cf 提供两个服务,这两个服务作用是不一样的,1. DNS 解析服务; 2. cdn 服务。
你可以只使用 dns 解析服务,而关闭 cdn 服务(关闭解析记录后面的小云朵就行),这个时候只是通过 cf 的 nameserver 解析你的域名到你设置的 ip ,相当于域名解析托管在 cf 。
开启 cdn 服务的时候,解析到 cf 的 ip (一般都是 anycast ip ),也就是访问域名实际上先访问 cf 的边缘服务器,然后 cf 服务器回源请求你的服务器,获取资源,这个过程中某些静态资源可能会被 cf 缓存以加速访问,你也可以自己设置缓存的内容和 TTL 。这个过程有一个问题,就是实际访问你的源服务器的是 cf 的 ip 地址,真实 ip 会放在请求头里面,所以如果你想获取真实用户 ip 需要处理一下。
cf 的 origin certificate 只能用在 cf 的服务器回源用,也就是用于源服务器和 cf 之间的通信,如果你想申请一个“真正”通用的证书,要不然买,要不然用 LE 之类的免费证书。
LE 证书申请现在用很多自动化工具,certbot 、
acme.sh 等等,操作都比较简单,仔细看一遍文档。要注意的是 LE 的申请请求有频率限制,短时间内请求太多(包括申请失败)会被封禁,需隔一段时间再申请。