使用 SaaS 方式接入 Cloudflare

1、优势

参考:

CDN 调教指南(二)充分利用 Cloudflare
https://blog.tsinbei.com/tw/archives/1313/

2、接入

假设:

源站 IP:8.8.8.8
解析到源站 IP 的域名(即“回退域”):cname.xxx.xxx
CNAME 接入的域名:yyy.yyy.yyy

提示:
这里的xxx.xxx要先使用 NS 方式完全接入 Cloudflare,然后才能作为yyy.yyy的 SaaS “挂靠”域名。可以使用 Freenom 免费的域名,或者pp.ua的免费域名。

登录 Cloudflare 控制台,转到 DNS - 记录 页面,解析一条cname.xxx.xxx的记录,指向源站 IP,勾选“代理”:

回退域解析

转到 SSL/TLS - 自定义主机名 页面,如果从来没有启用过,需要先激活:

激活自定义主机名

这里以选择付款方式 PayPal 为例:

选择付款方式

授权,填写必要信息:

填写信息

完成激活,设置“回退域”为cname.xxx.xxx

添加回退源

待回退域状态变成“有效”,添加自定义主机名:

添加自定义主机名

如果想在 SSL Labs 中获得 A/A+,那么最低 TLS 版本可以选择 TLS 1.2;我则选择 TLS 1.1。验证方式使用 TXT 验证。

验证信息

按照验证信息解析,不必理会自定义域名没有 CNAME 到回退域的警告,过几分钟之后点击“刷新”即可发现状态变为“有效”。

如果出现:

The hostname is using Cloudflare and cannot be activated with an TXT or HTTP validation token. To activate the custom hostname, the DNS target needs to point to the SaaS zone.

可参考本站文章:

解决 Cloudflare 无法使用 TXT 验证自定义主机名
https://blog.tsinbei.com/tw/archives/1267/

另外,只要保持 CA 对应的地区(例如使用 DNSPod 的“境外”线路)解析到了 Cloudflare,证书快到期时会自动使用 HTTP 验证。

注意:
如果在 Cloudflare 的 重定向规则 添加了重定向规则,则无法自动 HTTP 验证(会导致验证时访问到重定向后的内容)。
所以,使用了 SaaS 接入的域名,建议在源站上自行设置重定向,而不是使用 Cloudflare 的 重定向规则 重定向。

到此接入完成,Enjoy it!

使用 SaaS 方式接入 Cloudflare

https://blog.tsinbei.com/tw/archives/1315/

文章作者
Hsukqi Lee
发布于

2023-06-24

修改于

2023-11-19

许可协议

CC BY-NC-ND 4.0

评论

昵称
邮箱
网址
3 条

ddd322

ddd322

原来如此,前面弄了半天也没搞定,搜到个stackoverflow的帖子也看不懂

  回复

网络小白

网络小白

这个yyy.yyy.yyy.yyy域名可以随便写吗?哪怕是不存在的域名?

  回复

Hsukqi Lee

Hsukqi Lee 作者

不行,只是示例,要存在的

  回复