807 字
4 分钟
通过CF获取证书
通过CF获取证书
在 Cloudflare (CF) 的体系下,申请证书主要有两种场景。因为你现在开启了“小橙云”代理(Proxy),最简单且最推荐的方式是使用 Cloudflare 自动生成的 边缘证书,配合 Lucky 端的 自签名或 Origin CA 证书。
以下是两种具体的操作方案:
方案一:利用 CF 自动颁发(最简单,无需在 Lucky 申请)
当你开启了“小橙云”代理后,CF 会自动为你的域名生成通配符证书(*.raythalis.cn)。
- CF 端设置:
- 进入 CF 后台 -> SSL/TLS -> 概述 (Overview)。
- 将加密模式改为 完全 (Full)。
- 原理:
- 手机 CF:使用 CF 的高级证书(浏览器显示绿锁)。
- CF Lucky:使用加密连接。虽然 Lucky 端可能没有正规证书,但由于开启了 Full 模式,CF 会信任 Lucky 的连接。
- 优点:你完全不需要在 Lucky 里折腾证书申请、续期、DNS 验证,一切由 CF 自动完成。
方案二:在 Lucky 里申请 CF 证书(如果你需要 Full Strict 模式)
如果你想在 Lucky 本地也拥有一张正规证书,可以利用 Lucky 的 ACME 功能通过 CF 的 API 自动申请。
1. 获取 Cloudflare API 令牌 (Token)
- 登录 CF,点击右上角头像 -> 我的个人资料。
- 选择 API 令牌 -> 创建令牌。
- 使用 “编辑区域 DNS” 模板。
- 区域资源:选择“特定区域” ->
raythalis.cn。 - 复制生成的那串长代码(只显示一次)。
2. 在 Lucky 中配置证书申请
- 进入 Lucky 后台 -> 安全管理 -> 添加证书。
- 证书名称:随便填(如
CF-Cert)。 - 添加方式:选择 ACME。
- 证书颁发机构:推荐选
Let's Encrypt或ZeroSSL。 - 验证方式:选择 DNS 验证。
- DNS 服务商:选择
Cloudflare。 - API Token:粘贴你刚才在 CF 申请的那串 Token。
- 域名列表:填入
*.raythalis.cn和raythalis.cn。 - 点击 添加。
3. 关联反向代理
- 证书申请成功后(通常需要 1-3 分钟),回到 Lucky 的 反向代理 设置。
- 编辑你的 16666 端口监听规则,在 SSL/TLS 选项中勾选开启,并选择刚才申请到的证书。
方案三:使用 Cloudflare Origin CA 证书(专业级,有效期长)
这是 CF 专门给自家代理用户准备的,有效期可长达 15 年,不用频繁续期。
- CF 端生成:
- 进入 CF -> SSL/TLS -> 源服务器 (Origin Server)。
- 点击 创建证书 (Create Certificate)。
- 保留默认设置(包含
*.raythalis.cn),点击创建。 - CF 会给你一串 源证书 (PEM) 和 私钥 (KEY)。
- Lucky 端导入:
- 在 Lucky 安全管理 -> 添加证书。
- 添加方式:选择 手动上传。
- 将 CF 给你的内容分别填入公钥和私钥框中。
- 安全加固:
- 此时你可以将 CF 的 SSL 模式调为 完全(严格) (Full Strict),这是最安全的模式。
总结建议:
- 如果你想省事:直接用 方案一。只要 CF 里的“小橙云”开着,SSL 选 Full,你直接通过
https://ha.raythalis.cn访问就能看到绿锁,Lucky 端甚至不需要配置证书。 - 如果你想本地也有证书:用 方案二(ACME 自动续期)。
你现在尝试访问 https://ha.raythalis.cn 了吗?如果能打开且有绿锁,说明方案一已经自动生效了。