一、你的目标:
你只需要一个 长期有效 的 SSL 证书,部署在你宝塔面板的网站上,让 Nginx/Apache 启用 HTTPS。
🔐 二、Cloudflare 提供的 SSL 证书类型说明(常搞混):
1. 边缘证书(Edge Certificates)
是部署在 Cloudflare 的服务器 上的证书,用于访问 https://你的网站.com 时,用户浏览器连接 Cloudflare 的 HTTPS 通道。
Cloudflare 默认会帮你生成这个,不需要你管。
自动申请、自动续期,用于浏览器到 Cloudflare。
2. 源服务器证书(Origin Server Certificate)←你该用的就是这个
是部署在你自己服务器上的证书(例如宝塔面板里)。
用于 Cloudflare ➜ 你服务器 之间的加密通信(就是 Cloudflare 访问你服务器时也要走 HTTPS)。
这个证书 只被 Cloudflare 信任,不能给浏览器使用(浏览器会提示“不是可信CA颁发”)。
可以设置最长有效期 15年,适合你长期部署在宝塔用。
3. 客户端证书(Client Certificate)
是企业级用来双向认证用的(如 Cloudflare Access、API 安全验证等)。
你根本用不到,忽略它。
三、你该怎么操作:
第一步:在 Cloudflare 生成源服务器证书(Origin Certificate)
登录 Cloudflare 控制台 → 进入你的网站
左侧菜单点:SSL/TLS → Origin Server
点【Create Certificate】
保持默认:
Private key type: RSA
Validity: 15 years(如果你希望长期有效)
填写主域名 + 通配符子域名(如:yourdomain.com 和 *.yourdomain.com)
点击生成后,它会给出两段内容:
Origin Certificate(证书)
Private Key(私钥)
复制保存好!
第二步:在宝塔面板部署 SSL 证书
打开宝塔 → 网站 → 对应网站 → SSL → 切换到【其他证书】
粘贴:
证书内容(Origin Certificate) → 粘贴到【证书PEM格式】
私钥(Private Key) → 粘贴到【密钥KEY格式】
保存 → 开启 SSL 即可
第三步(可选):Cloudflare 面板设置 HTTPS 模式
进入 Cloudflare → SSL/TLS → Overview
建议选择:
Full 模式:浏览器 → Cloudflare → 你服务器(HTTPS)
Full (strict) 模式:要求你服务器使用 可信 SSL,即 Cloudflare 自己颁发的 Origin Certificate(你已经部署了)
小提醒
这个 Origin Server 证书是 只被 Cloudflare 认可的,如果你以后不再用 Cloudflare,就不能用了,需要换回 Let’s Encrypt 等通用证书。
不需要在宝塔开启“申请 Let’s Encrypt”那一栏,避免冲突。