简体中文 Deutsch English (US) Español (España) Français (France) 日本語 한국어 Português do Brasil

Cloudflare 帮助中心

Detailed system status >

此组别内的文章

与 Cloudflare 社区交流

获取答案

管理自定义主机名(SSL for SaaS)

  • 更新于

了解自定义主机名功能如何为您的客户扩展 Cloudflare 的安全性和性能优势。了解如何管理自定义主机名。

概述

通过自定义主机名(也称为 SSL for SaaS),您可以让客户也享受到 Cloudflare 的安全性和性能优势。Cloudflare 管理整个 SSL 证书生命周期,包括初始颁发和自动续订。

自定义主机名目前面向 Enterprise 客户。如果您不是 Enterprise 客户,请填写 Enterprise 联系表以申请自定义主机名功能。如果您是 Enterprise 客户,请联系 Cloudflare 客户团队以启用自定义主机名。

自定义主机名可为 SaaS 公司的最终客户带来以下多项好处:

  • 品牌化访问者体验
  • 提高信任和 SEO 排名
  • 通过 HTTP/2 提高速度
  • 有效管理整个 SSL 生命周期

如果您的最终客户已在使用 Cloudflare,则他们无法为您的“自定义主机名”配置管理的任何主机名控制某些 Cloudflare 功能的自定义设置;例如:

  • 页面规则
  • 防火墙设置
  • Web Application Firewall (WAF)
  • SSL 设置

要了解如何为最终客户控制页面规则、速率限制、SSL 或其他功能,请查阅有关自定义主机名相关行为的 Cloudflare 开发人员文档。

一旦您的 Cloudflare 客户团队为您的 Enterprise 域授权自定义主机名功能,您就可以添加自定义主机名

您的客户团队将确定自定义主机名证书的初始配额。如果超出自定义主机名配额,则无法颁发更多证书。请联系您的 CloudFlare 客户团队增加配额。

如果客户端要求支持 SNI:

  • 使用 Cloudflare 生成的自定义主机名证书(SSL for SaaS),或
  • 通过 Cloudflare API上传您网站的自定义主机名(SSL for SaaS)SNI 证书。

如果客户端不要求支持 SNI:

  • 上传自定义 SSL 证书并在上传过程中将传统客户端支持设为传统,或者通过 Cloudflare API 进行设置。
  • 或者,对于通用、专用、自定义或自定义主机名证书,Cloudflare 支持可以为 Pro、Business 或 Enterprise 计划中的域启用非 SNI 支持。

添加自定义主机名

执行以下步骤,以通过 UI 添加自定义主机名。或者,请参阅我们的自定义主机名 API 文档

  1. 登录 Cloudflare 仪表板。
  2. 单击管理自定义主机名的域的相应 Cloudflare 帐户。
  3. 选择域。
  4. 单击 SSL/TLS 应用。
  5. 单击自定义主机名选项卡。
  6. 自定义主机名中,单击添加自定义主机名。此时将显示添加自定义主机名窗口。
  7. 自定义主机名中,输入要添加的主机名(即,具有您的域 CNAME 的主机名)。
  8. 选择验证方法(建议使用 HTTP 验证)。
  9. 单击添加自定义主机名

在创建证书时,添加 *. SAN(通配符)到自定义主机名证书,方法是:在 Cloudflare 仪表板 SSL/TLS 应用的自定义主机名选项卡中,选择启用通配符

添加自定义主机名后,在 SSL/TLS 应用的自定义主机名选项卡中,查看自定义主机名部分中证书状态下的预置状态。要请求立即重新验证自定义主机名证书状态,请单击操作下的圆形箭头图标。要进一步了解证书状态,请访问 Cloudflare 开发人员文档。

如需 SSL 证书颁发问题的指导,或想了解自定义主机名 API 速率限制,请访问 Cloudflare 开发人员文档的故障排除部分

证书一经颁发,有效期为一 (1) 年,并在到期前 30 天自动续订。续订不需要您或您的客户采取任何行动。

了解自定义主机名验证方法

必须进行验证才能为最终客户的域配置 SSL 证书。验证和部署过程将在大约 90 秒内完成。共有三种验证方法:

  • HTTP:推荐)需要通过 Cloudflare(利用 CNAME 记录)代理最终客户的 HTTP 流量,然后才能颁发 SSL 证书。将客户的 DNS CNAME 记录指向您管理自定义主机名的域。
  • 电子邮件:Cloudflare 向域名在注册商处登记的 WHOIS 联系人以及域的以下地址发送电子邮件:adminadministratorhostmasterpostmasterwebmaster
  • CNAME:最终客户需要在其权威 DNS 提供商处设置额外 DNS CNAME 记录,以便证书颁发机构批准 SSL 证书预置。

如果最终客户的主机名原先支持 HTTPS,则可利用电子邮件和 CNAME 验证来避免证书颁发过程中的几分钟停机。

Cloudflare 默认为自动通过 HTTP 续订 SSL 证书,即使您选择了 CNAME 或电子邮件验证方法。如果通过 HTTP 自动续订遇到问题,Cloudflare 会将CNAME 验证记录通过电子邮件发送给管理自定义主机名的域帐户的所有管理员超级管理员,以及具有 SSL/TLS 特权的成员。在客户的权威 DNS 上配置 CNAME 验证记录,以续订自定义主机名 SSL 证书。

除了电子邮件和 CNAME 验证外,最终客户还可以在迁移到自定义主机名配置之前从其源 Web 服务器手动提供 HTTP 验证记录。如需更多详细信息,请参见基于 HTTP 的手动验证说明

管理自定义的自定义主机名证书

自定义主机名功能支持上传自定义 SSL 证书。自定义 SSL 证书的典型用例是提供扩展验证(EV)证书,或者客户的信息安全政策规定不允许第三方代表客户生成私钥的情况。自己提供证书所面临的麻烦包括手动续订和在到期前重新上传。请参阅有关上传自定义证书的开发人员文档。

仅允许通过 API 上传自定义证书。

如果客户希望从证书颁发机构(CA)获取自己的 SSL 证书的客户,Cloudflare 可以使用客户组织名称和位置等信息生成证书签名请求(CSR)。相关的私钥由 Cloudflare 生成,而且绝不会离开我们的网络,避免了不安全处理的风险。

为每个客户主机名配置自定义行为

可以通过两种方法为最终客户设置自定义行为:

  • 页面规则
  • 自定义元数据

页面规则

使用页面规则应用并将通配符用于客户请求,针对每个客户主机名或每个 URL 路径设置自定义行为。如需有关修改速率限制、清除缓存或设置页面规则以改变客户主机名缓存行为和安全设置的示例,请访问 Cloudflare 开发人员文档

页面规则限制为 100 条规则。如果您必须设置超出此限制的其他客户行为,请使用自定义元数据选项。

速率限制也限制为 100 条规则。

自定义元数据

要在设置各个客户主机名的自定义行为时超出允许的 100 条页面规则上限或速率限制,请与您的 Cloudflare 客户团队联系,以启用 Cloudflare Workers和自定义元数据功能。请参阅我们的开发人员文档来获取示例,并了解使用自定义元数据的局限性。如需有关使用这些功能的进一步帮助,请联系您的 Cloudflare 客户团队。

相关资源

未找到您要的内容?

搜索可帮助解答 95% 的支持问题。这是获取答案的最快途径。

询问社区 提交请求

相关文章

未找到您要的内容?

搜索可帮助解答 95% 的支持问题。这是获取答案的最快途径。

询问社区 提交请求