Cloudflare作为全球领先的云安全与加速服务提供商，其免费方案已能满足多数中小型网站的需求 —— 通过免费CDN加速全球访问、免费SSL证书实现HTTPS加密，同时提供DDoS防护、缓存优化等附加功能。本文将详细讲解Cloudflare免费CDN与SSL证书的部署全流程，从账号注册到最终验证，涵盖域名解析配置、CDN规则设置、SSL模式选择等核心环节，帮助用户快速完成部署并规避常见问题。

部署前的准备工作

在开始部署前，需完成三项基础准备，确保后续流程顺利进行：

1. 域名与服务器环境确认

• 域名所有权：需拥有一个已注册的域名（如example.com），且能访问域名注册商的管理后台（用于修改DNS服务器）；
• 网站服务器：网站需已部署在云服务器（如阿里云ECS、腾讯云CVM）或虚拟主机上，且能通过IP地址或原始域名正常访问；
• 记录信息收集：记录当前域名的DNS解析记录（如 A 记录指向服务器 IP、CNAME记录指向子域名），避免迁移后解析丢失。

2.Cloudflare账号注册

• 访问Cloudflare官网，点击 “Sign Up” 注册账号，使用邮箱验证后登录；
• 注册时建议使用企业邮箱或常用个人邮箱，便于接收重要通知（如域名验证、安全告警）。

3. 了解免费方案的核心功能

Cloudflare免费方案包含以下关键功能，足以支撑基础的加速与安全需求：

• CDN加速：全球 275 + 节点分发静态资源（图片、CSS、JS），动态内容智能路由；
• SSL证书：免费提供通用名称证书（UCC），支持主域名及子域名的HTTPS加密；
• DDoS防护：自动拦截 Layer 3/4 小型DDoS攻击，基础CC攻击防护；
• 缓存规则：简单的页面缓存与浏览器缓存控制；
• DNS管理：免费DNS解析服务，支持A、CNAME、TXT等常见记录类型。

注意：免费方案有部分限制（如无WAF高级规则、缓存容量有限），但对多数个人网站和中小企业已足够实用。

第一步：添加域名并完成DNS迁移

将域名接入Cloudflare的核心是将DNS解析权迁移至Cloudflare的服务器，这是启用CDN与SSL的前提。

步骤 1：添加域名至Cloudflare

• 登录Cloudflare控制台，点击 “Add a Site”，输入需接入的域名（如example.com），点击 “Add Site”；
• 选择方案：免费方案（Free）足够入门，点击 “Confirm Plan” 进入下一步。

步骤 2：导入现有DNS记录

• Cloudflare会自动扫描域名当前的DNS解析记录（可能需要几分钟），扫描完成后显示记录列表；
• 检查并补充记录：

a. 确保 A 记录（指向服务器 IP）、CNAME记录（子域名解析）完整，缺失的记录需手动添加（点击 “Add record”）；

b.注意区分 “DNSOnly” 与 “Proxied”：默认情况下，Cloudflare会将记录标记为 “Proxied”（橙色云朵图标），表示通过CDN加速；若某条记录无需加速（如邮件MX记录），需切换为 “DNSOnly”（灰色云朵图标）。

• 确认无误后，点击 “Continue” 进入DNS服务器设置。

步骤 3：修改域名的DNS服务器

• Cloudflare会分配一对专属DNS服务器（如emma.ns.cloudflare.com和roan.ns.cloudflare.com）；
• 登录域名注册商（如阿里云、GoDaddy）的管理后台，找到域名的 “DNS服务器” 设置，删除原有服务器地址，替换为Cloudflare提供的DNS服务器；
• 保存设置后，返回Cloudflare控制台点击 “Done, check nameservers”。

注意：DNS服务器变更的生效时间通常为 24-48 小时（国内域名可能更快），期间网站可正常访问，但Cloudflare的功能尚未激活。可通过nslookup -type=NS example.com命令检查生效状态，当返回Cloudflare的DNS服务器时，说明迁移完成。

第二步：配置CDN加速规则

DNS迁移完成后，Cloudflare会自动启用基础CDN功能，但若需针对网站特性优化，需进一步配置缓存与加速规则。

1. 缓存级别与模式设置

• 进入控制台的 “Caching”→“Configuration” 页面：

a. Cache Level（缓存级别）：推荐选择 “Standard”（标准），缓存所有静态资源；若网站动态内容较多（如论坛），可选择 “Ignore Query Strings”（忽略URL参数）避免重复缓存；

b. Browser Cache TTL（浏览器缓存时间）：设置静态资源在用户浏览器中的缓存时长，推荐 “1 day”（1 天），减少重复请求；

c. Cache Expiration（CDN节点缓存时间）：默认由Cloudflare自动管理，无需手动修改。

2. 缓存规则定制（可选）

• 对于特殊需求（如某类文件不缓存、特定路径强制缓存），可在 “Caching”→“Page Rules” 中添加规则：

a. 例 1：对图片目录强制缓存 ——URL匹配example.com/images/*，设置 “Cache Level” 为 “Cache Everything”；

b. 例 2：对动态 API 不缓存 ——URL匹配example.com/api/*，设置 “Cache Level” 为 “Bypass”。

• 免费方案最多支持 3 条页面规则，需合理规划。

3. 静态资源优化

• 进入 “Speed”→“Optimization” 页面，开启以下功能提升加载速度：

a. Auto Minify：自动压缩 HTML、CSS、JS文件（注意：若网站代码存在不规范语法，可能导致压缩后出错，建议先备份）；

b. Brotli Compression：启用 Brotli 压缩算法（比Gzip压缩率更高），需服务器支持（现代服务器通常已兼容）；

c. Rocket Loader：延迟加载非关键JS脚本，优先渲染页面内容（可能与部分网站的JS交互冲突，建议测试后启用）。

第三步：配置免费SSL证书与HTTPS

Cloudflare免费提供SSL证书，且无需手动下载安装，通过控制台配置即可实现全站HTTPS加密。

步骤 1：选择SSL加密模式

• 进入 “SSL/TLS”→“Overview” 页面，SSL模式决定加密强度与兼容性，推荐根据网站受众选择：

a. Flexible（灵活模式）：客户端到Cloudflare加密，Cloudflare到服务器不加密（HTTP）。适用于服务器未部署SSL证书的场景，但存在 “中间人风险”（不推荐生产环境）；

b. Full（完整模式）：客户端到Cloudflare加密，Cloudflare到服务器加密（HTTPS），但不验证服务器证书有效性。适用于服务器已部署自签名证书或过期证书的场景；

c. Full (strict)（完整严格模式）：客户端到Cloudflare加密，Cloudflare到服务器加密且验证服务器证书有效性（必须是受信任CA签发的证书）。推荐生产环境使用，安全性最高；

d. Off：禁用SSL（不推荐，会导致浏览器提示不安全）。

配置建议：若服务器未安装SSL证书，可先选择 “Flexible” 临时过渡，后续再部署服务器证书并切换至 “Full (strict)”；若服务器已有有效证书，直接选择 “Full (strict)”。

步骤 2：启用HTTPS强制跳转

• 进入 “SSL/TLS”→“Edge Certificates” 页面，开启 “Always Use HTTPS”：自动将所有HTTP请求跳转至HTTPS，避免用户访问未加密的页面；
• 若需更精细的跳转规则（如仅对特定路径跳转），可在 “Page Rules” 中添加规则：URL匹配http://*example.com/*，设置 “Always Use HTTPS” 为 “On”。

步骤 3：验证SSL证书部署

• 等待 5-10 分钟（证书自动签发时间），通过浏览器访问域名：

a. 地址栏显示 “锁标”，点击锁标可查看证书信息，颁发者为 “Cloudflare, Inc.”；

b. 使用在线工具（如SSL Labs的SSL Test）检测，评级达到 “A” 或 “A+” 即为正常；

c. 检查子域名（如blog.example.com）是否同样启用HTTPS，Cloudflare免费证书默认支持所有子域名。

常见问题：若证书提示 “无效” 或 “不被信任”，可能是SSL模式与服务器配置冲突（如 “Full (strict)” 模式下服务器证书无效），需检查服务器证书状态或降低SSL模式排查。

第四步：安全与附加功能配置

Cloudflare的免费方案还提供多项安全功能，可进一步提升网站防护能力。

1. DDoS与爬虫防护

• 进入 “Security”→“Settings” 页面：

a. Security Level：推荐 “Medium”（中等），自动拦截已知恶意IP，允许正常用户访问；

b. Bot Fight Mode：开启后自动识别并拦截恶意爬虫（如垃圾评论机器人），但可能影响部分合法爬虫（如搜索引擎），建议测试后启用。

2. 防火墙规则（基础）

• 免费方案提供 5 条基础防火墙规则，可在 “Security”→“WAF”→“Firewall Rules” 中配置：

a. 例：拦截特定国家 / 地区的访问 —— 规则名称 “Block CN”，条件 “IP Country is China”，动作 “Block”；

b. 例：仅允许特定IP访问管理后台 —— 规则名称 “Allow Admin IP”，条件 “URI Path contains /admin ANDIPAddress is 1.2.3.4”，动作 “Allow”。

3. 缓存清除（必要时）

• 若修改网站内容后未实时更新（如静态文件更新），可在 “Caching”→“Configuration” 中点击 “Purge Cache”：

a. “Purge everything”：清除所有缓存（适用于大规模更新）；

b. “Purge by URL”：仅清除指定 URL 的缓存（如https://example.com/style.css）。

部署后的优化与监控

完成基础部署后，通过Cloudflare的监控工具分析性能，并针对性优化。

1. 性能监控与分析

• 进入 “Analytics”→“Speed” 页面：查看全球访问速度分布、缓存命中率（目标≥70%）、静态资源加载时间等指标；
• 若缓存命中率低，检查是否动态内容过多，可通过 “Page Rules” 对可缓存的动态页面设置 “Cache Everything”。

2. 全球访问优化

• 进入 “Network” 页面，开启 “HTTP/2” 和 “HTTP/3 (with QUIC)”：提升连接复用效率，减少延迟（需浏览器支持）；
• 若网站主要面向国内用户，可在 “Speed”→“Optimization” 中关闭 “Cloudflare CDN” 对部分静态资源的加速（如大图片），避免跨境节点导致的延迟增加（需结合实际访问速度测试）。

3. 定期维护建议

• 每周检查 “Security”→“Events” 页面，查看是否有异常攻击记录，必要时调整防火墙规则；
• 每月通过SSL Labs检测证书状态，确保HTTPS配置无漏洞；
• 当域名解析需要修改时，直接在Cloudflare的 “DNS” 页面操作，无需登录域名注册商后台。

常见问题与解决方案

1. 网站访问变慢或打不开？

• 检查DNS状态：确认域名已指向Cloudflare的DNS服务器，且解析记录的云朵图标为橙色（Proxied）；
• 切换CDN节点：若某地区访问慢，可在 “Network” 中关闭 “Onion Routing”（洋葱路由），或通过 “Cache Rules” 调整缓存策略；
• 排查规则冲突：若配置了过多Page Rules，可能导致规则冲突，可暂时禁用非必要规则测试。

2.SSL证书提示 “不安全”？

• 检查SSL模式：“Flexible” 模式下若服务器返回HTTPS内容，可能导致混合内容错误，需切换至 “Full” 模式；
• 修复混合内容：浏览器控制台若提示 “mixed content”（混合内容），需将网站内的http://链接改为https://（可通过 “SSL/TLS”→“Edge Certificates” 开启 “AutomaticHTTPSRewrites” 自动修复）。

3. 搜索引擎抓取异常？

• 进入 “Crawlers” 页面，确保 “Search Engine Crawler Optimization” 已开启，允许搜索引擎正常抓取；
• 在 Google Search Console 或百度资源平台验证网站，使用Cloudflare的IP段（可在官网查询）避免爬虫被误拦截。

Cloudflare免费方案以极低的成本（零费用）为网站提供了CDN加速、SSL加密、基础安全防护的一站式解决方案，尤其适合个人博客、中小企业官网等场景。部署过程的核心在于正确完成DNS迁移、选择合适的SSL模式，并根据网站特性优化缓存规则。

需注意的是，免费方案的功能有限，若网站有更高需求（如更高防护等级、全球负载均衡），可考虑升级至付费方案。

Dogssl.cn拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!