管理自定义主机名 (SSL for SaaS)

了解自定义主机名功能如何为您的客户扩展 Cloudflare 的安全性和性能优势。了解如何管理自定义主机名。


概述

通过自定义主机名(也称为 SSL for SaaS),您可以让客户也享受到 Cloudflare 的安全性和性能优势。Cloudflare 管理整个 SSL 证书生命周期,包括初始发行和自动续订。

自定义主机名当前可供 Enterprise 客户使用。如果您不是 Enterprise 客户,请填写 Enterprise 联系表以请求自定义主机名功能。 如果您是 Enterprise 客户,请联系您的 Cloudflare 客户团队以启用自定义主机名。

自定义主机名可为 SaaS 公司的最终客户带来以下多项好处:

  • 品牌访问者体验
  • 提高信任和 SEO 排名
  • 通过 HTTP/2 提高速度
  • 有效管理整个 SSL 生命周期

如果您的最终客户已经在使用 Cloudflare,则他们无法为您的“自定义主机名”配置管理的任何主机名控制某些 Cloudflare 功能的自定义设置;例如:

  • 页面规则
  • 防火墙设定
  • Web 应用程序防火墙 (WAF)
  • SSL 设置

要了解如何为最终客户控制页面规则、速率限制、SSL或其他功能,请查看自定义主机名特定行为上的 Cloudflare 开发人员文档。

一旦您的 Cloudflare 客户团队为您的 Enterprise 域授予“自定义主机名”功能,您就可以添加自定义主机名

您的客户团队将确定自定义主机名证书的初始配额。如果超出自定义主机名配额,则无法颁发其他证书。请联系您的 CloudFlare 帐户团队增加配额。

添加自定义主机名

请执行以下步骤以通过 UI 添加自定义主机名。或者,请参阅我们的自定义主机名 API 文档

  1. 登录 Cloudflare 管理面板。

  2. 单击管理自定义主机名的域的相应 Cloudflare 帐户。

  3. 选择域。

  4. 单击 SSL/TLS 页面。

  5. Custom Hostnames中,单击 Add Custom Hostname。将显示 Add a Custom Hostname 窗口。

  6. 输入要为 Custom Hostname 添加的主机名(即,对您的域具有 CNAME 的主机名)。

  7. 选择一种验证方法(建议使用 HTTP 验证)。

  8. 单击 Add Custom Hostname

添加自定义主机名后,在 SSL/TLS 页面的 Custom Hostnames 部分的 Certificate Status 下查看配置状态。要请求立即重新验证自定义主机名 Certificate Status(证书状态),请单击 Actions 下的圆形箭头图标。要了解有关 Certificate Status 的更多信息,请访问 Cloudflare 开发人员文档。

有关 SSL 证书颁发问题的指导,或如需了解自定义主机名 API 速率限制,请访问 Cloudflare 开发人员文档的故障排除部分

证书一经颁发,有效期为一 (1) 年,并在到期前 30 天自动续订。续订不需要您或您的客户采取任何行动。


了解自定义主机名验证方法

必须进行验证才能为最终客户的域配置 SSL 证书。  验证和部署过程将在大约 90 秒内完成。  共有三种验证方法:

  • HTTP 

    (推荐)要求在颁发 SSL 证书之前通过 Cloudflare(通过 CNAME 记录)代理最终客户的 HTTP 流量。将客户的 DNS CNAME 记录指向您管理自定义主机名的域。
  • 电子邮件 

    Cloudflare 通过电子邮件发送域名注册商处的 WHOIS 联系人以及域名的以下地址:adminadministratorhostmasterpostmasterwebmaster
  • CNAME 

    要求最终客户在其权威 DNS 提供商处设置其他 DNS CNAME 记录,以供证书颁发机构批准 SSL 证书的设置。
如果您的最终客户的主机名先前具有 HTTPS 支持,则电子邮件和 CNAME 验证可用于以避免证书颁发过程中的几分钟停机。

Cloudflare 默认情况下会通过 HTTP 自动续订 SSL 证书,即使您选择了 CNAME 或电子邮件验证方法也是如此。如果无法通过 HTTP 自动续订,Cloudflare 会通过电子邮件将 CNAME 验证记录发送给所有管理员超级管理员和对管理自定义主机名的域的帐户具有 SSL/TLS 特权的成员。在客户的权威 DNS 上配置 CNAME 验证记录,以续订自定义主机名 SSL 证书。

除了电子邮件和 CNAME 验证外,您的最终客户还可以在迁移到自定义主机名配置之前从其源 Web 服务器手动提供 HTTP 验证记录。有关更多详细信息,请参见基于 HTTP 的手动验证说明

管理自定义的自定义主机名证书

自定义主机名功能支持上传自定义 SSL 证书。自定义 SSL 证书的典型用例是提供扩展验证 (EV) 证书,或者客户的信息安全政策规定不允许第三方代表客户生成私钥的情况。提供自己的证书所面临的挑战包括手动续订和在到期前重新上传。请参阅有关上传自定义证书的开发人员文档。

仅允许通过 API 上传自定义证书。

对于希望从证书颁发机构 (CA) 获取自有 SSL 证书的客户,Cloudflare 可以使用客户的组织名称、位置等生成证书签名请求 (CSR)。 关联的私钥是由 Cloudflare 生成的,并且永远不会离开我们的网络,因此避免了不安全处理的风险。请参阅有关证书签名请求的 Cloudflare 开发人员文档。


为每个客户主机名配置自定义行为

可以通过两种方法为最终客户设置自定义行为:

  • 页面规则
  • 自定义元数据

页面规则

使用 Page Rules 页面,可对客户请求使用通配符,为每个客户主机名或每个 URL 路径设置自定义行为。有关修改 Rate Limiting 、清除缓存或设置 Page Rules 以更改客户主机名的缓存行为和安全设置的示例,请访问 Cloudflare 开发人员文档

Page Rules 限制为 100 条规则。如果您必须设置超出此限值的其他客户行为,请使用 Custom Metadata 选项。

Rate Limiting 也限制为 100 条规则。

自定义元数据

在为每个客户主机名设置自定义行为时,如需超出允许的最大 100 个 Page RulesRate Limits,请与您的 Cloudflare 客户团队联系,以启用 Cloudflare Workers 和自定义元数据功能。请参阅我们的开发人员文档以获取示例,并了解使用自定义元数据的局限性。 请联系您的 Cloudflare 客户团队以寻求使用这些功能的进一步帮助。


相关资源

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

由 Zendesk 提供技术支持