1. 核心区别:哪个才是你需要的?
| 密钥名称 | 核心作用 | 证书有效期 | 3x-ui(关闭小云朵)可用性 |
|---|
| Global API Key | 管理 DNS 记录。通过验证 DNS 所有权,申请全球公认的证书(如 Let’s Encrypt)。 | 90 天(可自动续期) | ✅ 推荐。客户端可直接连接,不报警告。 |
| Origin CA Key | 申请源站证书。仅用于 Cloudflare 与服务器之间的加密。 | 15 年 | ❌ 不建议。关闭小云朵后,客户端会报“证书不受信任”。 |
—
2. 为什么关闭“小云朵”不能用 15 年证书?
15 年证书(Origin CA) 是 Cloudflare 签发的“内部通行证”。当你关闭小云朵时,流量不再经过 Cloudflare 节点,你的客户端(手机/电脑)会直接读取服务器上的证书。
因为浏览器和 Xray 内核不认识这张私有证书,连接会报错:SSL handshake failed 或 Certificate not trusted。
结论: 只要你想关闭小云朵直连,就必须使用 Global API Key 配合脚本申请 90 天公信证书。
—
3. 操作建议方案
如果你希望在 3x-ui 中实现“一次配置,终身不管”,请按以下逻辑操作:
方案 A:使用 Global API Key(最省心)
在 Cloudflare 获取 Global API Key。
在 3x-ui 面板或 acme.sh 脚本中,输入你的 Cloudflare 邮箱和该 Key。
脚本会自动在你的 DNS 中添加验证信息,申请到 Let’s Encrypt 证书。
优点: 脚本会在证书到期前自动续签,虽然名义上是 90 天,但实际上只要你的 Key 不失效,它可以永久自动续期。
方案 B:使用 API Token(最安全)
如果你担心 Global API Key 权限太大(万一泄露会丢失整个账户),可以去 Cloudflare 后台 API Tokens 处:
创建一个名为 “DNS Edit” 的 Token。
权限选择:Zone - DNS - Edit。
在支持 Token 的脚本中使用它代替 Global Key。
—
💡 最终
要关闭小云朵,请无视 Origin CA Key。
直接使用 Global API Key 在 3x-ui 里的 SSL 证书申请处进行配置。只要脚本设置了定时任务(通常面板自带),它就会每隔 2-3 个月自动帮你续期,达到和“10年证书”一样的无感效果,且连接更稳定。
