Cloudflare 申请证书以及证书文件【crt+key】格式的导出

        在cloudflare使用的过程中，为了保证通信安全，最好可以开启“完全（严格）”模式。该模式下，将实现端到端加密，但服务器上需要有受信任的 CA 证书或 Cloudflare Origin CA 证书。

故开启后，需要为服务器配置SSL证书，网页中只提供了pem格式的证书。而在实际使用中，部分服务端软件需要提供crt+key组合形式的证书文件。在本文中，将对这两种证书文件的生成方法进行说明。

生成证书方法

1.     进入cloudflare控制台后，选择打开自己的域名，然后单击『SSL/TLS』—— 『源服务器』——『创建证书』。

2.     选择由“Cloudflare 生成私钥和 CSR”或者使用“Cloudflare 生成私钥和 CSR”、受保护的主机名以及证书有效期。完成后点击“下一步”。

3.     此时会显示生成的证书内容。该窗口中会显示以下两部分内容

（1）源证书

将下面的私钥和证书保存到您的 Web 服务器。

要保存，请复制下面的框中的内容，然后将其粘贴到 Web 服务器上的其他文件中，例如，example.com.pem 和 example.com.key。保存后，从下拉列表中选择 Web 服务器，然后单击“显示说明”按钮以查看安装指南。

以下证书已由 Cloudflare 颁发，可以在源服务器上与您在上一步中提供的主机名一起使用。如果您需要原始请求中未包含的其他主机名，应重新生成证书。

—–BEGIN CERTIFICATE—–

（源证书内容）

—–END CERTIFICATE—–

（2）私钥

将下面的私钥内容复制到 Web 服务器并设置文件权限，限制只有您的 http 服务器可以访问此文件。此外，您还可以选择加密此文件，并提供用于在源 Web 服务器启动期间进行解密的密码。私钥数据不会存储在 Cloudflare 上，创建完成后，将无法再访问。请确保创建此密钥的本地副本。

请像保护您的重要密码一样保护此私钥，因为任何有权访问此私钥的用户可能都可以解密您的 HTTPS 流量。如果此密钥已泄漏，您应从“源证书”表中吊销证书，然后使用新密钥重新生成证书。

—–BEGIN PRIVATE KEY—–

（私钥内容）

—–END PRIVATE KEY—–

我们将这两部分内容分别复制粘贴到本机电脑上的txt文件中。接着，我们将源证书的后缀名修改为”.crt”，私钥的后缀名修改为”.key”，随后上传到服务器中即可。

总结

生成秘钥的界面中，私钥仅会显示一次，需要马上保存到电脑中，否则私钥将会丢失。丢失后只能删除证书，然后重复上述操作，重新添加新证书。而源证书可以在控制台中重复预览和保存。

一般而言，服务端软件会自动识别证书内容，因此不需要使用转换工具对证书文件进行格式转换，仅进行文件重命名即可。

私钥文件意义重大，一定要注意保存。

相關 普通日志