我有一个域,example.com,并希望支持通配符子域,例如*.example.com 基于SSL。
我的应用程序正在Google App Engine上运行,并希望使用Cloudflare通过SSL将所有请求代理到我的域。请注意,我正在使用Cloudflare的免费计划。
我的问题是,除了使用Cloudflare的证书外,是否还需要购买单独的通配符子域证书。
我想在Cloudflare上启用完全(严格)SSL方法。我的理解是,我可以将Cloudflare颁发的Origin证书安装在GAE上(这样GAE Cloudflare是安全的),然后使用Cloudflare颁发的通用SSL证书使Cloudflare浏览器是安全的。是否需要购买单独的通配符子域证书,还是可以完全使用(通用+原始证书)Cloudflare的SSL?
如果以上理解不正确,我需要购买单独的SSL通配符子域证书-将其上传到GAE后,从GAE到浏览器的连接是否从端到端安全? Cloudflare会验证GAE上的SSL,然后能够代理SSL上的通配符子域请求吗?
如果任何精通此领域知识的人可以帮助理解流程,将不胜感激。
我熟悉Cloudflare,但不熟悉GAE。对于完全(严格)证书,您必须拥有对Cloudflare和原始服务器中的example.com和* .example.com都有效的证书。 Cloudflare将负责浏览器/客户端将与之交互的边缘证书。
正如您所假设的那样,原产地证书Cloudflare问题将起作用并且是免费的。当您要求Cloudflare生成此文件时,您可以指定域,其中应包括example.com和* .example.com。 Cloudflare会为您颁发example.com的自签名证书,并为* .example.com颁发SAN。这样做的好处是它是免费的,并且有效期较长(如果需要)。不利的一面是,如果您必须丢弃cloudflare或与没有cloudflare的原始服务器进行交互,则证书将不会由根CA签名。除非您专门更改客户端配置以信任此证书,否则这些请求通常在客户端和浏览器中将失败,并且肯定是随机访问该服务器的浏览器将收到证书错误。
具有用于* .example.com的SAN的example.com的根CA签名证书也将起作用。不利的一面是,除非您使用letsencrypt之类的免费服务,否则通常会花钱。与自签名证书相比,您可能还需要更频繁地更新此证书,并且过期的证书将导致Full Strict模式下的停机时间。这样做的好处是,即使在随机浏览器中,通常您直接发送到原始服务器的任何请求都可以使用。
对我来说,我将使用根CA签名证书(如果需要的话,甚至可以使用免费证书),以便在紧急情况下绝对必须放弃cloudflare时,我可以将DNS切换到原始服务器,并且仍然可以。只有当我完全依赖Cloudflare时,例如worker或DDoS保护,我才可以使用Cloudflare自签名证书。