去年9月，CloudFlare发布了通用SSL，默认情况下支持所有站点的HTTPS。所有使用CloudFlare的站点现在都支持从浏览器到CloudFlare服务器的强加密。对通用SSL最流行的请求之一是使加密连接的另一半更容易：从CloudFlare到源服务器。直到今天，从CloudFlare到源站的加密都需要从第三方购买可信证书。证书购买过程可能是乏味的，有时是昂贵的。为了解决这一问题，CloudFlare创建了一个新的源CA服务，在该服务中，我们向客户源服务器提供免费的有限功能证书。今天我们很高兴地宣布这项服务的公测版，免费提供从浏览器到源站的所有数据的完全加密。一路加密CloudFlare为HTTPS提供了三种模式：Flexible、Full和Strict。在灵活模式下，从浏览器到CloudFlare的流量是加密的，但是从CloudFlare到站点的源服务器的流量是加密的。在完全和严格模式下，CloudFlare和源服务器之间的通信是加密的。严格模式添加源服务器证书的验证。我们强烈建议客户为他们的网站选择严格的模式，以确保他们的访问者获得最强的数据安全性。如前所述，CloudFlare免费计划中的站点默认为灵活的SSL模式。为了利用我们严格的SSL模式，有必要在源服务器上安装一个证书，而到目前为止，它要求他们从第三方购买证书。现在，客户可以直接从CloudFlare免费获得该证书。此证书仅用于保护源服务器与CloudFlare之间的通信；它从不呈现给浏览器。目前，您应该只在CloudFlare上的橙色云站点后面使用它。如果您是CloudFlare的客户并希望注册试用版，只需发送电子邮件至origin-ca-beta@cloudflare.com包括以下内容：证书签名请求（CSR）要在其上安装证书的橙色云区域的域名前十个勇敢的beta客户将获得一个闪亮的新证书，安装在他们的web服务器上。注意：不要将私钥发送到CloudFlare，只需要CSR。更新：测试版已满！感谢那些参与的人。CloudFlare原产地证书颁发机构为了向客户来源授予证书，CloudFlare必须创建自己的证书颁发机构。这包括一组用于验证证书请求和创建新证书的过程和系统。对于源CA，CloudFlare创建了一个专用密钥和证书，用于为源服务器签名证书。软件我们使用的证书颁发机构软件是CFSSL，我们用Go编写的开源PKI工具包。它允许我们验证CSR并使用它们为站点创建新的证书。这些证书使用我们的证书颁发机构私钥进行签名，并在CloudFlare以严格的SSL模式连接到源站时进行验证。在与业界其他成员（如Let'sEncrypt项目的RichardBarnes）的协作下，我们已经用几个新特性更新了CFSSL，这些特性有助于使CFSSL成为一个可行的证书颁发机构工具。其中包括PKCS#11支持，它使CFSSL能够使用硬件安全模块（HSM）来存储私钥，OCSP支持允许CFSSL回答有关证书吊销状态的问题。验证CA应该只向拥有证书中列出的域的站点提供证书。域验证通常通过以下三种方法之一进行：在DNS区域进行挑战将一个挑战放入域中托管的HTML页面的meta标记中从WhoIs数据库向域注册者发送电子邮件质询由于CloudFlare既是内容交付网络又是DNS提供商，因此可以由CloudFlare代表站点进行DNS和HTML验证。如果您的站点在CloudFlare和orange clouded上，我们将为您的站点提供证书。公众信任CloudFlare源CA当前不受浏览器信任，因此不应在不支持CloudFlare的站点上使用这些证书。要发布浏览器信任的证书，我们必须说服一个公共信任的证书颁发机构交叉签署我们的CA证书。在这种情况下，这是不必要的，因为是CloudFlare决定了我们信任哪些证书以及源CA在我们的列表中。如何创建奖金证书：签名请求证书签名请求（CSR）是从证书颁发机构获取证书的标准机制。它包含一个公钥，一些元数据，例如它所在的域，并由私钥进行数字签名。它让CloudFlare知道您拥有私钥。使用CFSSL创建CSR和私钥CFSSL不仅可以用于运行CA，还可以用于创建csr。按照这些说明，您将获得一个私钥和一个CSR以提交给证书颁发机构。1） 安装Go：https://golang.org/doc/install2） 安装CFSSL$去拿github.com/cloudflare/cfssl/cmd/...3） 创建CSR模板使用以下模板csr.json文件并替换"mysite.com网站"网站的域名和公司信息。csr.json文件:{"键"：{"algo"："rsa"，"尺寸"：2048},"主机"：["mysite.com网站"],"CN"：mysite.com网站","姓名"：[{"C"："我们"，"L"："旧金山"，"ST"："加利福尼亚"，"O"："我的公司"，"OU"："我公司的IT部门"}]}4） 创建证书$cfssl genkeycsr.json文件|cfssljson-裸站点这将创建两个文件：站点.csr：您的CSR现场-密钥.pem：您的私钥其他资源如果CFSSL不适合您，以下是创建csr的更多资源：科摩多全球标志迪吉塞特将来，我们计划发布一些工具，使证书生成更加容易和自动化。