Cloudflare 如何设置 15 年的 SSL 源证书

创建于: June 2, 2026 , 更新于: June 2, 2026 | Cloudflare

使用 Cloudflare 颁发的源证书与自己的服务器通信，可以免除 Let’s Encrypt 定期续签的限制。

封面图

🔥 0. 前言

什么是 Cloudflare 源站证书？这是 CF 官方免费提供给开发者的长期受信任证书（最长可选 15 年，相当于永久）。

以下是保姆级全栈配置步骤，10分钟内彻底一劳永逸：

Step 1: 在 Cloudflare 后台生成 15 年证书

登录 Cloudflare 控制台，域名(Domain) -> 自己的域名(uncle-it.com)。
点击左侧菜单的 SSL/TLS -> 源服务器(Origin Certificates) -> Origin 证书。
点击 “Create Certificate” (创建证书)。
保持默认配置不变（包含你的根域名和泛域名），在下面的 Certificate Validity (证书有效期) 下拉框中，果断选择 15 years (15年)。
点击 Create (创建)。
屏幕上会弹出一个框，塞满了密密麻麻的文本，先别关掉这个网页。我们需要里面的两段关键钥匙：
- Origin Certificate (源站证书)：复制框里的所有内容，在本地新建个文本存为 cf.crt。
- Private Key (私钥)：复制框里的所有内容，在本地新建个文本存为 cf.key。
- 下载 Cloudflare 官方的 Root 证书 Cloudflare Origin RSA PEM，保存文件名为：origin_ca_rsa_root.pem，相关文档: Cloudflare 开发文档 - Cloudflare 源 CA。
  上面 cf.crt 和 cf.key 这 2 个证书最后有没有多一行空行都没问题，最好保持默认的多一个空行。

Step 2: 把这套“永久证书”手动录入 NPM 现在我们要把这两把钥匙喂给你的 Nginx Proxy Manager 容器。

登录你的 NPM 管理后台。
点击顶部导航栏的 “SSL Certificates” (SSL 证书管理)。
点击右上角的 “Add SSL Certificate” -> 选择 “Custom” (自定义)。
弹窗中：
- Name: 随便起个威武的名字，比如 Cloudflare-15Years。
- Certificate Key: 点击选择你刚刚保存的 cf.key 文件。
- Certificate: 点击选择你刚刚保存的 cf.crt 文件。
- Intermediate Certificate: 点击选择你刚刚保存的 origin_ca_rsa_root.pem 文件。
点击 Save。这样，这套 15 年的终极证书就稳稳躺在你的 NPM 数据库里了。

Step 3: 将证书绑定给 OpenClaw 域名

在 NPM 里回到 “Hosts” -> “Proxy Hosts”，编辑你的域名，比如 openclaw.uncle-it.com。
切换到 SSL 选项卡。
在 SSL Certificate 下拉菜单中，精准选择你刚才录入的 Cloudflare-15Years。
下面的开关做如下对齐：
- Force SSL：开启（变绿）。
- HTTP/2 Support：关闭（灰色）（防范之前的协议冲突）。
- Websockets Support：在 Details 选项卡里确保依然是开启(如果业务里需要用到 Websockets)。
点击 Save。

Step 4: 回到 Cloudflare 恢复极致安全，并重新点亮云朵 现在你的服务器已经拥有了 CF 15 年铁布衫证书保护，我们可以把安全策略拉满了：

cloudflare set dns

🏁 终极见证

现在，Cloudflare 代理彻底开启，流量链路变成了：浏览器 ──(CF全球证书加密)──► Cloudflare 节点 ──(CF 15年源站证书严格加密)──► 宿主机 NPM ──► OpenClaw裸机

清理浏览器缓存（或者开无痕模式），直接访问你的域名，比如 https://openclaw.uncle-it.com/

如果之前报 525、526 自签名等报错全部烟消云散，绿色的安全锁高高挂起。

未来 15 年里，你再也不用为这台服务器上的这个域名的 SSL 证书操半点心了！

Tags: