تفعيل وتعطيل شهادة SSL الشاملة من Cloudflare - دليل عملي وآمن لمسؤولي الخوادم والمطورين
من خلال هذا الدليل، ستتعرف على التفاصيل الكاملة والتقنية لتمكين وتعطيل بروتوكول SSL العالمي في Cloudflare وتطبيق إعدادات أمان أكثر كفاءة.

تفعيل وتعطيل شهادة SSL الشاملة من Cloudflare - دليل عملي وآمن لمسؤولي الخوادم والمطورين

  • 30 المشاهدات
  • قراءة دقيقة واحدة
سنشرح في هذه المقالة بالتفصيل، وبشكل تقني، كيفية تفعيل وتعطيل خدمة SSL الشاملة على Cloudflare. سيساعدك هذا الدليل على الاستفادة القصوى من هذه الخدمة لتأمين موقعك. تعرّف على كيفية تفعيلها وتعطيلها، واطلع على إعدادات الأمان.
إلهي
  • 7 فبراير 2026
0 الأسهم
0
0
0
0
0
الأسهم
0
0
0
0
  1. لماذا من المهم إعداد بروتوكول SSL الشامل على Cloudflare؟
  2. ما هو نظام SSL العالمي وكيف يعمل؟
    1. أوضاع SSL
  3. لماذا قد تقوم بتعطيل خدمة SSL الشاملة؟
  4. خطوات تفعيل شهادة SSL الشاملة (لوحة التحكم)
  5. تعطيل بروتوكول SSL العالمي (لوحة التحكم)
  6. تعطيل/تفعيل عبر واجهة برمجة التطبيقات (مثال)
  7. استخدم شهادة Cloudflare الأصلية (موصى بها للشهادات الكاملة (الصارمة))
  8. تثبيت شهادة Let's Encrypt في وجود Cloudflare
  9. استكشاف الأخطاء الشائعة وإصلاحها
  10. نصائح أمنية وتشغيلية
  11. نصائح لتحسين محركات البحث والأداء
  12. قائمة التحقق النموذجية قبل إيقاف تشغيل Universal SSL
  13. الخلاصة والتوصيات
  14. الدعم الفني والخدمات ذات الصلة
  15. الأسئلة الشائعة

لماذا من المهم إعداد بروتوكول SSL الشامل على Cloudflare؟

بالنسبة لمديري المواقع الإلكترونية، ومهندسي DevOps، ومستخدمي الخوادم الافتراضية الخاصة أو الخوادم السحابية، من الضروري ضبط بروتوكول SSL بشكل صحيح بين المستخدم النهائي، وCloudflare Edge، والخادم الأصلي. قد يؤدي اختيار وضع SSL غير المناسب أو سوء إدارة الشهادات إلى أخطاء HTTPS، أو حلقات إعادة توجيه، أو حتى انخفاض مستوى أمان الاتصال.

ما هو نظام SSL العالمي وكيف يعمل؟

خدمة Universal SSL هي خدمة من Cloudflare تُصدر وتُثبّت شهادة TLS/SSL مجانية وتلقائية على حافة Cloudflare للنطاقات التي تستخدم شبكة توصيل المحتوى/الوكيل الخاص بـ Cloudflare. تُشفّر هذه الشهادة اتصالات المستخدم النهائي حتى حافة Cloudflare، ولكن التشفير بين Cloudflare وخادم المصدر يتطلب إعدادًا منفصلاً.

أوضاع SSL

الأوضاع الرئيسية التي يمكن تحديدها في لوحة تحكم Cloudflare هي:

  • عن: لا يتم استخدام تشفير HTTPS بين المستخدم وشركة Cloudflare.
  • مرن: يتم تشفير اتصال المستخدم مع Cloudflare، ولكن يتم إنشاء اتصال Cloudflare مع Origin عبر بروتوكول HTTP (بدون TLS) — عادة ما يكون ذلك غير ضروري وقد يتسبب في مشاكل أمنية وحلقات إعادة توجيه..
  • ممتلىء: يتم إنشاء الاتصال بالمصدر باستخدام TLS، لكن Cloudflare لا تتحقق من صحة شهادة المصدر.
  • كامل (صارم): يتم إنشاء الاتصال بالأصل باستخدام TLS ويتحقق Cloudflare من صحة شهادة الأصل (يجب التحقق من صحة الشهادة بواسطة CA موثوق به أو CA الأصل).

لماذا قد تقوم بتعطيل خدمة SSL الشاملة؟

تشمل الأسباب الشائعة لتعطيل بروتوكول SSL العالمي ما يلي:

  • يتطلب ذلك تحميل شهادة حافة مخصصة إلى Cloudflare (عادةً في خطط الأعمال/المؤسسات).
  • استكشاف الأخطاء وإصلاحها واختبار HTTPS مباشرة على Origin دون المرور عبر حافة Cloudflare.
  • استخدام شبكة توصيل محتوى أخرى أو موازن تحميل يجب أن يوفر شهادته الخاصة.
  • تعارض بين إعدادات SSL/التخزين المؤقت أو الحاجة إلى تثبيت شهادة wildcard/EV على الحافة.

خطوات تفعيل شهادة SSL الشاملة (لوحة التحكم)

خطوات التفعيل عبر لوحة تحكم Cloudflare:

  1. قم بتسجيل الدخول إلى لوحة تحكم Cloudflare وحدد النطاق (المنطقة).
  2. إلى القسم SSL/TLS يذهب.
  3. قم بتفعيل وضع SSL. كامل (صارم) أو ممتلىء المكان (اقتراح): كامل (صارم)).
  4. في القسم شهادات إيدج، خيار بروتوكول SSL العالمي عادةً ما يكون مُفعّلاً افتراضياً. إذا كان مُعطّلاً، فانقر على زر "تفعيل".
  5. انتظر - قد يستغرق إصدار ونشر الشهادة على شبكة توصيل المحتوى (CDN) ما يصل إلى 24 ساعة، ولكن عادة ما يتم الانتهاء منها في غضون بضع دقائق إلى بضع ساعات.

تعطيل بروتوكول SSL العالمي (لوحة التحكم)

خطوات إلغاء التفعيل:

  1. يدخل SSL/TLS > شهادات الحافة الشبت.
  2. في القسم بروتوكول SSL العالمي، تعطيل الزر (إبطاليختار ).
  3. إذا كنت ترغب في الحفاظ على HTTPS دون انقطاع، فيجب عليك الحصول على شهادة حافة بديلة وتثبيتها (شهادة مخصصة تم تحميلها) قبل تعطيل Universal SSL (المتوفر في خطط Business/Enterprise أو أعلى).
  4. لاحظ أنه حتى يتم تثبيت الشهادة الجديدة، سيواجه مستخدمو HTTPS خطأً.

تعطيل/تفعيل عبر واجهة برمجة التطبيقات (مثال)

لأغراض الأتمتة، يمكنك استخدام واجهة برمجة تطبيقات Cloudflare. أولاً، احصل على مُعرّف المنطقة، ثم غيّر حالة شهادة SSL الشاملة.

الحصول على مُعرّف المنطقة (مثال):

curl -s -X GET "https://api.cloudflare.com/client/v4/zones?name=example.com" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json"

تغيير حالة SSL الشاملة (مثال):

curl -s -X PATCH "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/settings/universal_ssl" \
 -H "X-Auth-Email: [email protected]" \
 -H "X-Auth-Key: $GLOBAL_API_KEY" \
 -H "Content-Type: application/json" \
 --data '{"value":"off"}'

لتفعيل هذه القيمة، اضبطها على ""على"" قم بالتغيير. (في حالة استخدام رمز API، قم بتعيين الرؤوس وفقًا لوثائق الرمز المميز.)

استخدم شهادة Cloudflare الأصلية (موصى بها للشهادات الكاملة (الصارمة))

ل كامل (صارم) أفضل طريقة للاستخدام منشأ كلاود فلير: كاليفورنيا والتي تصدر شهادة صالحة فقط بين Cloudflare و Origin؛ هذه الشهادة غير مناسبة لاتصالات المستخدم المباشرة مع Origin، ولكنها آمنة وبسيطة للاتصال بين Cloudflare و Origin.

خطوات سريعة:

  • في لوحة تحكم كلاود فلير، SSL/TLS → خادم المصدر يذهب.
  • إنشاء شهادة انقر، وحدد نوع RSA أو ECDSA، وحدد المجال/الرمز العام.
  • يقوم Cloudflare بإنشاء ملف PEM: شهادة و المفتاح الخاص تحميل.
  • ضع هذه الملفات على Origin (على سبيل المثال) /etc/ssl/cf_origin.pem و /etc/ssl/cf_origin.key).

مثال على تكوين Nginx مع شهادة المرجع المصدق الأصلية:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/ssl/cf_origin.pem;
    ssl_certificate_key /etc/ssl/cf_origin.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:...';
    ssl_prefer_server_ciphers on;

    root /var/www/html;
    index index.php index.html;
    ...
}

ثم في Cloudflare، اضبط وضع SSL على كامل (صارم) ضعها.

تثبيت شهادة Let's Encrypt في وجود Cloudflare

مشكلة شائعة: قد يفشل اختبار HTTP-01 إذا كان Cloudflare في وضع الوكيل (رمز السحابة البرتقالي). الحلول:

  • من تحدي DNS-01 استخدم (على سبيل المثال) certbot --preferred-challenges dns) — مطلوب للأحرف البديلة.
  • أو قم بإيقاف تشغيل الخادم الوكيل مؤقتًا (مسح السحابة) ثم أعد تشغيل الخادم الوكيل بعد إصدار الشهادة.
  • أو من منشأ كلاود فلير: كاليفورنيا استفد من (حل أبسط للحالة الكاملة (الصارمة)).

مثال على إصدار نظام أسماء النطاقات (DNS) باستخدام certbot (مع إضافة Cloudflare):

certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com -d '*.example.com'

استكشاف الأخطاء الشائعة وإصلاحها

الأخطاء الشائعة وحلولها:

  • خطأ 525 (فشلت عملية المصافحة SSL): فشلت عملية المصافحة بين Cloudflare و Origin — تحقق من تمكين Nginx/Apache باستخدام TLS ومن تثبيت شهادة Origin CA أو شهادة صالحة.
  • خطأ 526 (شهادة SSL غير صالحة): لم يتم التعرف على شهادة الأصل على أنها صالحة بواسطة Cloudflare - استخدم شهادة CA أصلية صالحة أو شهادة عامة وقم بتعيين الوضع إلى كامل (صارم).
  • حلقة إعادة التوجيه: عادةً ما يحدث هذا عندما يكون وضع SSL مُفعّلاً على الوضع المرن، ويكون لديك إعادة توجيه من http إلى https على المصدر. الحل: استخدم الوضع الكامل / الوضع الصارم.
  • وقت تفعيل بروتوكول SSL العالمي: قد يستغرق الأمر ما يصل إلى 24 ساعة؛ تحلى بالصبر وقم بمسح ذاكرة التخزين المؤقت لنظام أسماء النطاقات (DNS).

لإجراء فحص سريع:

openssl s_client -connect example.com:443 -servername example.com

التحقق من الاتصال من Cloudflare إلى Origin (على الخادم):

curl -vk --resolve example.com:443:198.51.100.10 https://example.com/

نصائح أمنية وتشغيلية

أفضل الممارسات والتدابير الأمنية:

  • دائماً من كامل (صارم) استخدم Cloudflare للتحقق من صحة شهادة الأصل.
  • إذا كنت تستخدم Cloudflare، فقم بتقييد عناوين IP المسموح بها للوصول إلى Origin بقائمة بيضاء؛ واسمح فقط بعناوين IP الخاصة بـ Cloudflare. قم بإدراج عناوين IP من قائمة عناوين IP الخاصة بـ Cloudflare احصل عليه وحافظ على تحديثه.
  • سيؤدي تفعيل بروتوكولي TLS 1.3 و HTTP/2 إلى تحسين الأداء. فعّل بروتوكول HSTS بحذر وبعد التأكد من صحة الإعدادات (قم بالتحميل المسبق فقط بعد إجراء اختبارات شاملة).
  • بالنسبة للمواقع الحساسة (التجار، والألعاب ذات زمن الاستجابة المنخفض، وعرض قواعد البيانات، والذكاء الاصطناعي): ضع Origin بالقرب من المستخدمين المستهدفين أو شبكات BGP ومراكز البيانات ذات الموقع المناسب لتحقيق أقل زمن استجابة.
  • استخدم الأنفاق الآمنة أو قواعد جدار الحماية لحركة المرور غير المتعلقة بالويب (مثل SSH أو TCP الخاص)؛ تم تحسين Cloudflare لحركة مرور الويب.

نصائح لتحسين محركات البحث والأداء

تأثير بروتوكول SSL الشامل وشبكة توصيل المحتوى (CDN) على تحسين محركات البحث والأداء:

  • إن تفعيل بروتوكول SSL العالمي على متصفح Edge يضمن أن يكون لدى المستخدمين دائمًا بروتوكول HTTPS - وهذا مفيد لتحسين محركات البحث.
  • يؤدي استخدام شبكة توصيل المحتوى (CDN) وشهادات الحافة إلى تقليل وقت مصافحة بروتوكول أمان طبقة النقل (TLS) للمستخدمين العالميين.
  • تأكد من إعداد إعادة التوجيه 301 من HTTP إلى HTTPS بشكل صحيح، وأنه ليس لديك محتوى مختلط (استخدم أدوات مثل Lighthouse أو Screaming Frog للتحقق).

قائمة التحقق النموذجية قبل إيقاف تشغيل Universal SSL

  • هل لديك شهادة طرفية بديلة؟ (إذا لم يكن لديك، فسيتعطل بروتوكول HTTPS)
  • هل لدى Origin شهادة صالحة في الوضع الكامل (الصارم)؟
  • هل عناوين IP الخاصة بـ Cloudflare مدرجة في القائمة البيضاء لجدار الحماية الأصلي؟
  • هل يستجيب المستخدمون وخدمات الطرف الثالث للتغييرات؟ (على سبيل المثال، مستهلكو واجهة برمجة التطبيقات)
  • هل تم اختيار الوقت المناسب (فترة انخفاض حركة المرور)؟

الخلاصة والتوصيات

يُعدّ نظام SSL الشامل تقنية تشفير طرفية قوية وبسيطة، وهي مناسبة لمعظم مواقع الويب والتطبيقات. يُنصح باستخدامه دائمًا. كامل (صارم) جنبا إلى جنب مع منشأ كلاود فلير: كاليفورنيا أو استخدم شهادة صالحة. يجب تعطيل بروتوكول SSL الشامل بحذر وفي حالات خاصة فقط.

الدعم الفني والخدمات ذات الصلة

إذا كنت تستخدم الخوادم المقدمة (مع مواقع عالمية، وخوادم سحابية ومخصصة، وخوادم رسومات GPU، وVPS للتداول والألعاب، وخدمات مكافحة DDoS، وCDN، ودعم BGP)، فيمكن للفريق التقني المساعدة في تثبيت Origin CA، وإعداد قواعد جدار الحماية لإدراج عناوين IP الخاصة بـ Cloudflare في القائمة البيضاء، أو تقديم المشورة بشأن أفضل تكوين SSL/TLS لأقل زمن استجابة وأعلى مستوى من الأمان.

الأسئلة الشائعة

في هذه المقالة:
,,,
تم كتابة التدوينة بواسطة:
يتبع
المقال السابق
المقال التالي
قد يعجبك أيضاً