极客族免费提供支持SSL的CNAME版CloudFlare

CloudFlare这个品牌想必站长们应该对其并不陌生,CloudFlare主营的是抗DDoS CDN业务,其免费套餐堪称业界良心,不过在其官网开通的免费套餐只能通过NS方式接入,管理起来比较麻烦,虽然后期百度云减速和CF合作,可以通过CNAME方式接入,但是在功能方面比CloudFlare官方的免费版差了太多(最重要的一点便是免费版本不支持TLS)

第一次发现可以免费CNAME接入CloudFlare是在DNSimple,但是DNSimple的服务每个月最低5美元,而且DNSimple只支持www子域名接入CloudFlare,而且不支持CF的SSL功能(博主发了Ticket问了客服,得到的答复是不支持其他子域名,后期研究了API,应该是API多个子域名实现起来比较麻烦,他们懒得写)

后来无意中发现CloudFlare有Partner API提供,所以去申请了一个,然后找@wwng小伙伴帮忙用PHP写了控制面板

修修补补一个星期,套了套Bootstrap,终于能见人了,公开出来造福各位站长朋友(其实其他渠道是有不少同类成品,但是我们应该是第一家全功能对接的,也是唯一一个"能用的",DNSimple和官方给的cPanel插件以及WHMCS插件的子域名方面的具体实现都存在问题,不适合使用,而他们SSL方面好像根本没写...)

我们的特色就在于滋磁SSL功能以及自定义子域名,下文会详细讲解

首先打开控制面板:https://su.geekzu.org 会玩的小伙伴已经不用往下看了(2333

有CloudFlare账号的小伙伴可以直接登录,没有的点击下方的注册,会跳到CloudFlare官网的注册

担心安全性的朋友可以新注册一个账号再来(他们API给的注册接口不好用,所以没写注册功能)

(同样,这个面板只是提供回源记录的修改功能,如果需要进行缓存规则等高级设置或者看流量统计要去CloudFlare官网

然后添加域名,输入主域名即可(如example.com)

添加后,点击域名后面的“管理”,进入域名详情页,可以看到提供的几个示例,需要CF提供的免费SSL证书的话,要把给定的两个长段子域名解析到给定的记录去(注:CF后期更新策略,去掉了一条没用的,现在只有一条了)

如图,这时你应将

_ca7297e53fa60194fa290e6b61e3efb3.test123.cn

CNAME到

a6a25da3fa2af2ca7d80c671de710da1.012fe792f8dd00ab009675185a99e299.c8229844846f087dbe94.comodoca.com

快的话15分钟就激活证书了,证书状态可以在官方后台Crypto选项卡看到,Active状态就是激活成功了,如果超过24小时未激活成功,请自查解析是否正确,如果无误请联系CloudFlare Support,找我肯定没辙(摊手

2018年2月25日更新:CloudFlare现在不采用这种验证方式了,只需要域名解析到CloudFlare的服务器便会签发对应的单域名证书而非之前的通配符证书,且不再使用COMODO,转为与DigiCert合作。

然后我们再回来编辑回源规则,如果需要添加其他子域名可以点击“添加”,会新增一行,全部编辑完毕保存即可,建议不要删除SSL相关的那个长段记录

这里需要注意,回源地址不是ip地址,而是一个域名,需要自行解析到源ip/主机名上,且只能回源A记录或者CNAME记录,MX记录无效

比如我的域名为example.com,www.example.com原本是解析到10.1.1.1这个ip

首先在域名权威DNS处添加www-origin.example.com的记录,同原www.example.com的记录一致(在这里就是10.1.1.1)

然后到我们的管理平台修改www子域名对应的回源地址为www-origin.example.com

最后 在域名权威DNS处把www.example.com的记录修改为CNAME到 www.example.com.cdn.cloudflare.net

如果你已经看到这里了,你有必要知道一件事情,CloudFlare比较适合做大陆以外的加速,其海外节点分布很广,效果很好,而CloudFlare对大陆地区访客的体验并不是很好,移动和铁通会被引导到香港节点并且直连,速度尚可,而电信联通等运营商一般会被引导到LAX/SJC(美国西海岸的两个机房),效果不是很好

对于域名有备案的朋友来说,可以选择一家国内CDN提供商,通过CloudXNS的分线解析功能将国内国外客户分别解析到国内CDN和CloudFlare,实现全球加速,需要国内CDN可以看这里,Ucloud为我们带去的新用户提供100元代金券,可以2元拿到300GB的国内CDN流量(Ucloud一般分配网宿或者帝联的节点,但是价格比官方要便宜很多)

若无特殊说明,本站文章均为原创,转载请保留原文链接:极客族 » 极客族免费提供支持SSL的CNAME版CloudFlare

赞 (22)

评论 79

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. qwer121首先在权威DNS处添加www-to.geekzu.test的记录,同原www.geekzu.test的记录一致(一般来说是A记录)这个如何理解呢??小白没理解上去!回复
    • Byewww-to是自定义的,随便一个别人不容易猜到的地址。 www.geekzu.test 通过cname解析到clouflare给的一个地址。然后clouflare要回源,找你的目标站点。所以你要自定义类似www-to的地址,解析能让clouflare知道你目标站点的IP是什么。回复
  2. 白小白请问我怎么没有得到两个长段的会员地址和CNAME地址。。回复
    • 极雪通过用户端API得到的验证记录是HTTP方式而不是之前的CNAME方式,不懂CloudFlare在搞什么鬼,指定Host到CF也没有对应验证文件内容出现,我会尽快完整测试并询问CF方面,目前临时解决办法是使用用户的CloudFlare API去获取验证记录回复
  3. VIP好像只能支持WWW的HTTPS 其他的好像不可以~~~回复
    • 极雪不会啊,支持任意二级域名的,不支持三级域名回复
  4. 狂放为啥我连ssl的记录都没了,改规则了?回复
    • 极雪感谢反馈,我测试了一下,的确没了,通过用户端API得到的验证记录是HTTP方式而不是之前的CNAME方式,不懂CloudFlare在搞什么鬼,指定Host到CF也没有对应验证文件内容出现,我会尽快完整测试并询问CF方面,目前临时解决办法是使用用户的CloudFlare API去获取验证记录回复
      • 狂放我确认的,cf自己成CA了,解析到cf的地址就行了,不过不是通配了emm回复
        • 极雪给个地址看一下回复
        • 极雪好的,我这边测试了一下,的确如此,看起来是CloudFlare和Digicert合作了回复
  5. aaa如果用此方法 DNS不是CF管理了。。 我直接A记录到CF的其中一个IP上是否可行回复
    • 极雪可行,但是不建议这么做回复
      • aaa因为我发现尤其是北京时间21点-23:30的时候 https访问超级慢。超级慢。然后我修改本地hosts把域名绑定另一个CDN的IP,就很快。。 不知道是为啥,可有解决办法? 谢谢。回复
        • 极雪晚间高峰期 国内访问慢是正常的回复
  6. 123登陆不进去了,显示登陆成功后又调回原来的输入账号密码页面回复
    • 极雪感谢反馈,今天升级PHP导致session权限问题,已修复回复
  7. 娃娃登陆不进去了,显示登陆成功后又调回原来的输入账号密码页面回复
    • 极雪感谢反馈,今天升级PHP导致session权限问题,已修复回复
  8. 老黑请问下@记录要不要和www一样设置回源?回复
    • 极雪你要用的话就设置呗,每个都是独立的回复
  9. aaa现在使用极客族的su.geekzu.org添加了域名,cf后台不颁发ssl证书了吗? 还是对数量有没有限制?我上半年绑定的有ssl证书,现在操作和之前一样,cf后台看不到ssl证书了,https也访问不了。谢谢!回复
  10. 凯旋点击登陆后 显示 “信息不全,请重新填写。”回复
    • 极雪说明的确填的不全,或者页面加载不全,尝试刷新浏览器缓存重试。回复
    • 极雪我成功复现了这个问题,这个问题是由CF导致的,POST提交的内容被重新跳转成了GET,导致后端PHP读取不到提交的账号密码,现已临时去掉管理系统外的CF,应该可以正常使用了回复
  11. 1点登录 提示“信息不全,请重新填写。” 可以确认完全填写正确帐号密码的!! 最近登录cloudflare官网经常需要邮箱验证,有可能接口也要? 所以导致登录不了?回复
    • 极雪我成功复现了这个问题,这个问题是由CF导致的,POST提交的内容被重新跳转成了GET,导致后端PHP读取不到提交的账号密码,现已临时去掉管理系统外的CF,应该可以正常使用了回复
  12. cc怎么登录不了了。 点登录提示 信息不全,请重新填写。回复
    • 极雪我成功复现了这个问题,这个问题是由CF导致的,POST提交的内容被重新跳转成了GET,导致后端PHP读取不到提交的账号密码,现已临时去掉管理系统外的CF,应该可以正常使用了回复
      • 2嗯,没问题了,可以用了回复