Cloudflare 解析域名及长期 SSL 证书等安全配置

tao

发布于2025-12-25 | 更新于2025-12-25

解析域名如果你是新用户，进入 Cloudflare 首页就是配置域名解析的相关指引，直接输入自己要解析的域名然后设置一些选项点击 Continue 就可以，接下来会显示一个页面上面会提供 Cloudflare 的 NS 地址，如果你的域名是在阿里云购买的，那么你就需要登录到阿里云的控制台把域名原有 NS 记录改成 Cloudflare 提供的两条 NS 地址，等待 Cloudflare 验证。
验证成功后就可以去配置 DNS 记录将域名解析到你的服务器，如果要解析到国内服务器那么域名是必须要备案的，阿里云支持备案用了多长时间就送多长时间的服务器有效期延长。


type
name
content


A
example.com
1.1.1.1

CNAME
www
example.com

以上就是最基础的 DNS 记录配置，其中 A 记录（Address Record，地址记录）将根域名映射到服务器的 IPv4 地址，CNAME 记录（Canonical Name Record，别名记录）将子域名映射到根域名。
使用 Cloudflare 解析域名可以免费拥有：
隐藏源站 IP，避免直接攻击源站；
DDoS 防护，内置无限流量 DDoS 保护；
免费通用长期的 SSL/TLS 证书，确保网站安全，避免浏览器安全警告；
DNSSEC 防伪造；
限制特定 IP 地址可发出的请求数量；
Web 应用防火墙（WAF）；
抵御易检测恶意爬虫；
全球 CDN。
以上部分功能如果在阿里云需要 19.9 元/年。
SSL 证书Cloudflare 提供四种加密模式：


加密模式
简介


Off
用户访问你的网站为非 HTTPS 导致浏览器会显示安全警告

Flexible
在用户和 Cloudflare 之间是加密的可以避免浏览器显示安全警告，但是 Cloudflare 和你的服务器之间完全使用 HTTP

Full
你的服务器可以使用非公开可信的证书比如自签名的证书

Full(Strict)
对服务器证书进行认证，可以使用 Cloudflare 生成的证书

使用 Cloudflare 生成证书可在控制台点击 SSL/TLS → Origin Server → Create Certificate，在接下来的页面配置一些选项即可生成最长 15 年有效期的证书，下载配置到服务器即可，如果服务器需要根证书或者中间链证书可以去 Cloudflare Origin CA root certificate 下载。
DNSSEC在控制台点击 Domain → DNS → Settings → Enable DNSSEC，在弹出的窗口中有 DS Record 等一些信息，打开域名注册商的 DNS 设置页面点击添加 DNS 记录将信息复制进去，下拉选项中如果没有 Algorithm 13 可选 ECDSA Curve P- 256 with SHA - 256，点击确认提交，查看 Cloudflare 控制台显示 Success! 即为生效。
限制规则在 Cloudflare 控制台，选择目标域名，进入 Security > Security rules 添加规则。

加密模式	简介
Off	用户访问你的网站为非 HTTPS 导致浏览器会显示安全警告
Flexible	在用户和 Cloudflare 之间是加密的可以避免浏览器显示安全警告，但是 Cloudflare 和你的服务器之间完全使用 HTTP
Full	你的服务器可以使用非公开可信的证书比如自签名的证书
Full(Strict)	对服务器证书进行认证，可以使用 Cloudflare 生成的证书