这两者的权限范围和使用场景完全不同。可以把它们理解为“万能钥匙”与“专用工作证”的区别。
详细对比:
1. Global API Key (全局 API 密钥) —— “万能钥匙”
这是账户中权限最高的密钥。
权限: 拥有你账户的所有权限。它可以修改 DNS 记录、更改安全设置、删除站点、甚至修改你的账户资料。
范围: 跨越你账户下的所有域名(Zones)。
风险: 极高。如果这个密钥泄露,黑客可以接管你整个 Cloudflare 账户。
现状: Cloudflare 官方已将其列为“遗留方案(Legacy)”,不再推荐在日常脚本或第三方插件中使用。现在更推荐使用 API Tokens(可以只给特定域名、特定权限)。
2. Origin CA Key (源站 CA 密钥) —— “专用工作证”
这个密钥的功能非常单一,只和 SSL 证书有关。
权限: 仅用于通过 Cloudflare 的 API 申请、续签或吊销 Origin CA 证书(即安装在你自己服务器上的证书)。
范围: 仅限于证书管理相关的操作。
用途: 常见于一些自动化部署脚本(如 acme.sh 或某些服务器面板),用来自动从 Cloudflare 获取免费的源站证书,以实现 Cloudflare 与你服务器之间的加密通信。
风险: 较低。即使泄露,对方也只能帮你申请证书,无法改你的 DNS 或关闭你的防火墙。
—
核心区别
🔑 Cloudflare API 密钥对比表
| 特性 | Global API Key (全局密钥) | Origin CA Key (源站密钥) |
|---|
| 主要功能 | 管理整个账户(DNS、WAF、账户设置等) | 仅用于申请、续签或吊销源站 SSL 证书 |
| 权限大小 | 极高(等同于登录密码) | 极低(仅限证书 API 操作) |
| 安全性 | 风险极大,泄露可能导致丢号 | 风险可控,权限专款专用 |
| 典型场景 | 早期脚本、自动化 DNS 验证(申请通用证书) | 自动化申请 Cloudflare 15 年有效期证书 |
| 3x-ui 兼容性 | 推荐(关闭小云朵直连必须用它申请公信证书) | 不建议(生成的 15 年证书直连会报错) |
—
💡
