一、域名托管到 Cloudflare
1.注册 Cloudflare 账号并登录。
2.添加站点域名(例如 free-ai.top)。
3.选择免费套餐(Free Plan)。
4.Cloudflare 会提供两个 DNS 服务器地址(Nameservers)。
5.登录阿里云域名管理,将域名的 DNS 修改为 Cloudflare 提供的地址。
6.等待 DNS 解析生效(通常几分钟至数小时)。
二、在 Cloudflare 申请 Origin Certificate
1.登录 Cloudflare → SSL/TLS → Origin Server → Create Certificate。
2.配置选项:
私钥格式(Key Format):PEM
有效期(Validity):建议 15 年
域名:填写你要保护的域名或通配符(如 *.free-ai.top + free-ai.top)
3.下载两个文件:
origin-cert.pem(证书)
origin-private-key.pem(私钥)
注意:请妥善保管私钥文件 origin-private-key.pem。
三、开启 Edge Certificates
1.Cloudflare 会在边缘节点部署 Edge Certificates(Universal SSL 或自定义上传证书),提供浏览器 ↔ Cloudflare 的 HTTPS 加密。
Universal SSL(免费):默认 3 个月有效期Cloudflare 自动续期,无需手动操作浏览器访问不会受到影响在 SSL/TLS → Edge Certificates 中确保 Universal SSL 已启用。
注意:Origin Certificate 仅用于 Cloudflare ↔ IIS 源站的加密,浏览器不会直接验证。
四、 转换为 Windows/IIS 可用格式
1下载安装OpenSSL:此电脑 → 属性 → 高级系统设置 → 环境变量 Path:C:\OpenSSL-Win64\bin
https://slproweb.com/download/Win64OpenSSL-3_5_2.exe
2.IIS 需要 PFX 格式证书,执行命令:
openssl pkcs12 -export -out free-ai.top.pfx -inkey origin-private-key.pem -in origin-cert.pem -passout pass:你的密码
生成的 free-ai.top.pfx 文件用于 IIS 导入。
密码请记住,导入 PFX 时需要使用。
五、导入 Cloudflare 根证书(可选,解决 IIS 证书链提示)
Cloudflare 提供 origin_ca_rsa_root.pem,用于 IIS 检查证书链。
操作步骤:
1.打开 mmc → 文件 → 添加/删除管理单元 → 证书 → 选择 计算机账户 → 本地计算机 → 确定。
2.左侧展开 → 受信任的根证书颁发机构 → 证书
3.右键 → 所有任务 → 导入 → 选择 origin_ca_rsa_root.pem
4.完成导入即可
如果不导入,IIS 可能提示“证书链中的一个或多个中间证书丢失”,但不会影响 Cloudflare Strict 模式。
六、导入 PFX 到 IIS
1.打开 mmc → 文件 → 添加/删除管理单元 → 证书(计算机账户) → 本地计算机。
2.左侧展开 → 个人 → 证书
3.右键 → 所有任务 → 导入 → 选择 free-ai.top.pfx
4.输入导出密码完成导入。
5.打开 IIS 管理器 → 选择网站 → 绑定 → 添加/编辑 HTTPS 绑定 → 选择刚才导入的证书 → 确定。