如何在使用 cloudflare 的基础上进行双向 tls 验证

CDN 的工作方式就是一种中间人
所以你想要双向认证是做不到的，否则 CDN 还怎么缓存数据？

cloudflare 有一种 keyless mode，能够在不持有私钥，不影响握手的情况下解密数据。但是不知道是否能支持双向。建议你向 cloudflare 客服咨询。这是企业版功能，价钱肯定不便宜

cf 的不了解，百度智能云 CDN 和阿里云 CDN 支持，可以试试。阿里云的没开放控制台自助配置，要提交工单问。

cloudflare 可以配置客户端证书，但是需要用 cloudflare 的 CA 来签发，无法使用自己的 CA
https://developers.cloudflare.com/ssl/client-certificates

可以做到，TLS Passthough 模式，高级版或企业版才有。
https://developers.cloudflare.com/spectrum/

@ruixue @ZeroClover 不太放心把客户 dn 信息放 cf

@9yu 了解了我看一下谢谢

@eason1874 😂阿里云看过了，有个 scdn 要六千多一个月。。域名数 20 还不给改

@sxbxjhwm 不如简单改造一下业务适应 Cloudflare 。

双向 TLS 验证环节独立出来做一个登录服务，部署在自己的服务器或者亚马逊、阿里云的 API 网关（这些支持 HTTPS 双向认证），用户证书验证后带令牌跳转访问在 Cloudflare 的业务域名。

业务域名通过 Cloudflare Workers 的边缘脚本验证令牌，通过才把请求转到后端。令牌可以是 JWT，也可以允许吊销，Workers 支持 KV 键值存储。Workers 也不贵，每天 10 万次免费，付费最低 $5/mo 支持一千万请求了。

这样主业务依然受 Cloudflare 防护，万一登录服务被攻击，临时不能登录也不影响已登录用户，影响不会太大。

@eason1874 好像挺有意思的，我去研究研究，估计改造起来挺麻烦的，那业务一半都是操作证书的，本身有一套的签发吊销续签功能，改的话估计都得改成调 api