当我们在2014年9月推出Universal SSL时，我们取消了使用SSL保护网站或应用程序的昂贵且令人困惑的过程，取而代之的是一个免费步骤：注册Cloudflare。由JD Hancock提供的CC BY 2.0图像当您完成注册过程时，我们会将您的域与其他几十个最近注册的域一起批处理，并向我们的证书颁发机构（CA）合作伙伴发出请求。然后CA向我们发回一个覆盖根的共享证书（例如。示例.com)和顶级通配符（例如*）。示例.com)以及请求中其他客户的主机名。然后，我们将此共享证书与加密的私钥打包并分发到我们在世界各地的数据中心，确保您的访问者的HTTPS会话无论来自何处都是快速的。自从这个过程被创建以来，我们已经用它来用免费的通用SSL证书保护数百万个域，并帮助使因特网成为一个更快、更安全的地方。更多的控制和个性化但在这一过程中，我们听到了一些客户希望对其域使用的证书进行更多控制的消息。他们希望控制何时发出，是否有其他客户（或Cloudflare）的主机名出现在它们上面，它们保护的子域的宽度，以及它们支持哪些SSL/TLS版本和加密选项。简而言之，客户需要一个为他们的域提供非共享的、可定制的证书的服务。由JD Hancock提供的CC BY 2.0图像也许我们听到的最常见的请求是"我喜欢你的通用SSL产品，但是我如何才能在我的网站上使用它，使证书显示我的域名而不是cloudflaressl.com？如何防止证书与其他客户共享（所有这些都没有升级我的计划）。紧随其后的是"*为什么我必须在我的超长名称.example.com网站或者让我的用户冒浏览器错误的风险？您的通用SSL证书只覆盖一个级别的通配符，但我也希望我的主机位于。staging.example.com网站受到保护。"最后，随着我们推出了激动人心的加密功能，如TLS 1.3、自动HTTPS重写、机会主义加密，我们听说您希望对启用这些新功能的证书和子域进行精确控制。专用SSL今天，我们很高兴地宣布两个新产品来满足所有这些需求，以及更多的新产品：专用SSL证书和带有自定义主机名的专用SSL证书。这些新的证书产品是按需发行的，带有专门为您的域生成的新私钥，并在显著位置标记您的域名。拥有域的客户专用证书.xyz会共享一个名为ssl329744的证书。cloudflaressl.com网站在通用SSL下，但是自己的证书带有专用的SSL证书。Google Chrome中呈现的专用证书在googlechrome中呈现的通用SSL证书专用证书结合了通用SSL证书自动更新和快速撤销/重新颁发的优点，解决了新出现的加密漏洞，而不必上传（和管理更新）其他地方购买的证书。它们也是我们计划的第一步，为您的HTTPS设置提供真正的子域级定制，无论是需要现代TLS还是有选择地启用新的和即将推出的功能，如自动HTTPS重写或使用单独密钥从中国境内的HTTPS。与您自己获取和上传的自定义证书不同，专用证书将您从安全生成和存储私钥、制作证书签名请求（CSR）、请求、下载和构建证书链的复杂性和单调性中解放出来；以及定期更新和重新安装服务器上的证书。为什么冒着让证书过期并向用户显示错误的风险，或者在下一个心血弹出时没有足够快地重新颁发密钥对呢？听起来很棒。我怎么点一个？这个过程非常简单和迅速。只需登录到Cloudflare仪表板，单击Crypto选项卡，然后单击"订购SSL证书"按钮。系统将询问您是否需要添加自定义主机名，让您有机会输入它们，然后确认您的帐单信息。专用证书的费用为每月5美元，带有自定义主机名的专用证书的费用为每月10美元。一旦您点击"下一步"，我们将向我们的一个证书颁发机构验证您的域名，向您的帐户收取本月剩余时间的费用，然后订购证书并将其分发到我们的边缘。整个过程只需一两分钟即可订购并将您的证书发送到我们所有100个数据中心，在那里它将准备就绪并等待加速和保护您的访问者的HTTPS会话。专用证书的用例将证书与其他Cloudflare客户区域隔离虽然共享证书不存在固有的安全风险，但我们从许多客户那里听说，他们不希望自己的主机名与其他客户的主机名一起列出（这些客户可能来自其他完全不相关的行业）。通过订购专用证书，您可以确保只有您的主机名出现在您的证书上。机构和SaaS提供商的隔离证书类似地，专用证书允许代理机构、SaaS提供商和其他企业将其客户隔离到不同的证书上，这对于那些在同一行业中为竞争对手服务的公司是必须的。如果您当前在区域的子域上为customer1和customer2提供服务，示例.com，您可以为每个客户颁发一个单独的证书，以保证任何一个客户的域名都不会出现在另一个客户的证书上。品牌HTTPS体验通用SSL证书是使用一个公共名称颁发的，该名称是"SSL"、一个六位数字序列号和"的串联。cloudflaressl.com网站". 例如，ssl123456。cloudflaressl.com网站. 有了专用证书，您就可以在这个字段中使用您的域名，并确保没有其他域（无论是无关的站点还是您的或其他人的）都不会显示给您的访问者。保护多级子域直到今天，如果您在DNS中为主机（如网站以及，您需要一个业务或企业计划，以避免向用户显示SSL错误（根据其他安全设置，这可能是不可忽略的）。使用带有自定义主机名的专用证书，您现在可以订购保护*的证书。staging.example.com网站, *.uat.example.com网站-最多可容纳50个主机名或通配符。补发频率控制专用证书使您可以控制重新生成其私钥和重新颁发证书的频率。要我们马上重新签发你的证书吗？每周一次？只需从Edge Certificates表中删除它，然后通过我们的UI或API请求另一个证书。除非您明确取消每月的订阅，否则不会收取更换费用。中国SSL专用私钥（即将推出）希望在中国境内提供SSL服务的企业客户可能会担心在中国使用的私钥与在世界其他地区保护其HTTPS流量的私钥相同。我们期待着让您控制指定一个在中国专用的SSL证书。如果我点错了怎么办？没问题。只需从仪表板中"加密"选项卡上的边缘证书卡中删除证书，然后重新订购。除非从"订阅"页显式取消订阅，否则不会再次提示您付款。专用证书可以用于所有计划吗？是的，所有Cloudflare计划都可以订购专用证书。如果您是免费、专业或商务客户，只需按照上面的说明下订单。如果您是企业客户或要为多用户组织订购证书，请与您的客户成功工程师联系，请求为您的帐户提供所需数量的证书。请注意，在所有情况下，您都必须完成区域的登录过程，并让您的名称服务器指向Cloudflare DNS。我们正在努力增加对那些使用外部DNS提供商的区域的支持，或者已经通过我们的一个合作伙伴登录的区域。我有一个通用SSL证书、一个专用证书、一个带有自定义主机名的专用证书和一个上载的证书都列在仪表板中。哪一个将提供给我的网络访问者？证书按以下优先级顺序提供（从最高到最低）：已上载证书具有自定义主机名的专用证书专用证书通用证书但是，如果最高优先级的证书没有与传入请求匹配的主机名，我们将继续下一个证书。如果没有任何证书可以处理请求，例如，您正在网站但是如果没有购买具有自定义主机名的专用证书（或将证书上载到业务或企业计划），则用户将看到错误。专用证书与Let'sEncrypt或其他CA有何不同？Cloudflare使用Let's Encrypt（和其他CA证书）有两种方式：您可以上传一个Let's Encrypt证书，我们将它提供给您的访问者；当我们连接到您的源服务器时，您可以使用Let's Encrypt证书来保护连接。Cloudflare的专用证书完全自动化了获取和分发证书的过程，与使用第三方证书相比，它具有更多的优势。我们优化证书链以最大限度地提高与浏览器/用户代理的兼容性，并在一个证书包中部署多个版本的证书-SHA-2/ECDSA、SHA-2/RSA和SHA-1/RSA。基于浏览器发送每个传入请求的能力，我们将提供最佳的证书