Все руководства по развёртыванию Развёртывание

Настройка Origin-сертификата с Cloudflare

Когда вы используете Cloudflare в качестве CDN/прокси, ваши посетители подключаются к граничным серверам Cloudflare. Но что происходит с соединением между Cloudflare и вашим origin-сервером? Без сертификата на origin-сервере это соединение может быть незашифрованным — что сводит на нет смысл HTTPS.

Режимы SSL Cloudflare

РежимПосетитель → CloudflareCloudflare → OriginБезопасность
OffHTTPHTTP❌ Без шифрования
FlexibleHTTPS ✅HTTP ❌⚠️ Ложное чувство безопасности
FullHTTPS ✅HTTPS (без проверки)⚠️ Зашифровано, но без валидации сертификата
Full (Strict)HTTPS ✅HTTPS (с проверкой) ✅✅ Рекомендуется

Режим «Flexible» опасен. Ваши посетители видят замочек, но соединение Cloudflare→origin — это обычный HTTP. Любой, кто находится на этом сетевом пути, может прочитать трафик. Всегда используйте Full (Strict).

Настройка Full (Strict) с сертификатом Let’s Encrypt

Лучший подход: установите настоящий, публично доверенный сертификат на origin-сервер и включите Full (Strict).

Шаг 1: Получите сертификат Let’s Encrypt

Используйте GetHTTPS для получения бесплатного сертификата для вашего домена. Вам нужно временно отключить прокси Cloudflare (серое облако в настройках DNS) для прохождения HTTP-01 проверки до вашего origin-сервера, или используйте DNS-01, который работает в любом случае.

Метод DNS-01 (без изменения прокси):

  1. В GetHTTPS выберите DNS-01 challenge
  2. Добавьте TXT-запись _acme-challenge в DNS Cloudflare
  3. Подтвердите и скачайте сертификат

Метод HTTP-01:

  1. В DNS Cloudflare нажмите на оранжевое облако → серое облако (DNS only) для вашего домена
  2. Пройдите HTTP-01 проверку в GetHTTPS
  3. После получения сертификата снова включите оранжевое облако (proxied)

Шаг 2: Установите на origin-сервер

Установите сертификат на Nginx или Apache обычным способом.

Шаг 3: Включите Full (Strict) в Cloudflare

  1. Перейдите в панель управления Cloudflare → ваш домен
  2. SSL/TLSOverview
  3. Выберите Full (Strict)

Теперь Cloudflare будет проверять наличие действительного, доверенного сертификата на вашем origin-сервере перед подключением.

Альтернатива: сертификат Cloudflare Origin CA

Cloudflare предлагает собственные сертификаты Origin CA — бесплатные сертификаты, которым доверяет только Cloudflare, но не браузеры напрямую.

Как получить

  1. Панель управления Cloudflare → SSL/TLSOrigin Server
  2. Нажмите Create Certificate
  3. Выберите тип ключа (RSA или ECDSA) и срок действия (до 15 лет)
  4. Скачайте сертификат и закрытый ключ
  5. Установите на origin-сервер

Плюсы и минусы по сравнению с Let’s Encrypt

Cloudflare Origin CALet’s Encrypt (через GetHTTPS)
Кому доверяетТолько CloudflareВсе браузеры (публично доверенный)
Срок действияДо 15 лет90 дней
Нужно автообновлениеНет (длительный срок)Да (каждые 60-90 дней)
Работает без Cloudflare
Прямой доступ из браузера❌ (показывает ошибку)
СтоимостьБесплатноБесплатно

Используйте Cloudflare Origin CA, если ваш origin-сервер всегда находится за Cloudflare и вы хотите обойтись без управления обновлениями.

Используйте Let’s Encrypt, если вы можете обходить Cloudflare (обслуживание, миграция), вам нужен прямой доступ к origin-серверу или нужен сертификат, который работает везде.

Проверка работы Full (Strict)

После настройки убедитесь, что соединение полностью зашифровано:

  1. Панель управления Cloudflare → SSL/TLSOverview должен показывать “Full (Strict)”
  2. Посетите ваш сайт → замочек должен показывать сертификат Cloudflare для посетителей
  3. Проверьте origin напрямую (в обход Cloudflare):
    curl -I --resolve yourdomain.com:443:YOUR_ORIGIN_IP https://yourdomain.com
    Должен вернуться валидный HTTPS-ответ с вашим сертификатом Let’s Encrypt (или Origin CA).

Часто задаваемые вопросы

Почему бы просто не использовать режим Flexible?

Режим Flexible шифрует соединение посетитель→Cloudflare, но отправляет трафик от Cloudflare к вашему origin-серверу открытым текстом по HTTP. Это означает:

  • Ваш интернет-провайдер, хостинг-провайдер или любой, кто находится в сети между граничным сервером Cloudflare и вашим сервером, может прочитать весь трафик
  • Ваши посетители видят замочек и считают, что они защищены, но бэкенд-соединение не зашифровано
  • Это особенно опасно для страниц входа, платёжных форм или любых конфиденциальных данных

Должен ли origin-сертификат точно совпадать с моим доменом?

Для режима Full (Strict) — да, origin-сертификат должен быть действительным для домена, к которому подключается Cloudflare. Сертификат Let’s Encrypt для example.com подойдёт. Самоподписанный сертификат или сертификат для другого домена — нет.

Можно ли использовать wildcard origin-сертификат?

Да. Wildcard-сертификат для *.example.com на вашем origin-сервере работает с Full (Strict) для любого поддомена, проксируемого через Cloudflare.

Что произойдёт, если origin-сертификат истечёт?

Режим Full (Strict) Cloudflare проверяет действительность сертификата. Если ваш origin-сертификат истечёт, Cloudflare не сможет установить безопасное соединение и ваш сайт покажет ошибку 526 (Invalid SSL Certificate). Настройте мониторинг срока действия, чтобы предотвратить это.

Похожие статьи

Сравнение 2026-05-07
Let's Encrypt vs Cloudflare SSL: что выбрать?
Let's Encrypt даёт вам сертификат, которым вы владеете. Cloudflare управляет SSL как частью CDN-прокси. Сравнение двух подходов по конфиденциальности, контролю и сценариям использования.
Развёртывание 2026-05-08
Как установить SSL-сертификат на Nginx
Пошаговое руководство по установке SSL-сертификата на Nginx. Охватывает загрузку файлов, полную конфигурацию серверного блока, лучшие практики TLS, HTTP/2, HSTS, настройку редиректов, тестирование и устранение 6 распространённых ошибок.
Начало работы 2026-05-08
Как получить бесплатный SSL-сертификат (пошаговое руководство)
Получите бесплатный SSL-сертификат от Let's Encrypt за 5 минут --- без установки программ, без создания аккаунта. Полное руководство: 4 метода, оба типа проверки, установка на 6 платформах и устранение неполадок.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат