सभी डिप्लॉयमेंट गाइड डिप्लॉयमेंट

Cloudflare के साथ Origin Certificate Setup करना

जब आप Cloudflare को CDN/proxy के रूप में use करते हैं, तो आपके visitors Cloudflare के edge servers से connect होते हैं। लेकिन Cloudflare और आपके origin server के बीच connection का क्या? बिना certificate के, वह connection unencrypted हो सकता है — जो HTTPS के purpose को defeat कर देता है।

Cloudflare SSL Modes Explained

ModeVisitor → CloudflareCloudflare → OriginSecurity
OffHTTPHTTP❌ कोई encryption नहीं
FlexibleHTTPS ✅HTTP ❌⚠️ Security का illusion
FullHTTPS ✅HTTPS (unverified)⚠️ Encrypted लेकिन कोई certificate verification नहीं
Full (Strict)HTTPS ✅HTTPS (verified) ✅✅ Recommended

“Flexible” dangerous है। आपके visitors padlock देखते हैं, लेकिन Cloudflare→origin connection plain HTTP है। उस network path पर कोई भी traffic read कर सकता है। हमेशा Full (Strict) use करें।

Let’s Encrypt Certificate के साथ Full (Strict) Setup करना

Best approach: अपने origin पर एक real, publicly trusted certificate install करें और Full (Strict) enable करें।

Step 1: Let’s Encrypt Certificate Get करें

अपने domain के लिए free certificate get करने के लिए GetHTTPS use करें। HTTP-01 challenge आपके origin तक पहुंचने के लिए आपको temporarily Cloudflare proxy disable करना होगा (DNS settings में grey cloud), या DNS-01 use करें जो किसी भी case में काम करता है।

DNS-01 method (कोई proxy change required नहीं):

  1. GetHTTPS में, DNS-01 challenge choose करें
  2. Cloudflare DNS में _acme-challenge TXT record add करें
  3. Verify करें और certificate download करें

HTTP-01 method:

  1. Cloudflare DNS में, orange cloud → grey cloud (DNS only) पर click करें अपने domain के लिए
  2. GetHTTPS में HTTP-01 challenge complete करें
  3. Certificate मिलने के बाद, orange cloud (proxied) फिर से enable करें

Step 2: अपने Origin Server पर Install करें

Certificate को normally Nginx या Apache पर install करें।

Step 3: Cloudflare में Full (Strict) Enable करें

  1. Cloudflare Dashboard → आपका domain पर जाएं
  2. SSL/TLSOverview
  3. Full (Strict) select करें

Cloudflare अब connect करने से पहले verify करेगा कि आपके origin पर एक valid, trusted certificate है।

Alternative: Cloudflare Origin CA Certificate

Cloudflare अपने खुद के Origin CA certificates provide करता है — free certificates जो सिर्फ Cloudflare द्वारा trusted हैं, directly browsers द्वारा नहीं।

कैसे Get करें

  1. Cloudflare Dashboard → SSL/TLSOrigin Server
  2. Create Certificate पर click करें
  3. Key type (RSA या ECDSA) और validity (15 years तक) choose करें
  4. Certificate और private key download करें
  5. अपने origin server पर install करें

Let’s Encrypt की तुलना में Pros और Cons

Cloudflare Origin CALet’s Encrypt (GetHTTPS के through)
किसके द्वारा trustedसिर्फ Cloudflareसभी browsers (publicly trusted)
Validity15 years तक90 days
Auto-renewal requiredनहीं (long validity)हां (हर 60-90 days)
Cloudflare के बिना काम करता है
Direct browser access❌ (error दिखाता है)
CostFreeFree

Cloudflare Origin CA use करें अगर आपका origin हमेशा Cloudflare के behind है और आप zero renewal management चाहते हैं।

Let’s Encrypt use करें अगर आप Cloudflare को bypass कर सकते हैं (maintenance, migration), अपने origin तक direct access चाहते हैं, या एक ऐसा certificate चाहते हैं जो everywhere काम करे।

Full (Strict) काम कर रहा है, यह Verify करें

Setup के बाद, test करें कि connection पूरी तरह encrypted है:

  1. Cloudflare Dashboard → SSL/TLSOverview में “Full (Strict)” दिखना चाहिए
  2. अपनी site पर जाएं → padlock में visitors को Cloudflare का certificate दिखना चाहिए
  3. Directly origin check करें (Cloudflare को bypass करके):
    curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com
    यह आपके Let’s Encrypt (या Origin CA) certificate के साथ एक valid HTTPS response देना चाहिए।

FAQ

Flexible mode use क्यों नहीं?

Flexible mode visitor→Cloudflare connection को encrypt करता है लेकिन Cloudflare से आपके origin तक traffic plain HTTP में भेजता है। इसका मतलब है:

  • आपका ISP, hosting provider, या Cloudflare के edge और आपके server के बीच network पर कोई भी सब traffic read कर सकता है
  • आपके visitors padlock देखते हैं और सोचते हैं कि वे secure हैं, लेकिन backend connection नहीं है
  • यह login pages, payment forms, या किसी भी sensitive data के लिए especially dangerous है

क्या मेरे origin certificate को मेरे domain से exactly match करना चाहिए?

Full (Strict) mode के लिए, हां — origin certificate उस domain के लिए valid होना चाहिए जिससे Cloudflare connect हो रहा है। example.com के लिए Let’s Encrypt certificate काम करेगा। एक self-signed certificate या एक different domain का certificate काम नहीं करेगा।

क्या मैं wildcard origin certificate use कर सकता हूं?

हां। आपके origin पर *.example.com के लिए एक wildcard certificate Cloudflare के through proxy किए गए किसी भी subdomain के लिए Full (Strict) के साथ काम करता है।

अगर मेरा origin certificate expire हो जाए तो क्या होता है?

Cloudflare का Full (Strict) mode certificate validity check करता है। अगर आपका origin certificate expire हो जाता है, तो Cloudflare एक secure connection establish नहीं कर सकता और आपकी site 526 error (Invalid SSL Certificate) दिखाती है। इसे prevent करने के लिए expiry monitoring set करें।

संबंधित लेख

तुलना 2026-05-07
Let's Encrypt बनाम Cloudflare SSL: आपको कौन सा Use करना चाहिए?
Let's Encrypt आपको एक ऐसा certificate देता है जिसके owner आप हैं। Cloudflare अपने CDN proxy के part के रूप में SSL manage करता है। Privacy, control और use cases के लिए दोनों approaches compare करें।
डिप्लॉयमेंट 2026-05-08
Nginx पर SSL Certificate कैसे Install करें
Nginx पर SSL certificate install करने की step-by-step guide। File upload, full server block config, TLS best practices, HTTP/2, HSTS, redirect setup, testing, और 6 common errors का troubleshooting included है।
शुरुआत करें 2026-05-08
Free SSL certificate कैसे पाएं (step-by-step guide)
Let's Encrypt से 5 minutes में free SSL certificate पाएं — कोई software install नहीं, कोई account नहीं बनाना। 4 methods, दोनों challenge types, 6 platforms पर installation, और troubleshooting cover करने वाली complete guide।
अपने browser में मुफ़्त SSL certificate पाएँ
कोई installation नहीं, कोई account नहीं। आपकी private key कभी आपका device नहीं छोड़ती।
अपना certificate पाएँ