Cloudflare 免费及大部分付费套餐默认使用自动签发的边缘证书，不支持直接上传自定义证书替换边缘证书；自定义上传功能通常仅限企业版或高级证书管理器。对于大多数用户，正确做法是启用 Cloudflare 自动颁发的通用 SSL 证书，并在源站部署 Cloudflare 源服务器证书以确保回源安全。

快速处理思路

由于 dashboard 操作依赖套餐权限，标准用户应优先配置自动 SSL 模式并安装源证书。登录 Cloudflare 控制台后，进入 SSL/TLS 概述页面，将加密模式设置为 Full (strict)，然后在源服务器选项卡中创建并下载源证书部署到本地 Nginx 或 Apache 服务器。

为什么会这样

Cloudflare 的 SSL 架构分为边缘证书和源服务器证书两部分，边缘证书用于用户到 Cloudflare 节点的加密，源证书用于 Cloudflare 节点到您服务器的加密。标准套餐下，边缘证书由 Cloudflare 统一管理和签发以确保全球节点兼容性，因此不允许用户上传自定义证书替换；只有企业版或特定高级功能才开放自定义边缘证书权限，而源服务器证书则允许用户生成并自定义部署。

分步处理

第一步：确认域名托管状态
登录 Cloudflare 控制台，查看域名右上角状态栏，只有显示 Active 才代表 Cloudflare 已正式接管 DNS 解析，此时才能下发和绑定证书。若仍为 Checking nameservers 或 Pending，请返回域名注册商处核对 NameServer 是否已完整替换为 Cloudflare 提供的地址。

第二步：设置 SSL/TLS 加密模式
点击左侧菜单 SSL/TLS 至概述页面，在 SSL encryption mode 下拉框中选择 Full (strict)。若源站未部署证书则选 Flexible，但严禁选 OFF，否则所有 HTTPS 请求都会被降级到 HTTP，浏览器地址栏不会显示锁图标。

第三步：创建并部署源服务器证书
在 SSL/TLS 菜单下点击源服务器，点击创建证书，密钥生成方式推荐让 Cloudflare 生成私钥和 CSR。有效期设置下拉菜单务必手动选择 15 年，保存源证书和私钥后，将其配置到您的源站 Web 服务器（如 Nginx/Apache）中，丢失私钥则需重新创建。

第四步：开启强制 HTTPS 跳转
仍在 SSL/TLS 菜单下，点击边缘证书，找到 Always Use HTTPS 并将开关拨至 ON。开启后，所有 HTTP 请求将 301 重定向至 HTTPS，Google 搜索结果也会逐步更新为 https 链接。

怎么验证是否生效

使用浏览器访问域名，检查地址栏是否显示锁图标且无混合内容警告。若页面样式错乱或功能异常，需在边缘证书页面开启 Automatic HTTPS Rewrites，Cloudflare 会实时扫描响应内容，把页面中可升级的 http 资源自动改写成 https。也可使用 SSL Labs 等工具检测证书链完整性，确保证书颁发者符合预期。

常见坑

部分虚拟主机或老旧面板的高级功能可能与 CF DNS 存在兼容限制，导致源证书无法安装。纯免费节点在国内访问速度可能存在波动，建议按需搭配智能解析或国内加速线路。首次开启 Always Use HTTPS 可能因缓存延迟失败，刷新页面再点一次即可生效。

常见问题

免费套餐能上传自定义边缘证书吗？

不能，免费套餐仅支持 Cloudflare 自动签发的通用 SSL 证书，自定义边缘证书通常仅限企业版。

源服务器证书有效期是多久？

Cloudflare 提供的源服务器证书最长可选 15 年有效期，完全免费且支持通配符域名。

为什么开启了 HTTPS 还是显示不安全？

可能是页面内存在 http 开头的图片或脚本资源，需开启自动 HTTPS 重写功能修复混合内容。

参考来源

• Cloudflare 免费 CDN 怎么配置 SSL 证书？免费 HTTPS 加密部署教程
• 免费玩转 Cloudflare-02:Cloudflare 15 年免费通配符 SSL 证书保姆级教程
• Cloudflare 免费 SSL 配置使用教程
• Cloudflare 域名托管全攻略，白嫖全球最快 CDN 与免费 SSL 证书