定,毕竟出现过欧洲到欧洲从中国绕一圈的意外了( BGP 泄漏)
    况且只是回个源用 HTTPS 压力并不大吧
    msg7086
        16
    msg7086   141 天前 via Android
    @sneezry 看来 Linux 也不能用了。
    MonoLogueChi
        17
    MonoLogueChi   141 天前 via Android
    @programV2 服务器在海外就不会有人攻击了吗,服务器在海外就不会被劫持了吗,服务器在海外就不会被插广告了吗
    iammecn
        18
    iammecn   141 天前
    没有问题的。
    ruimz
        19
    ruimz   141 天前 via Android
    楼主这个需求可以考虑一下用 cf 的源站证书,cf 服务器是信任他们自己的这个自签证书的。之后开启 full strict 模式,可以保证服务器到 cf 这一段没有问题
    Buges
        20
    Buges   141 天前 via Android
    Caddy
    programV2
        21
    programV2   141 天前 via iPhone
    @ruimz
    @no1xsyzy
    @xmumiffy
    @MidLinn
    @SakuraKuma
    @SakuraKuma 谢谢大家回复! 请问一个域名能同时向两个不同 CA 申请单域名证书吗? 如果签了 15 年的 CF 证书,但在两年后想要换个其他 CA 的 SSL 证书 ,这时候可以直接购买吗?还是要等到 15 年到期后才能买?
    xmumiffy
        22
    xmumiffy   141 天前 via Android
    @programV2 是可以的
    jinliming2
        23
    jinliming2   141 天前 via iPhone
    我记得 CF 有直接提供类似于 LE 的三月续签的免费证书的啊?
    我记错了吗?
    zninjia
        24
    zninjia   141 天前
    必须吹爆 Caddy,实在是太方便了,Caddy 配置下域名服务商的 API 的 token,启动服务即自动签名
    no1xsyzy
        25
    no1xsyzy   141 天前
    @programV2 申请随便申请,各自分别验证通过就行,难道恶意 CA 胡乱签发就能让网站无法申请正常 CA 的证书了吗?
    sneezry
        26
    sneezry   140 天前
    @msg7086 商业上使用 Linux 并不便宜,面向企业用户的 Linux 发行版都有价格不菲的附加服务
    msg7086
        27
    msg7086   140 天前 via Android
    @sneezry 可这改变不了 Linux 是免费提供的这一事实。附加服务再贵,本体也是免费的。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2756 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:10 · PVG 14:10 · LAX 23:10 · JFK 02:10
    ♥ Do have faith in what you're doing.