避坑指南：腾讯云域名托管 Cloudflare+15 年证书申请全流程（附关键提醒）

一、核心前提与避坑提醒

1. 关键认知（避免白忙活）

• Cloudflare 的 15 年免费证书属于「源服务器证书」，仅用于Cloudflare CDN 节点与你的源服务器（如群晖、Lucky）之间的加密通信；
• 该证书并非浏览器信任的公共 CA 证书（如 Let’s Encrypt、DigiCert），直接用于前端访问会提示 “不安全”，无法实现浏览器端 HTTPS 信任；
• 若需浏览器认可的 HTTPS 证书，仍需通过 ACME 脚本申请 Let’s Encrypt 等免费公共证书（自动续期），或购买商业 CA 证书。

2. 适用场景

• 已启用 Cloudflare CDN，需保障 CDN 与源服务器之间的传输安全；
• 仅需内部服务加密通信，无需对外提供浏览器可信任的 HTTPS 访问；
• 希望长期使用固定证书，无需频繁续期（仅限后端传输加密）。

3. 准备工具

• 已在腾讯云注册的域名（如xxx.com）；
• Cloudflare 账号（免费注册即可）；
• 电脑（用于创建证书文件）。

二、完整操作步骤

第一步：注册并登录 Cloudflare

1. 访问 Cloudflare 官网（https://www.cloudflare.com/），点击右上角「Sign Up」注册账号（支持邮箱、Google 账号等方式）；
2. 注册完成后自动登录，进入 Cloudflare 控制台首页。

第二步：添加域名并扫描 DNS 记录

1. 在 Cloudflare 首页输入需托管的腾讯云域名（如xxx.com），点击「Add Site」；
2. 选择套餐：默认选择「Free」免费套餐（满足基础域名托管与 CDN 需求），点击「Continue」；
3. 扫描 DNS 记录：Cloudflare 会自动扫描该域名已有的 DNS 解析记录（如 A 记录、CNAME 记录等），等待扫描完成后点击「Continue」（若扫描遗漏需手动添加，确保解析记录完整）。

第三步：修改腾讯云域名的 DNS 服务器

1. 托管关键步骤：Cloudflare 会生成两条专属 DNS 服务器地址（格式如ns1.cloudflare.com、ns2.cloudflare.com），复制这两条地址；
2. 登录腾讯云控制台：进入「我的资源」→「域名注册」→「我的域名」，找到目标域名，点击「DNS 解析」→「修改 DNS 服务器」；
3. 替换 DNS 服务器：选择「自定义 DNS」，将复制的 Cloudflare DNS 地址粘贴到输入框，点击「提交」（部分域名服务商可能需要实名认证或验证所有权，按提示完成即可）；
4. 等待生效：返回 Cloudflare 页面点击「Continue」，系统会检测 DNS 服务器是否修改成功，一般几分钟到 1 小时内生效（生效后会收到 Cloudflare 的确认邮件）；
5. 验证托管成功：Cloudflare 控制台概述页显示「Active」，且 DNS 服务器状态为「已生效」，说明域名托管完成。

第四步：申请 Cloudflare 15 年免费源服务器证书

1. 进入证书配置：在 Cloudflare 控制台，点击左侧菜单栏「SSL/TLS」→「源服务器」；
2. 创建证书：点击「创建证书」（Create Certificate）；
3. 配置证书参数：
   • 证书类型：默认选择「私钥类型」（RSA 或 ECDSA，推荐 RSA 兼容性更强）；
   • 域名覆盖：系统默认支持通配符证书（如*.xxx.com，可覆盖主域名及所有子域名），无需额外设置；
   • 有效期：下拉选择「15 年」（最长有效期）；
   • 其他参数保持默认，点击「创建」（Create）；
    
4. 复制证书内容：证书创建成功后，会显示「源证书」（Certificate）和「私钥」（Private Key）两段文本，分别复制（注意不要遗漏任何字符，包括首尾的-----BEGIN CERTIFICATE-----和-----END CERTIFICATE-----）。

第五步：创建证书文件并保存

1. 在电脑本地新建两个文本文件，分别命名为：
   • cert.pem（用于存储源证书内容）；
   • private.key（用于存储私钥内容）；
      

     ⚠️ 注意：需确保文件扩展名为.pem和.key（而非.txt，可在电脑中开启「显示文件扩展名」避免出错）；

    
2. 粘贴内容并保存：
   • 打开cert.pem，将 Cloudflare 的「源证书」文本粘贴进去，保存文件；
   • 打开private.key，将 Cloudflare 的「私钥」文本粘贴进去，保存文件；
    
3. 备份证书：将两个证书文件备份到安全位置，避免丢失（后续配置源服务器需使用）。

第六步：源服务器证书配置（以群晖为例）

1. 登录群晖 DSM 管理界面，进入「控制面板」→「安全性」→「证书」；
2. 点击「添加」→「导入证书」；
3. 分别上传之前创建的cert.pem（证书文件）和private.key（私钥文件），点击「确定」；
4. 关联服务：将导入的证书关联到需要加密的服务（如 Web Station、DSM 登录），完成配置；
5. 验证：此时 Cloudflare CDN 节点与群晖之间的通信已通过 15 年证书加密，但浏览器访问域名仍会提示 “不安全”（需配合公共 CA 证书解决）。

三、常见问题与解决方案

1. DNS 服务器修改后长时间不生效？

• 原因：域名 DNS 缓存需要时间扩散（一般 0-24 小时，国内部分地区可能延迟）；
• 解决：可通过「DNS 查询工具」（如 DNS Checker）查询域名的 DNS 服务器是否已更新为 Cloudflare 地址；若未生效，耐心等待缓存过期，或联系腾讯云域名客服确认修改是否成功。

2. 证书导入源服务器后，Cloudflare 提示 “证书无效”？

• 原因：复制证书 / 私钥时遗漏字符，或文件格式错误；
• 解决：重新复制 Cloudflare 的证书和私钥，确保首尾标记完整，文件扩展名正确（无多余.txt后缀），重新导入。

3. 浏览器访问仍提示 “不安全”，如何处理？

• 原因：如前文所述，15 年证书是源服务器证书，不被浏览器信任；
• 解决：启用 Cloudflare 的「SSL/TLS」→「边缘证书」（Edge Certificates），Cloudflare 会自动签发 Let’s Encrypt 等公共 CA 证书（免费，自动续期），用于浏览器与 CDN 节点之间的加密；此时整体加密链路为：浏览器 ↔（公共 CA 证书）↔ Cloudflare CDN ↔（15 年源服务器证书）↔ 源服务器，既保障前端信任，又保障后端传输安全。

四、总结

1. 腾讯云域名托管 Cloudflare 的核心是修改 DNS 服务器，过程简单且免费，适合需要 CDN 加速、DNS 管理的场景；
2. Cloudflare 15 年证书仅适用于 “CDN – 源服务器” 加密，不可直接用于前端浏览器访问，需搭配边缘公共证书实现完整 HTTPS 信任；
3. 若需纯前端可信任的 HTTPS 证书，最终仍需通过 ACME 脚本申请 Let’s Encrypt 证书（支持自动续期），避免频繁手动操作；
4. 本教程可作为域名托管 Cloudflare 的参考，若你的核心需求是浏览器认可的 HTTPS 证书，建议优先研究 ACME 脚本方案。