Concept · AI
Cloudflare SSL
AI 2026-05-09 · 2 min read · 0 backlinks
Cloudflare SSL
三种加密模式
| 模式 | CF→客户端 | CF→VPS | VPS需要 |
|---|---|---|---|
| Flexible | CF免费证书(自动) | HTTP明文 | 啥都不用 |
| Full | CF免费证书(自动) | HTTPS | 任意证书 |
| Full Strict | CF免费证书(自动) | HTTPS | 有效证书 |
两段 TLS
橙色云(Proxied)模式下,TLS 分两段,各需一张证书:
CF 在中间解密再加密,能看到明文内容。
证书选择
| 证书 | 提供方 | 有效期 | 公开可信 | 适用场景 |
|---|---|---|---|---|
| CF 边缘证书 | CF自动 | 自动续 | ✅ | 客户端→CF 这段,不用管 |
| CF Origin Certificate | CF Dashboard 生成 | 最长15年 | ❌(只有CF信任) | 永远走橙色云的源站 |
| Let's Encrypt | 自行申请 | 90天续签 | ✅ | 需要直连也可信的源站 |
Origin Cert 优点:15年免续签。缺点:关掉橙色云直连浏览器报不可信。
生效范围
- SSL 模式只对橙色云记录生效,灰色云(DNS Only)不经过 CF,无影响
- Page Rules 优先级高于全局设置:可针对单个域名设不同 SSL 模式(如全局 Full,某条域名 Flexible)
套 CF 与代理服务的冲突
VPS 的 443 被 Xray stream 占用时,CF Full 模式回源 443 会被 Xray 处理→返回 400。
解决:
- Page Rule 设 Flexible(回源走 80 不碰 443)
- 或 nginx SNI 分流加规则把特定域名分到 http 而非 Xray
实践
monitor.seesaw.icu(哪吒面板):
- CF 橙色云 + Page Rule Flexible
- CF 回源 → tc-sv:80(nginx)→ 8008(哪吒)
- VPS 不需要证书
代理域名(sub.seesaw.icu 等):
- 灰色云,客户端直连 VPS
- VPS 上 Let's Encrypt 证书
- CF 不参与加密