如果您运行的是SaaS公司，您就知道应用程序的高性能、高可用性和抗攻击能力是多么重要。你的客户和你的收入来源都依赖于它。将你的应用放在诸如Cloudflare这样的解决方案后面对于你自己的基础设施来说是一个明显的举措，但是你如何安全（轻松）地将这些好处扩展到客户身上呢？如果你的客户在你的域上与你的应用程序交互，而不在乎在他们的自定义域或"虚荣"域下的品牌推广（或者不为你这样做的能力付钱），解决方案很简单：将您的域装载到Cloudflare，并在任一位置为应用程序提供服务https://app.yourcompany.ltd或https://yourcustomer.yourcompany.ltd.但是如果您的客户希望将您的应用程序、门户、内容管理解决方案等托管在自己的域上，以提高搜索引擎优化和可发现性，例如。，https://app.yourcustomer.site解决问题并不容易。轻松地将Cloudflare的好处扩展到您的客户，一次只提供一个主机名直到今天，你最好的办法是让他们CNAME到你的基础设施，让他们生成一个私钥和CSR，将后者发送给CA进行签名，然后安全地向你提供密钥材料（续签时也一样）。或者，您可能需要花费工程资源，并且可以构建和维护一个解决方案，以生成和安全地存储私钥、获取和更新证书，并将其推送到CDN，这样TLS就可以以一种高效的方式终止（即，尽可能靠近客户的用户）。无论您选择哪种方式，技术复杂性和维护负担对于您的客户或您的工程和支持团队来说都是很高的。sslforsaas在构建时就考虑到了这些困难，并以您和您的客户期望的简单性来解决这些困难。使用SSL for SaaS，现在您可以将单个API调用作为入职工作流的一部分发送，并将Cloudflare的所有好处扩展到这些自定义域。您的客户只需将初始CNAME添加到您的域中。一旦CNAME就位并进行了API调用，Cloudflare将负责剩下的工作。我们将在边缘提供主机名，以便转发到您指定的源站，获取SSL证书以启用HTTPS和HTTP/2，并在可能针对您的客户的任何DDoS或L7攻击面前坐视不管。Cloudflare的所有优点（包括CDN和内容优化）都扩展到客户的主机名，而客户只需添加DNS记录就可以了。它是如何工作的？我的客户入职流程是什么样的？设想一下，您的公司提供了一个支持应用程序，客户可以从他们自己的域中白标和服务。无论他们选择哪个主机名，例如。，支持.yourcustomer.site或者help.yourcustomer.site，您应该指示他们使用您选择的主机名，例如。，whitelabel.yourcompany.ltd.公司.这个白标签主机名应该在DNS仪表板中设置为指向您的源的A/AAAA或CNAME记录。或者，您可以使用一个源池来实现负载平衡。一旦该记录就位，您就可以开始指示客户将其自定义主机名CNAME给它。或者，如果您的客户已经有CNAME记录，我们可以镜像现有的结构，这样您就不必回到客户那里要求他们进行更改。在下面的例子中，我们展示了支持.yourcustomer.site，客户的主机名，其CNAME指向whitelabel.yourcompany.ltd.公司，可以在几分钟内配置并使用SSL证书在我们的边缘运行。确认客户的CNAME已就位$dig CNAME+短支持.yourcustomer.sitewhitelabel.yourcompany.ltd.公司.或者，您可以在请求证书颁发后添加CNAME，但是如果您一开始就有了它，则会更快。如果您需要在您的客户指向其主机名之前颁发和实时的证书，请考虑使用基于电子邮件的验证。演示基本的HTTP连接（并显示预期的HTTPS错误）CNAME就绪后，我们将显示到源站的HTTP连接按预期返回，而HTTPS由于证书错误而失败（同样是预期的）。连接失败的原因是Cloudflare正在为*提供通配符证书。贵公司，因为您还没有告诉我们要为app.yourcustomer.site.$卷曲你好，支持.yourcustomer.site! 此回复来自whitelabel.yourcompany.ltd.公司.$卷曲https://support.yourcustomer.site 2>&1 | grep链curl：（60）SSL证书问题：证书链无效进行单个API调用以请求SSL证书颁发现在客户CNAME已经就绪，您只需向我们发送一个带有自定义主机名的API调用，让我们知道我们应该在那里终止TLS通信。剩下的我们来处理。curl-sXPOST-H"X-Auth-Key:[您的密钥]"-H"X-Auth-Email:[您的电子邮件]"-H"内容类型：application/json"https://www.cloudflare.com/api/v4/zones/[您的区域ID]/自定义主机名\-d'{"主机名"：支持.yourcustomer.site","ssl"：{"method"："http"，"type"："dv"}}'证明客户的网站可以通过HTTPS访问就这样！几分钟内，我们将与CA合作伙伴验证主机名，要求颁发两种类型的证书—为支持椭圆曲线加密的现代浏览器签名的SHA-2/ECDSA和用于保持与旧浏览器兼容的SHA-2/RSA，并将其推送到构成我们edge的所有110多个POP。$卷曲https://app.yourcustomer.site你好，app.yourcustomer.site! 此回复来自whitelabel.yourcompany.ltd.公司.客户的客户现在可以通过HTTPS安全地访问他们的白色标签版本的应用程序，并利用它所带来的所有好处，例如HTTP/2协议。这些证书及其密钥是唯一颁发给客户主机名的（即，不与任何其他客户在同一位置），并通过靠近客户访问者的PoP在全球范围内提供服务。如何将客户的流量发送到我的源站？安全吗？是的，我们鼓励您使用完全或严格的SSL模式，以便发送到源站的流量使用HTTPS。可以在区域的加密选项卡中配置此选项。如果使用的是严格模式，则必须确保源站上的证书包含与客户主机名匹配的使用者替代名称（SAN），例如。支持.yourcustomer.site. 我们的原始CA产品可用于生成这些证书，以严格模式使用。签发证书并准备好使用需要多长时间？证书通常在几分钟内被验证、颁发并推到我们的边缘。通过进行GET调用，您可以通过初始化、挂起验证、挂起发布、挂起部署和活动状态来监视进度。$curl-sXGET-H"X-Auth-Key:[您的密钥]"-H"X-Auth-Email:[您的电子邮件]"https://www.cloudflare.com/api/v4/zones/[区域ID]/自定义主机名？主机名=支持.yourcustomer.site{"结果"：{"id"："cdc2a12a-99b3-48b8-9039-ad1b48c639e5"，"主机名"：支持.yourcustomer.site","ssl"：{"id"："3463325d-8116-48f3-ab4e-a75fb9727326"，"type"："dv"，"method"："http"，"status"："活动"}},"成功"：没错}续期或补发呢？我或我的客户需要做什么吗？不，我们会帮你处理的。我们签发的证书有效期为一整年（365天），并将在到期前至少30天自动续订。这些证书是以客户的主机名唯一颁发的，因此只要CNAME还在，我们就可以通过演示该主机名的"域验证控制"继续轻松地续订。如果客户已流失，我们建议您向我们发送删除请求，以便我们可以从边缘提取证书，而不是尝试续订。我的客户将享受Cloudflare的哪些好处？除了保护您客户的DNS基础设施（除非他们也在使用我们的权威名称服务），简单的回答是：所有这些。一旦他们的流量指向您的白标签主机名，我们就能够提供我们业界领先的DDoS保护、CDN、WAF、HTTP/2、负载平衡等。现在不为客户的主机名提供SSL会使您（和他们）处于竞争劣势。除了保护网站访问者的隐私，防止无良的ISP或对手在传输过程中修改您的应用程序，HTTPS还提供了有意义的好处，从而提高了SEO和可发现性；从排名的角度来看，Google惩罚没有HTTPS的网站以及加载缓慢的网站。在SaaS中使用SSL是让客户通过HTTPS访问站点的最简单方法，从而通过启用HTTP/2来减少页面加载时间。减少页面加载时间也会导致更高的转换率。此外，由于SSL for SaaS构建在Cloudflare业界领先的SSL/TLS实现之上，您的客户将受益于我们为使HTTPS快速、安全和可靠所做的所有工作，例如部署OCSP装订、实现TLS 1.3（和0-RTT）以及优化TCP上的TLS。最重要的是，通过尽可能靠近您的客户（而不是直接在您的来源地）终止这些TLS连接，您的客户将从internet上最互连的网络中受益。如果我的客户已经在他们的自定义主机名上使用HTTPS怎么办？有没有一种方法可以避免迁移时的停机时间？在某些情况下，您可能已经在内部根据客户提供的关键材料拼凑出一个解决方案。或者您的客户正在将其所需的主机名与提供HTTPS的竞争对手（或内部解决方案）一起使用，该竞争对手无法忍受较短的维护时间。对于这些情况，我们将专用证书中提供的两种可选的"预验证"方法扩展到了sslforsaas产品中：email和CNA