2.9.1.4. Установка SSL от Cloudflare
Для корректной настройки SSL-сертификата, используя Cloudflare, нужно:
- Настроить домен на стороне Cloudflare.
- Настроить работу SSL-сертификата в рамках Cloudflare и выписать сертификат для хостинга.
- Установить, полученный во втором пункте, сертификат на хостинге.
Настройка сертификата
Для настройки сертификата на стороне Cloudflare и последующему созданию сертификата для хостинга нужно:
- Войдите в учётную запись Cloudflare.
- Перейдите в раздел «SSL/TLS»:
- В разделе «Overview» выберите подходящий принцип работы сертификата (рекомендуется выбирать «Full (strict)», в дальнейшем будет описан процесс его настройки):
- «Flexible» — данные шифруются только между клиентом и Cloudflare. В таком случае установка сертификата на хостинг не требуется, но нужно отключить все способы переадресации сайта на HTTPS в рамках хостинга и сайта. (Не рекомендуется.)
- «Full» — данные шифруются как между клиентом и Cloudflare, так и между Cloudflare и хостингом. На стороне хостинга можно установить самоподписанный сертификат. Такой способ может быть менее безопасный, чем следующий, из-за отсутствия проверки валидности сертификата на стороне хостинга. (Не рекомендуется.)
- «Full (strict)» — данные шифруются как между клиентом и Cloudflare, так и между Cloudflare и хостингом. Отличие данного способа от предыдущего заключается в том, что на стороне Cloudflare потребуется выписать собственный сертификат для хостинга, который в дальнейшем будет проверяться на валидность, и установить его, что будет более безопасно, в отличие от остальных способов. (Рекомендуемый способ.)
- После выбора принципа работы шифрования перейдите в раздел «Origin server» и нажмите «Create Certificate»:
- Укажите данные для создания сертификата:
- Выберите «Let Cloudflare generate a private key and a CSR» (создание CSR-запроса со стороны Cloudflare).
- Укажите нужные домены и поддомены, которые должны быть включены в сертификат.
- Выберите срок действия сертификата.
- Нажмите «Next».
- Не закрывайте открывшееся окно до выполнения всех действий. Напротив «Key format» выберите «PEM (Default)», после чего скопируйте указанные ниже сертификат и ключ в разные файлы (расширение файлов может быть любым).
- Установите сертификат на хостинге, используя созданные файлы.