CloudFlare 源证书 (Origin Certificates)
源证书的功能:
- 加密 CloudFlare 边缘服务器与您的源服务器之间的通信
- 由 CloudFlare 签发,有效期最长可达 15 年
- 免费提供给所有 CloudFlare 用户
工作原理:
访问者 ↔ CloudFlare 边缘 ↔ 您的服务器
(公共证书) (源证书)
使用场景:
- 当您使用 CloudFlare 作为反向代理(开启小黄云)时
- 希望端到端加密流量但不想购买传统 SSL 证书
- 适用于所有通过 CloudFlare 代理的网站
客户端证书 (Client Certificates)
客户端证书的功能:
- 实现双向 TLS 认证(mTLS)
- 要求客户端提供证书以验证其身份
- 通常与 CloudFlare Access 一起使用
工作原理:
客户端/用户 ⟷ 您的应用程序/服务
(持有证书) (验证客户端证书)
使用场景:
- 需要高级访问控制的企业应用
- 零信任安全架构的一部分
- API 访问控制
- 替代或增强传统的用户名/密码认证
两者的主要区别
| 特性 | 源证书 | 客户端证书 |
|---|---|---|
| 用途 | 服务器到服务器加密 | 客户端身份验证 |
| 持有者 | 您的服务器 | 您的用户/客户端 |
| 认证方向 | 单向 (服务器认证) | 双向 (相互认证) |
| 安全模型 | 传输安全 | 访问控制 |
Cloudflare边缘证书 (Edge Certificates)
Cloudflare边缘证书的功能:
- 保护访问者的浏览器与 CloudFlare 边缘服务器之间的连接
- 由公共受信任的 CA 签发,在所有浏览器中都被信任
- 自动由 CloudFlare 管理,包括申请与续期
工作原理:
访问者 ↔ CloudFlare 边缘 ↔ 您的服务器
(边缘证书) (源证书)
- 当启用 CloudFlare 代理(开启小黄云)时自动部署
- 为您的网站访问者提供可信的 HTTPS 连接
- 所有 CloudFlare 用户(包括免费计划)都可使用
完整的 CloudFlare SSL 证书生态系统
| 证书类型 | 保护路径 | 签发者 | 自动管理? | 需要配置? |
|---|---|---|---|---|
| 边缘证书 | 访问者 → CloudFlare | 公共 CA | ✓ 是 | ✗ 否 |
| 源证书 | CloudFlare → 您的服务器 | CloudFlare CA | ✗ 否 | ✓ 是 |
| 客户端证书 | 客户端身份验证 | CloudFlare CA | ✗ 否 | ✓ 是 |
三种证书如何协同工作
当使用 CloudFlare 完整的安全架构时,这三种证书可以协同工作:
- 边缘证书:确保普通访问者到 CloudFlare 的连接安全
- 源证书:保护 CloudFlare 到您源服务器的后端连接
- 客户端证书:添加额外的访问控制层,实现零信任安全
实际应用示例
小明 建立了一个企业内部系统,需要:
- 向所有用户提供可信的 HTTPS(使用边缘证书)
- 保护从 CloudFlare 到服务器的数据传输(使用源证书)
- 限制只有特定设备能访问管理面板(使用客户端证书)
这种多层次的证书应用为系统提供了深度防御能力,即使一层被突破,其他安全层仍然有效。
边缘证书的自动管理
自动申请:CloudFlare 为您的域名自动申请和部署边缘证书- 自动续期:CloudFlare 在证书到期前会自动续期
- 自动更新:如有安全问题,CloudFlare 会自动更新证书
对于边缘证书:
- 无需任何配置
- 无需手动更新
- 无需购买单独的 SSL 证书
只要您的域名已正确添加到 CloudFlare 并且开启了代理(小黄云),边缘证书就会自动生效。您可以在 CloudFlare 仪表板的 SSL/TLS 部分查看证书状态,但不需要进行任何配置。
这也是 CloudFlare 服务的主要优势之一:简化了 HTTPS 的部署和管理。