XuLaLa.Tech

本文记录如何申请 Cloudflare 的 SSL 证书，并安装到宝塔面板。

我有个架在腾讯轻量云服务器上的站 SSL 证书到期了，需要重新申请。我用的宝塔面板的 Let's Encrypt 的证书，只有3个月有效期，到期要自己续。

最近在网上看到赛博菩萨有提供长达 15 年的 SSL 证书，我都以为看错了。但实际操作下来之后发现，有效期15年的是源证书，这东西并不是让你浏览器显示你网站安全的证书，你还需要边缘证书。

申请 Cloudflare 免费 SSL 证书的过程非常简单，而且 Cloudflare 提供的 SSL 证书会 自动续期，因此你不需要手动更新或管理证书。（这点比宝塔香多了）

目录

1. 添加域名到 Cloudflare
2. 配置 SSL/TLS 设置
3. 强制使用 HTTPS
4. 申请源证书
5. 安装 SSL 证书到宝塔面板
6. 验证效果
7. 总结

添加域名到 Cloudflare

申请 Cloudflare SSL 证书的前提就是在 Cloudflare 上解析你的域名。

1. 登录 Cloudflare，点击添加域。

2. 输入你要添加 SSL 证书的域名。

3. 选择 Free Plan。

4. 如果你不是新域名，接下来会给你展示你当前的 DNS 记录，点击继续进到下一步。如果你是新域名，那么就会看到如下页面。（不知道怎么变成英文了）

提示你接下来需要：

• 登录你的域名注册商。
• 关闭 DNSSEC（如果开启了话，像我在 namecheap 上注册的，默认是不开启）
• 把你域名的 nameserver 改成 cloudflare 提供的，并删掉原来的。这个不赘述了，之前在 namesilo 迁移到 Cloudflare 文章中提到过。
• 等待 nameserver 生效，不然不能创建证书。

配置 SSL/TLS 设置

点击你要申请证书的域名，找到左侧导航栏的 SSL/TLS，选择你的证书为完全（严格）模式。

强制使用 HTTPS

选择 边缘证书，找到 始终使用 HTTPS 并且开启。这一步挺重要的，不然哪怕安装了证书也打不开网站。

申请源证书

选择源服务器，点击创建证书。使用 Cloudflare 生成私钥和 CSR，类型选择 RAS（2048），即可创建证书。最后复制 pem（证书） 和 key（私钥） 备用。

安装 SSL 证书到宝塔面板

打开宝塔面板，找到对应的域名，点开 SSL，将上面的 PEM 和 KEY 内容粘贴进去，保存即可。

验证效果

安装完后，可以看到证书生效了，显示网站是安全的。

总结

• 注册 Cloudflare 账户并添加你的域名。
• 更新 DNS 记录，将域名解析指向 Cloudflare。
• 在 Cloudflare 的 SSL/TLS 设置 中选择适合的 SSL 模式（推荐 Full SSL (Strict)）。
• 启用 HTTPS 重定向（默认开启）
• 强制启用 HTTPS（默认关闭），确保所有访问都通过加密连接。
• 验证你的 SSL 配置，确保 HTTPS 生效。