本文记录如何申请 Cloudflare 的 SSL 证书,并安装到宝塔面板。
我有个架在腾讯轻量云服务器上的站 SSL 证书到期了,需要重新申请。我用的宝塔面板的 Let's Encrypt 的证书,只有3个月有效期,到期要自己续。
最近在网上看到赛博菩萨有提供长达 15 年的 SSL 证书,我都以为看错了。但实际操作下来之后发现,有效期15年的是源证书,这东西并不是让你浏览器显示你网站安全的证书,你还需要边缘证书。
申请 Cloudflare 免费 SSL 证书的过程非常简单,而且 Cloudflare 提供的 SSL 证书会 自动续期,因此你不需要手动更新或管理证书。(这点比宝塔香多了)
添加域名到 Cloudflare
申请 Cloudflare SSL 证书的前提就是在 Cloudflare 上解析你的域名。
1. 登录 Cloudflare,点击添加域
。

2. 输入你要添加 SSL 证书的域名。

3. 选择 Free Plan。

4. 如果你不是新域名,接下来会给你展示你当前的 DNS 记录,点击继续进到下一步。如果你是新域名,那么就会看到如下页面。(不知道怎么变成英文了)
提示你接下来需要:
- 登录你的域名注册商。
- 关闭 DNSSEC(如果开启了话,像我在 namecheap 上注册的,默认是不开启)
- 把你域名的 nameserver 改成 cloudflare 提供的,并删掉原来的。这个不赘述了,之前在 namesilo 迁移到 Cloudflare 文章中提到过。
- 等待 nameserver 生效,不然不能创建证书。

配置 SSL/TLS 设置
点击你要申请证书的域名,找到左侧导航栏的 SSL/TLS,选择你的证书为完全(严格)
模式。

强制使用 HTTPS
选择 边缘证书
,找到 始终使用 HTTPS
并且开启。这一步挺重要的,不然哪怕安装了证书也打不开网站。

申请源证书
选择源服务器
,点击创建证书
。使用 Cloudflare 生成私钥和 CSR,类型选择 RAS(2048),即可创建证书。最后复制 pem(证书) 和 key(私钥) 备用。

安装 SSL 证书到宝塔面板
打开宝塔面板,找到对应的域名,点开 SSL,将上面的 PEM 和 KEY 内容粘贴进去,保存即可。

验证效果
安装完后,可以看到证书生效了,显示网站是安全的。

总结
- 注册 Cloudflare 账户并添加你的域名。
- 更新 DNS 记录,将域名解析指向 Cloudflare。
- 在 Cloudflare 的 SSL/TLS 设置 中选择适合的 SSL 模式(推荐 Full SSL (Strict))。
- 启用 HTTPS 重定向(默认开启)
- 强制启用 HTTPS(默认关闭),确保所有访问都通过加密连接。
- 验证你的 SSL 配置,确保 HTTPS 生效。