关于CloudFlare验证边缘证书及其使用事项

avatar 2020年6月6日12:46:15关于CloudFlare验证边缘证书及其使用事项已关闭评论

本文网友投稿,原文:https://tea1.globalacca.top

本篇文章分成四个部分,第一个是cf的一些消息,第二个是等待边缘证书的事情,第三个是cf第三方的选择,第四个是对使用cf的站长们忠告。

一、有关cdn的消息:
两个月前的那篇讲述cname接入cf的文章中,提到过移动封锁了cf的一段地址,104.28.16.0/20一共16个c的长度,目前已经解封,具体解除日期不得而知,解封是好事,但是解封后的效果不如从前,在站长之家中进行了ping测试,除了安徽移动依旧是绿色的延迟两位数,江苏移动和浙江移动变得非常不稳定,要么超时要么是橙色的200到300多延迟,即使解封也几乎废了。
解封了一段,又有一段新的地址被封了,104.27.160.0/20还是16个c长度,也就是从104.27.160.0到104.27.175.255这些地址,移动宽带用户访问,根据上次的经验,估计也是阶段性封锁。

二、关于新域名的边缘证书验证:
先说下操作环境,本人cf使用的是笨牛网 (网址为https://cdn.bnxb.com) 作为第三方面板,方式为cname接入,(如何使用cname接入,上篇文章已经讲过了,不再累述)ssl等级为第三等级(全程-简易)
2.1 登录笨牛网,点击左上角的域名列表,点击你的域名;
2.2 点击解析设置,添加你的新域名,这里以nonono.baibu.xyz为例,输入nonono,类型A,回源地址写上你买的小鸡(或者虚拟空间)ip地址,点击提交,等待页面出现一个显示新增成功的对话框,点确定,页面自动刷新,下方将获得新域名对应的cname记录;
2.3 返回你的域名解析,本人使用的是namesilo自带的解析(如果你用的是dnspod等,请比葫芦画瓢),添加cname记录,分别输入你的新域名前缀,刚刚在笨牛获得的那串cname记录,3600,点击submit,等待页面自动刷新后,下方出现记录值,即成功;
2.4 返回笨牛网,点击ssl状态,由于namesilo解析的慢,所以最下方表格显示你的新域名为无解析记录,点击下载验证文件,得到一个txt,根据上部分表格显示的链接/记录,在你的网页根目录添加名为“.well-known”的文件夹(注意这个文件夹名字开头有个点),该文件夹里面再添加名为“pki-validation”的文件夹,继续进入这个文件夹,将刚才下载的txt上传进去,等待10分钟后去访问下那个以http开头txt结尾的超长的“链接/记录”,如果能显示出那串ca开头的“内容/值”的话,就可以了;
2.5 等待解析成功后,笨牛网ssl状态页面会有显示出记录和两个分值,继续等待cf自动验证;
2.6 快则1小时,慢则一晚上,漫长的等待后,状态变为active,链接/记录为空,内容/值显示ssl证书已颁发,彻底完成;
2.7 此时你的新域名网页的ssl证书显示为cf的,笨牛网里面就可以把ssl等级点成第四等级(全程-严格);
2.8 如果cname的ip被移动封锁了,返回namesilo里面,删除这条cname记录(因为相同的子域名cname和a是不能共存的),添加a记录,把域名指向你想要的cf点位ip就行了。

三、cf第三方的选择:
本人使用的是笨牛网作为cf的第三方,网上还有其他的cf第三方合作伙伴,诸如宿云 (网址为https://cf.9sep.org) ,感兴趣的话,大家都可以试试。宿云有个cfcn计划,不清楚是否还在运行(找人打听了一下,貌似结束了),其常见问题里面写了一段话 (原文链接https://cf.9sep.org/cloud/cfcn-about#how-to) ,这里引用下:
“该计划开始最主要目的是:希望自主改善Cloudflare在移动网络的访问性能(提高稳定性;以及部分CF IP被屏蔽问题);而不是被动等ISP放行、CF网络自动优化调整线路路由”,
很显然cf的一些点位被移动封锁,已经是个众所周知的问题,cfcn的计划主动更换点位去绕过移动的阶段性封锁,而不是被动的去等待移动解封或者cf官方优化。想法是很好,如果该计划还在运行,那对于使用分线路的智能解析(如dnspod)用户来说可以去试试。而本人用的是namesilo自带解析,没有划分国别,更没有分三大运营商线路,所以本人没用宿云。

四、给所有的移动用户和使用cf的站长们一些忠告:
所有使用移动宽带的用户们,当碰到某些博客网站无法访问的时候,请先检查是不是自己的线路出问题了,去站长之家,分别用移动和联通电信,去ping这个博客网址,如果移动全部超时而联通电信显示是cloudflare公司的ip的话,很可能是移动阶段性封锁了cf的cdn点位,再用你们的联通电信手机流量去访问网站,能访问就说明果然是这样了,好心的朋友可以去提醒下博客站长。
三月底的那个封锁,导致我自己的小站打不开了,这次五月底的封锁,是我在检查友链的时候发现某个友链打不开了,采用这个上述办法检查一遍,发现是移动的问题,作为友链,我提醒了那个站长。
这里再给使用cf的站长们一些忠告,多多关照下移动的访问情况,如果某天自己的网站打不开或者流失了一部分用户,请不要感到惊讶,大概率是移动的错。

avatar