经认证的原点拉动

仅限企业。 在这种模式下，TLS 客户端证书会在源端拉取时进行验证。 如需了解更多信息，请参阅“验证的起源拉动”。

仅 HTTPS 源提取

仅限企业。 该模式对证书的要求与端到端 CA 签名模式相同。 它还会将 CIS 与您的源网络服务器之间的所有连接从 HTTP 升级到 HTTPS，即使所请求的原始内容是通过 HTTP 传输的。

端到端（CA 签名）

该模式是默认设置，也是推荐设置。 访问者与 CIS 之间存在安全连接，CIS 与您的网络服务器之间存在安全认证连接。 您的服务器必须设置为可处理 HTTPS 连接，并具有有效的 TLS 证书。 此证书必须由认证中心签名，并且包含未来的到期日期，并且响应请求域名（主机名）。 建议您继续使用这种 TLS 模式，以获得最佳安全实践，除非您了解改用某种不太严格的模式可能会带来的安全威胁。

{: caption="的示意图端对端 CA 签名" caption-side="bottom"}的示意图

端到端（灵活）

在这种模式下，访问者与 CIS 之间存在安全连接，而 CIS 与网络服务器之间存在安全但未经验证的连接。 您的服务器必须设置为可处理 HTTPS 连接，至少要有自签名证书。 例如，当我们连接到您的源网络服务器时，从 CIS 的角度来看，这被视为类似于绕过错误信息。 只要您的 DNS 设置中的源 Web 服务器地址正确，您就知道我们正在连接到您的 Web 服务器，而不是其他人。

客户机到边缘

在此模式下，访问者与 CIS 之间存在安全连接，但 CIS 与网络服务器之间不存在安全连接。 您不需要在 Web 服务器上具有 TLS 证书，但访问者仍将该站点视为已启用 HTTPS。 如果您的 Web 站点上有任何敏感信息，建议不要使用此选项。 此设置仅适用于 443 至 80 端口。 只有在无法在自己的网络服务器上设置 TLS 的情况下，才可将其作为最后手段使用。 它比任何其他选项（甚至是 "关闭"）都_不安全_，当你决定不使用它时可能会带来麻烦。

关闭

在这种模式下，访问者与 CIS 之间以及 CIS 与网络服务器之间不存在安全连接。 访问者只能通过 HTTP 查看您的网站，任何试图使用 HTTPS 进行连接的访问者都会收到 HTTP 301 Redirect，进入您网站的纯 HTTP 版本。