用 1Panel 给项目绑定域名

相关教程： 《免费申请 dpdns.org 和 qzz.io 域名》

用 1Panel 给项目绑定域名，并配置 HTTPS 安全访问。

准备：

• 一个可以通过 服务器IP:端口号 方式正常访问的服务。
• 一个可以正常使用的 1Panel 面板。
• 一个托管在 Cloudflare 的域名。
  • 参考文章： 《免费申请 dpdns.org 和 qzz.io 域名》
• 防火墙已放行 80 和 443 端口。
  • 参考文章： 云服务器重装系统、查看 IP、放行端口与 SSH 连接

一、域名解析

域名解析的作用是让域名指向服务器的 IP 地址。

1. 登录 Cloudflare 控制台。

   • 这里可以看到你拥有的 根域名，我这里以 kx.x10.mx 这个三级域名为例。

     

   • 点击域名 进入域名内页。
   • 侧边栏进入 DNS -> 记录 菜单。
   二级域名和三级域名

   域名用 . 分隔成几段就是几级域名。 如 example.com 是二级域名，付费购买的域名大部分是这种。 kx.x10.mx 是三级域名，免费申请到的域名可能是这种。

2. 点击 添加记录，填写记录信息。

   • 类型: A
   • 名称: 填写域名 前缀。
     • 我拥有的根域名是 kx.x10.mx ，我想用 test.kx.x10.mx 这个域名来访问服务，那么我加的前缀是 test ，所以这里我填 test。
     • 如果拥有的是二级域名 example.com，想用 blog.example.com 来访问服务，就填 blog。
     • 如果想直接用拥有的根域名本身来访问服务， 如 kx.x10.mx 或 example.com ，就填 @。
   • IPv4 地址: 填写服务器的 公网 IP 地址。
   • 代理状态: 点击按钮关闭，让云朵变为灰色（仅 DNS）。
   • 点击 保存。

二、获取 Cloudflare API 令牌

创建 API 令牌，供 1Panel 自动完成 DNS 验证。

1. 进入 API 令牌页面
   • 登录 Cloudflare，点击右上角头像 -> 配置文件。
   • 选择 API 令牌 菜单。
2. 创建令牌
   • 点击 创建令牌。
   • 找到 编辑区域 DNS 模板，点击 使用模板。
3. 配置令牌权限
   • 令牌名称：点击令牌名称后面的编辑按钮，随便取一个方便辨认的名字。
   • 权限:
     1. 区域 - DNS - 编辑 (模板默认)
     2. 点击 + 添加更多，添加 区域 - 区域 - 读取。
   • 区域资源:
     • 选择 包括 - 所有区域。
   • 点击 继续以显示摘要，然后点击 创建令牌。

三、配置 1Panel DNS 账户

将 Cloudflare API 令牌添加到 1Panel。

1. 登录 1Panel 面板，进入 网站 -> 证书。
2. 点击 DNS 账户，点击 创建。
3. 填写账户信息：
   • 名称: 自定义，例如 Cloudflare。
   • 类型: 选择 Cloudflare。
   • EMAIL： 留空。
   • API Token: 粘贴上一步复制的令牌。
4. 点击 确定。

四、配置 1Panel ACME 账户

创建申请 SSL 证书时使用的身份。

1. 进入 网站 -> 证书。
2. 点击 ACME 账户，点击 创建。
3. 填写账户信息：
   • 邮箱: 填写自己的任意邮箱。
   • 账号类型: 保持默认 Let's Encrypt。
   • 密钥算法: 保持默认 EC 256。
4. 点击 确定。

五、申请 SSL 证书

为域名申请一个通配符 SSL 证书，一个根域名只需要一个证书。

1. 进入 网站 -> 证书。
2. 点击 申请证书。
3. 填写证书信息：
   • 主域名： 输入你的根域名，如 kx.x10.mx、 example.com。
   • 其他域名： 加个 * 前缀代表任意前缀都能用，如 *.kx.x10.mx、 *.example.com
   • ACME 账户: 选择刚创建的自己邮箱的 LetsEncrypt。
   • DNS 账户: 选择刚创建的 Cloudflare。
4. 点击 确认。等待片刻，日志会提示 申请 [kx.x10.mx,*.kx.x10.mx] 证书成功！！。

六、创建网站并启用 HTTPS

创建反向代理，将域名、证书和项目关联起来。

1. 进入 网站 页面。（初次打开会要求安装 OpenResty，全默认一键安装即可。）
2. 点击 创建网站，选择 反向代理。
3. 填写配置信息：
   • 域名: 输入要给项目使用的完整域名。例如我的根域名是 kx.x10.mx，我在 第一步: 域名解析 中填写的 DNS A 记录 的名称是 test，那么这里填 test.kx.x10.mx。
   • 代理地址: 前面选 http ，后面填写 127.0.0.1:端口号。比如我的项目的 http 访问地址是 http://<服务器IP>:8001，项目端口号是 8001，这里应该填写 127.0.0.1:8001。（127.0.0.1 是一个 固定的值 ，要改的只有端口号。）
   • HTTPS:
     • 勾选 启用 HTTPS。
     • Acme 账户： 选择自己邮箱的 LetsEncrypt。
     • 证书: 从下拉列表中选择对应的域名证书。
   Tip

   如果你的版本没有 HTTPS 这一选项，这里先直接确认，然后点击进入创建好的条目，在里面可以设置 HTTPS。

4. 点击 确认。

七、检查效果

1. 检查访问

用浏览器访问域名时，要用 https:// 开头，比如 https://test.kx.x10.mx。

这时，页面会正常打开，地址栏旁边有个小锁标志，也不会再有“不安全”的提示了。

2. 关闭端口

域名可以正常访问之后，进入云服务器商后台的 安全组/防火墙，把原本为项目放行的端口 禁用或删掉。这样就只可以用域名访问，ip:端口 不能访问，这样才安全。

3. 延长超时时间

Nginx 反向代理的默认超时时间是 60s，为避免超时可以设置一下超时时间。（比如对酒馆的非流式有影响）

1. 进入 网站 页面。
2. 点 名称 或者后面的 配置 按钮进入自己的网站配置。
3. 点 反向代理 页面的 源文 按钮。

   

4. 在最后的大括号前面添加如下 3 行，缩进一定要和上面都对齐，如果配置错误可能会打不开网页。

   proxy_connect_timeout 300s;
   proxy_send_timeout 300s;
   proxy_read_timeout 300s;

   

5. 确认格式无误按 确认，打开网页检查一下能不能打开。

4. 关于 Cloudflare 代理（小黄云）

回到 Cloudflare 的 DNS 设置页面，可以考虑要不要把小黄云点亮。

• 服务器直连效果特别好可以不开小黄云

  • 效果：域名直接指向服务器 IP，只负责解析。流量直连服务器，只起到 HTTPS 加密的作用。除了 HTTPS 加密了以外和用 IP:端口 的体验完全一致。通过你的域名就可以知道你的服务器真实 IP。

• 直连效果不好可以开小黄云

  • 效果：域名指向 Cloudflare 的服务器，Cloudflare 再把请求转发给源服务器。流量这样就多绕了一层，不是直连。
  • 好处有两个：
    1. 更安全：能藏起服务器的真实 IP，并挡掉一些网络攻击。
    2. 访问更快：
       • 网站图片、CSS (静态内容)：Cloudflare 会把这些东西缓存到离访客近的节点上，加载就快了。
       • API 请求等 (动态内容)：这类没法缓存的请求，会走 Cloudflare 自己的高速内部网络。特别是跨国访问，这条路比普通公网好得多。
  • 特别注意：在大陆，由于一些原因，开启小黄云可能是减速效果。为了既能享受安全防护，又能优化访问，可以用 优选 IP 来优化，对直连效果差的服务器效果好。参考： 《优选域名提升网站的国内访问速度》

八、还想继续为其它项目绑定域名？

拥有一个根域名（如 kx.x10.mx）可以自由创建并使用若干个子域名（如 one.kx.x10.mx, two.kx.x10.mx），并将它们分配给不同的项目（或相同的项目）。

成功为一个项目绑定域名之后，后续的流程会非常简单。

如果要使用 已申请过证书的根域名，那么只需重复 第一步（域名解析） 、第六步（创建网站） 和 第七步（检查结果） 即可。

对于 全新的、未申请过证书的根域名（如 example.com），再加一个 第五步（申请证书）。