我想知道是否可以混合搭配来自 cloudflare 的免费 SSL 证书并为子域名加密。
例如
- a.example.com 和 b.example.com 使用 cloudflare 的免费 ssl(我知道 cf 免费 ssl 证书存在中间人问题,但没关系)
- www.example.com 和 c.example.com 使用 let's encrypt
答案1
我认为是的。您可以尝试以下方法:
使用 CloudFlare 注册您的域名,并将您的名称服务器指向 CloudFlare。
按照在 CloudFlare 中通常的方式设置您的 DNS,并使用您的域和子域的 A 记录。
对于您希望 CloudFlare 为其提供 SSL 的域,请确保 DNS 屏幕上的“橙色框”已打开。这意味着 CloudFlare 将终止流量。
您想要使用 Let's Encrypt 的域名在 DNS 屏幕上保留为“灰色框”。CloudFlare 充当一个简单的 DNS 服务器,与浏览器和服务器之间的连接无关,您可以对 SSL 做任何您想做的事情。
你可能想考虑 CloudFlare完整的 SSL。通过该设置,CloudFlare 终止您的流量,然后使用您服务器上的 SSL 证书重新加密以发送到您的服务器。这样就可以从浏览器到您的 Web 服务器进行加密。您可以为此使用 Web 服务器上的任何证书,Let's Encrypt 或自签名。要使用完整(严格)模式,必须是有效的公共证书,这可以让您更加确信 CloudFlare 正在连接到您的服务器。
所有这些都可以在免费的 CloudFlare 帐户上使用。
方法
您已经更新了您的问题,对“为什么”做了更多的解释:您想对高容量站点使用昂贵的证书。
在我看来,CloudFlare 或 Let's Encrypt 的免费证书适用于许多网站。我建议考虑EV 证书如果您处理的是财务信息,或者您需要人们确保这是您的网站,否则我的观点(了解一些安全知识但不是专家)是其他证书大致相同。大多数浏览器都信任 LE / CF。
您仍需小心保护您的系统和资源,因为 SSL 并非万能。使用 CF 时,您还必须特别小心从 CF 加密到您的服务器。然后,如果服务器很重要,您需要强化您的服务器、修补您的软件、测试漏洞等。