适用于 SaaS 提供商的 Cloudflare SSL

由于大型科技公司希望建立更安全的互联网的压力，在线组织采用 SSL/TLS 加密已成为安全性最佳实践并逐渐成为要求。例如，Google Chrome 网络浏览器在 2016 年底开始为其用户将未使用 HTTPS 的网站标记为“不安全”¹。与此同时，Mozilla 的 FireFox 网络浏览器也开始向尝试提交不受 HTTPS 保护的信息的用户发出更严重的警告。²

Chrome 68 对 HTTP 页面的处理

适用于 SaaS 的 Cloudflare SSL 允许 SaaS 公司的最终客户继续使用自定义虚名网域，同时通过 SSL 保护其通信。最终客户利益包括品牌访客体验，改进的信任，SEO 排名，以及使用 HTTP/2 提高速度的能力。Cloudflare 可自动完成整个 SSL 生命周期，从购买到部署，再到证书更新，只需几分钟即可完成，从而使 SaaS 公司能够提供此利益作为客户导入流程的一部分。

请和我们聊聊！

名字 * 名字是必填项。请输入名字。

姓氏* 姓氏是必填项。请输入姓氏。

公司 * 公司名称是必填项。请输入公司名称。

工作电子邮件 * 电子邮件不正确。请重试。

电话 * 电话号码是必填项。请输入一个电话号码。

网站 * 网站 URL 是必填项。请输入类似于 http://www.example.com 的网站。

您的隐私对我们很重要。

在处理 SSL 最终客户需求时，SaaS 提供商会发现他们属于三种情节中的一种：

未加密但品牌化的虚名网域

没有 SSL 的自定义虚名网域缺乏 SSL 和安全数据传输的性能优势，使得它们在到达访问者之前容易受到窥探和内容修改或注入。

加密但未品牌化的网域

通过 SaaS 提供商启用 SSL 的域缺少自定义虚名网域，导致品牌认知度与 SEO 排名下降。

內部方法的挑战

希望加密品牌化虚名网域的 Saas 提供商可以手动管理 SSL 生命周期（但这样会导致部署时间变长且成本过高），或构建复杂的自动化内部解决方案。

“借助适用于 SaaS 的 SSL，我们实现了更简单的流程，因为 Cloudflare 的 API 处理客户 SSL 证书的置备、服务、自动更新和维护。此外，端到端 HTTPS 现在意味着我们为客户提供了更好的隐私和性能，并且可以利用我们以前无法使用的浏览器功能，如本地存储。”

Andrew Murray
Olo 的首席技术官

准备好优化您的 SaaS 产品/服务的性能和安全性了吗？

与 Cloudflare 取得联系。

今天就联系我们

品牌化访客体验

为最终客户提供使用品牌化自定义域选项的 SaaS 提供商可以继续这样做，同时享受完全托管 SSL 证书的额外好处。品牌域名为最终客户提供更高的 SEO 排名并提升访客信任度。

有效率地保护客户资产

最终客户域上的 SSL/TLS 证书可确保敏感客户数据的安全传输，防止中间人攻击和网络窥探。此外，HTTP/2 协议可用于更大的速度改进。

自动化 SSL 生命周期管理

Cloudflare 管理 SaaS 提供商的客户虚名网域的整个 SSL 生命周期，从私钥创建和通过域验证保护，到发布、续订和重新发布。

快速全球 SSL 部署

在 SSL 发布过程中，Cloudflare 会在其全球网络的 200 个数据中心部署新的证书，只要几分钟就能让 HTTPS 上线，并尽可能接近访客。

构建内部 SSL 解决方案的挑战

要为自定义虚名网域构建内部 SSL 解决方案，可以采取两种途径，两者都需要 SaaS 提供商和最终客户的额外配合。下图中的自动路径（上方）使 SSL 流程自动化，但需要充分的工程工作并应对复杂的安全挑战。手动路径（下方）需要 SaaS 提供商团队及其最终客户的努力，错过证书到期截止日期和中断的可能性更高。无论选择哪种路径，都可能牺牲性能，除非能够在大规模的全球传输网络上部署 SSL 证书。

仅限 HTTP 的 CNAME

一开始，SaaS 提供商最终客户只在其 CNAME 的自定义虚名网域上发送和接收 HTTP 流量。

SSL for SaaS 如何运作？

SSL for SaaS 过程完全由 Cloudflare 处理，并且只需要 SaaS 提供商发送单一 API 调用（或在 Cloudflare 仪表板中单击几下）作为最终客户自定义网域导入工作流的一部分。在此之后，SaaS 提供商最终客户只需要将最初的 CNAME 加入 SaaS 提供商的网域即可。自定义网域导入流程的剩余部分将完全由 Cloudflare 管理。

此过程的其余部分由 Cloudflare 管理，包括：

请求证书颁发机构验证最终客户的自定义域以进行 SSL 证书颁发。
从证书颁发机构接收验证令牌，并使其可从 Cloudflare 的边缘访问。
指示证书颁发机构完成 HTTP 验证，然后请求证书颁发机构颁发 SSL 证书。
接收证书并将其推送到 Cloudflare 遍布全球的超过 200 个数据中心的网络边缘，优化延迟和 TLS 性能。

常见问题

问：我的客户的流量如何发送到我的来源？它安全吗？

答：是的，Cloudflare 鼓励您使用完整或严格 SSL 模式，以便发送到您的来源的流量使用 HTTPS。可以在区域的“加密”选项卡中配置此选项。如果您使用的是严格模式，则必须确保您的来源上的证书包含与客户主机名匹配的主题备用名称（SAN），例如 support.yourcustomer.site。我们的 Origin CA 产品可用于生成这些证书以用于严格模式。

问：颁发证书并准备好使用需要多长时间？

答：证书通常会在几分钟内经过验证、发布然后推送到我们这一端。只要进行 GET 呼叫，您就可监控此进度的各个阶段：初始化、等待验证、等待发布、等待部署、生效。


$ curl -sXGET -H "X-Auth-Key: [YOUR KEY]" -H "X-Auth-Email: [YOUR EMAIL]" https://www.cloudflare.com/api/v4/zones/[ZONE ID]/custom_hostnames?hostname=support.yourcustomer.site


{
  "result": {
  "id": "cdc2a12a-99b3-48b8-9039-ad1b48c639e5",
  "hostname": "support.yourcustomer.site",
  "ssl": {
  "id": "3463325d-8116-48f3-ab4e-a75fb9727326",
  "type": "dv",
  "method": "http",
  "status": "active"
  }
},
  "success": true
}

问：那么关于续订或重新发布呢？我或我的客户需要作任何操作吗？

答：不需要，Cloudflare 会为您处理一切。我们签发的证书有效期为一整年（365 天），并将在到期前至少 30 天自动续订。这些证书是以您客户的主机名唯一签发，因此只要 CNAME 仍然存在，我们就可以通过演示该主机名的“域验证控制”继续轻松续订。如果客户已经流失，我们建议您向 Cloudflare 发送 DELETE 请求，以便 Cloudflare 可以从边缘抽走证书，而不是尝试续订。

问：我的客户可享有 Cloudflare 的哪些益处？

答：简短的答案是：全部。但不包含保护您客户的 DNS 基础设施（除非他们也使用 Cloudflare 进行权威名称服务）。一旦他们的流量指向您的白标主机名，Cloudflare 就能提供业界领先的 DDoS 防护、CDN、WAF、HTTP/2、负载平衡等功能。

问：如果我的客户已在其自定义主机名上使用 HTTPS，该怎么办？有没有办法在迁移时避免停机？

答：在某些情况下，您可能已经根据客户提供的密钥材料在内部拼凑了一个解决方案。或者您的客户已从提供 HTTPS 的竞争者处（或内部解决方案）取得他们想要的主机名，且无法容忍短暂的维护空档。

针对这些情况，我们已将专用证书中提供的两种备选“预验证”方法扩展到我们的 SSL for SaaS 产品：电子邮件和 CNAME。只需将上面的 API 调用中的 SSL 方法从“http”更改为“email”或“cname”并发送请求即可。有关更多信息，请参阅 API 文档。

当您控制高级名称的 DNS 时，通常会使用另一种替代方法 CNAME 令牌（我们的一些 SaaS 客户，尤其是那些提供网站构建和托管服务的客户，允许作为工作流程的一部分注册自定义域）。

最后，您可以自由地提供由您的来源上的“http”验证方法返回的 HTTP 令牌（而不是让 Cloudflare 在反向代理期间插入它），并且我们的自动重试队列将在它到位后检测它。如果您想通知 Cloudflare 令牌已经到位并可立即重试，您总是可以使用在 POST 期间发送的 SSL 主体，向端点发送 PATCH ，我们会立即进行检查。

¹https://motherboard.vice.com/en_us/article/google-chrome-shaming-http-unencrypted-websites-january

²https://blog.mozilla.org/security/2017/01/20/communicating-the-dangers-of-non-secure-http/