Digital Ocean的负载均衡器可以自己创建一个LE证书，但前提是你必须使用他们的域名系统。

我有一个设置，其中Cloudflare是他们CDN/安全功能的域名，但我使用的是Digital Ocean的负载均衡器。在此设置中，无法从负载均衡器生成证书。对于如何做这件事有什么建议吗？Hi@Tanner，

我不确定这种情况以前是否在我们的论坛上出现过。在我看来，有很多方法可以做到这一点，但它们可能与数字海洋的设置不是很好地集成在一起。

我对这两个服务如何交互感到有点困惑。Cloudflare是否指向DO负载均衡器作为源站？(如果是这样，为什么这是必要的？您是否仍会因为独特的内容或数据库事务而收到海量的原始请求？)

我认为这种配置中最简单的情况可能是根本不使用We‘s Encrypt，而是使用Cloudflare的原始CA服务

Cloudflare博客-5月3日

CloudFlare源CA

2014年秋季，CloudFlare推出了通用SSL，并将可通过HTTPS访问的互联网站点数量增加了一倍。在短短几天内，我们发布了保护数百万客户域名的证书，并成为保护...

通过这项服务，您可以获得免费的非公开信任证书，您可以将其安装在DO上，以保护Cloudflare和DO之间的交互。此证书的有效期为10年(仅适用于Cloudflare的连接)，因此无需更新。这可以说比使用受公众信任的CA证书更安全。嘿@Schoen非常感谢您的迅速响应。就像你说的那样

CloudFlare DNS->执行负载均衡器->Web App1/2

一个VM可能可以通过缓存来处理请求，但我试图解决的是冗余，这样我就可以灵活地关闭或修改服务器，以防将来需要扩展。

由于Cloudflare有严格而灵活的HTTPS服务，如果我启用了严格，那就意味着我需要在作为源服务器的DO负载均衡器上安装证书，对吗？那么负载均衡器背后的服务器是http吗？如果它们是HTTPS，会不会有什么问题？CloudFlare https->是否执行负载均衡器https->Web应用程序https？，刚刚尝试使用Cloudflare Origin CA并将其添加到负载均衡器，但这就是即将出现的情况

Screenshot_102818_044316_AM.jpg792×85141.9 KB，制革：

CloudFlare是其CDN/安全功能的域名

你是真的在使用他们的CDN服务，还是只是在使用域名服务？仅当与CDN结合使用时，源CA才有用。如果你不使用CDN，那么它对你没有帮助。

如果想要在某些子域使用CDN，而不是其他子域，也许您可以尝试使用NS记录将其他子域委托给Digital Ocean的名称服务器。(我不知道这是否有效)，哦，对不起，我想我可能误解了你是如何使用Cloudflare的，那么。但我认为“对于他们的CDN/安全功能”意味着Cloudflare实际上正在终止TLS连接，并且您已经在您的Cloudflare帐户中将DO基础设施配置为源服务器。如果我将使用他们的CDN服务，我不太清楚证书是如何工作的，所以我暂时关闭了他们的代理，以查看负载均衡器是否可以与Cloudflare证书一起工作。我猜它不会的，除非，就像你说的，代理关闭了。

所以在这种情况下我需要

打开CloudFlare代理

负载均衡器上安装的CloudFlare源CA

将http调用转发到应用程序的负载均衡器？

应用程序服务器上没有证书就可以了吗？

如果它们位于同一个局域网或VPN上，并且您相信没有人能够恶意访问该网络，则Tanner：

我认为这与应用服务器是http，而Cloudflare和负载均衡器使用HTTPS有关。有什么建议吗？

我猜这可能是因为进入Web服务器的连接总是HTTP，所以WordPress不知道什么时候它不需要重定向。

一种解决方案可能是在WordPress配置中将其保留为HTTP，而在Cloudflare中进行更改，使用“始终使用HTTPS”和“自动HTTPS重写”选项。，jmorahan：

一种解决方案可能是在WordPress配置中将其保留为HTTP，而在Cloudflare中进行更改，使用“始终使用HTTPS”和“自动HTTPS重写”选项。

有趣的是，在Cloudflare中，我一直使用HTTPS和自动重写HTTPS。在主页上，它将显示有不安全的脚本-现在我已经测试过，即使我将站点URL和主页URL修改为http或https，也会显示此警告

Screenshot_102818_072620_PM838×146144KB，一个帖子只能添加一个截图。这是“不安全内容”警告，好的…所以我并不是那么聪明。我继续在负载均衡器和两个应用程序服务器上安装证书，一切都很好！