Google + Cloudflare上的通配符SSL证书

Question

我有一个域，example.com，并且希望支持通配符子域，例如SSL上的*.example.com 。

我的应用程序运行在Google上，并希望使用Cloudflare代理我在SSL上的所有请求。请注意，我是在自由计划的云朵。

我的问题是，除了使用Cloudflare之外，我是否需要购买一个单独的通配符子域证书。

我希望在Cloudflare上启用完整(严格) SSL方法。我的理解是，我可以在GAE上安装Cloudflare颁发的原产地证书(这样GAE <-> Cloudflare是安全的)，然后使用Cloudflare颁发的通用SSL证书，以便Cloudflare <->浏览器是安全的。是否需要购买单独的通配符子域证书，还是可以完全使用(通用+原产地证书)Cloudflare的SSL？

如果我上面的理解是不正确的，并且我需要购买一个单独的SSL通配符子域证书--一旦我把它上传到GAE，我从GAE到浏览器的连接从端到端安全吗？GAE上的SSL会被Cloudflare验证，然后它能够代理SSL上的通配符子域请求吗？

如果任何人在这一领域精通和知识，可以帮助理解流动，这将是真正的感谢。

Answer 1

我对Cloudflare很熟悉，但不熟悉GAE。要获得完整的(严格的)证书，您必须在Cloudflare和原始服务器中都拥有一个对example.com和*.example.com都有效的证书。Cloudflare将处理与浏览器/客户端交互的边缘证书。

正如您所假设的，原产地证书Cloudflare问题将有效，并将是免费的。当您要求Cloudflare生成它时，您可以指定域，其中应该包括example.com和*.example.com。Cloudflare将为example.com颁发自签名证书，为*.example.com颁发SAN证书。它的好处是它是免费的，并且会有很长的过期时间(如果你愿意的话)。不利的一面是，如果您必须删除cloudflare或与没有cloudflare的原始服务器交互，证书将不会由根CA签名。这些请求通常会在客户端和浏览器中失败，除非您专门更改客户端配置以信任此证书，而且访问此服务器的随机浏览器肯定会收到证书错误。

example.com的根CA签名证书和SAN用于*.example.com的证书也将起作用。缺点是，除非您使用免费服务(如letsencrypt )，否则通常要花钱。您可能还需要更新此证书比自签名证书更频繁，过期证书将导致完全严格模式下的停机时间。这样做的好处是，通常您直接发送到原始服务器的任何请求都会正常工作，甚至在随机浏览器中也是如此。

对我来说，我会使用根CA签名证书(如果需要的话，甚至是免费的)，这样如果我在紧急情况下绝对不得不放弃cloudflare，我就可以将DNS切换到源服务器，并且仍然可以。只有当我完全依赖Cloudflare，比如工人或DDoS保护时，我才会使用Cloudflare自签名证书。