cloudflare域名解析及加密的有关教程 – 阳光实验室

前面的文章中我们已经介绍了cloudflare如何给你新注册的域名设置NS域名解析服务器,下面的文章我们为大家带来域名解析以及加密的有关教程。

 

加密

 

首先是加密,SSL/TLS加密。现在很多的网站无论是镜像站还是正规做站以及很多加密混淆上网的大部分都是https的网站,一般来说自签名的证书都是访客直接访问服务器,由浏览器到服务器端的端到端通信,在服务器上放置着SSL证书,但是要是加了CDN该怎么办呢?一般CDN都是代理http流量,要想代理https的流量那就得在这个地方做好设置,稍有设置不对就会出问题。

 

 

CF提供四种SSL/TLS模式,分别是不加密只用HTTP、半程加密(用户与CF加密,CF到服务器不加密)、全程加密(用户与CF和CF与服务器都HTTPS加密)和全程严格加密(服务器端需要有高级CA证书)

 

如果你做的是http站点或者你只使用http进行科学,那么我们就选择第一个关闭SSL/TLS也就是不加密。

 

选择第二个半程加密,就是说你的服务器仍可以只提供http访问。为了在浏览器端也就是客户端能够体现出自己的网站做过加密,那么你就开这个。这样在浏览器上面就会显示https,就会显示cloudflare自己的自签名证书(就是那个免费的有效期15年的自签名证书)。这个证书没什么实际意义,因为这是你访问cloudflare服务器之后CF服务器端给你呈现的证书,实际上代理过去的还是个http的网站,因此必须得开启橙色云朵。不开仍然是http网站,说简单点这就是由CF代理伪装成https的http网站。

 

第三个全程加密,从你访问CF到CF连接到服务器这中间全部https加密。也就是你和CF之间的通信加密CF和服务器端也加密,因此服务器端必须有一个自签名的证书,哪怕他是个免费的证书。只要签发的证书有效并且在有效期内就没有问题,剩下的就可以点亮橙色云朵全程流量加密。

 

最后一个需要高级CA证书,一般的免费证书或者DV只验证域名所有权的证书就不管用了。起码得是OV组织机构验证的证书和EV银行电商平台等安全性等级高的组织机构证书才能算是CA证书。CA证书的申请比较难,需要有企业认证信息,不如个人用的DV证书申请简单,这需要各位了解有关知识。

 

怎么选择加密的模式大家现在就可以根据相应模式的解释进行选择了。

 

域名解析

 

接下来是关于域名解析方面的介绍,一般我们在每个域名注册商那里的DNS解析设置平台那里的填写规则都是完全一样的,可以说是无论是什么语言的页面但是填报的规则都是全球统一的规则,无非就是A、AAAA、CNAME、MX、NS、TXT这类的解析记录,这是全球统一的。因此无论在哪一个注册商那里就算是在CF也都是完全一样的,不过CF的解析唯一的不同就是可以选择是否为这一解析开启CDN。

 

A记录

 

A记录的真实名称是IPV4地址解析,顾名思义A记录所解析到的地方只能是一个独立的公网IPV4地址。如果是共享的公网IPV4地址就不可以了,因为N个站点共同使用一个IPV4地址,DNS解析服务器无法判断这个IPV4地址到底应该解析给谁,因此A记录如同域名一样具有唯一性和排他性。

 

打开DNS进行域名解析记录的修改

 

 

选择灰色云朵代表访问不经过CF,而是直接连接服务器。等于不走CDN,没有CDN缓存与流量。

 

 

选择了点亮橙色云朵等于选择开启CDN,此时网站的缓存和代理流量全部走CDN。套上CDN之后接下来对外ping你的域名将会被解析到CF的IP地址,对外变成CF的IP之后你的服务器IP就会被隐藏,可以有效的防止服务器的IP地址遭到攻击。

 

如果你是搞科学的朋友请一定要开启CDN,这样才能由CF这朵云负责你的救援和安全访问工作,不然那还是直连一点用都没有。

 

AAAA记录

 

4A记录,国内也俗称“一个炸”记录或者“炸弹”记录。大家都知道在斗地主游戏中4A代表的正是炸弹也就是一个炸,这就是“一个炸”解析和“炸弹”解析的由来。其真实的名称是IPV6地址解析,也就是使用这一解析需要解析到一个独立的公网IPV6地址,也同样具有唯一性和排他性。不过由于IPV6是下一代IP地址发展的大趋势,有着几乎∞无穷大的IPV6地址基本上不可能再出现共享IPV6地址,基本上都是独立的公网IP地址,因此比起IPV4来说更加简单,只要有个公网IPV6就能进行解析。更何况有的服务商一口气给很多IPV6,因此这也是未来域名解析的大趋势。

 

 

很多国外VPS服务商都提供带有IPV6地址的主机服务,比如vultr、cloudcone、linode、digitalocean、buyvm、hosteons、digital-vm、ramnode等等大中型服务商。有的提供一个有的甚至可以提供10个。鉴于现在全球IPV6部署的缓慢,这么多IP地址因为IPV4网无法访问IPV6网而白白浪费太可惜了,所以怎么办,套CDN做域名解析让IPV4也可以轻松访问IPV6的网站,这个我们以后再说。

 

对于买了vultr2.5刀月付亚特兰大和新泽西没法用的VPS的朋友,不要沮丧。除了一些博主们提供的先选择一个同机房5刀的实例保留IP,然后删掉再开2.5刀的给他添加上刚才保留下来的IPV4地址的方法就能临时应急了。不过为了防止万一被发现,我们还是建议这种机器无论是科学还是做站还是套CDN做域名解析使用更简单。在做解析的时候一定得开启CDN,如果关了就无法访问了。

 

我们以后会介绍如何在IPV4环境下访问IPV6的服务器

 

CNAME记录

 

CNAME记录的真名叫别名记录,他的记录内容就不是IP地址了,而是一个域名。所谓别名,就是填写一个你要解析到的域名并使用这个域名的解析记录也就是连接这个域名所解析到的IP地址,这就是CNAME。

 

 

其他的比如MX电子邮件记录这类的可以直接使用你所购买或者注册到的企业邮箱官方所提供给你的解析记录的设置要求进行设置和添加解析,这里不再特别描述。

 

以上就是一些加密设置的叙述和域名解析的简要介绍,通过上面的示例介绍大家应该对CF的简单使用有了一定的认识,CF的很多新姿势正在等待着大家的发现。还是默念一句,CF是个好东西。

发表评论

邮箱地址不会被公开。 必填项已用*标注

26 − = 17