CloudFlare官方免费CNAME接入配置教程_网站建设

从2021年11月开始，cloudflare禁用了partner使用的zone_setapi以避免滥用（因为该api接入不需要验证域名所有权），通过partner实现cname接入的方式近乎落幕，仅剩plesk空间存量的servershield by cloudflare插件订阅能够正常接入。几个月过去了，官方也并没有对未来合作伙伴如何进行接入新域名给出任何解释。

错过了partner的时代，官方的cloudflare for saas也提供了一种更灵活的cname接入方式，一起来看看吧。

一、功能简介

cloudflare for saas不是个新功能，这里单独拿出来讲，主要是几天前cf调整了一波免费额度。过去是每个域名收取2usd/月的费用，现在不仅提供100个域名免费额度，而且超额后每个域名仅按0.1usd/月收取费用，非常良心。

官方公告：https://blog.cloudflare.com/waf-for-saas/

cloudflare中一个完全接入的域名即为一个zone，点进去包括套餐、安全等等都是针对这一主域名配置的。官方saas功能针对的是你服务的客户，开放这项功能允许使用他们自己的域名直接附加在你的zone里，享受你zone包含的安全、加速等功能。

说起来可能不是很直白，这里举几个应用场景的例子：

★应用场景1：a.com通过ns接入了cf，b.com未接入cf；可以通过saas功能实现1.b.com/2.b.com等直接附加在a.com上，通过cname指向cf的节点。

★应用场景2：a.com通过plesk接入了cf，具有免费的plesk plus版本，b.com未接入cf或使用的免费版；可以通过saas功能实现1.b.com/2.b.com等直接附加在a.com上，享受a.com域名下的ecc+rsa双证书、页面规则、高级防火墙权益。

简而言之，可以通过这项功能，实现其他域名的cname接入以及对zone权益的共享，有兴趣的话，接着往下看吧~

二、配置接入

订阅cloudflare for saas

打开一个域名，选择【ssl/tls】下的【自定义主机名】，点击【启用cloudflare for saas】后根据指示绑定外币卡或者paypal，订阅cloudflare for saas功能。

cloudflare for saas订阅本身是针对整个计费账户的，所以通过partner接入的域名出现【请联系客户成功经理以启用适用于saas的ssl】时，只需要选择个通过官方ns激活的域名启用订阅后即可使用。这里猜测可能是partner接入的商务权限交给了合作伙伴，方便下放优惠和服务那些，我们绕过去就行了。

激活页面中文翻译比较滞后，从英文的可以看到免费额度已经进行更新，可以放心使用。

设置源站

选择一个承载的域名zone点进去，依然是【ssl/tls】下的【自定义主机名】，首先要设置附加上域名的源站。在这之前要在承载的域名zone中设置一个子域名作为源站的来源，比如origin.a.com，在partner或者官方dns设置好它的源站（注意是是在cf里添加，和正常添加网站的流程一样）。

saas这里的源站叫回退源（fallback origin），输入刚才设置的子域名并点击【add fallback origin】，它会同步这个子域名设置的源站作为后续在此接入域名的源站。有些人就会问了，这样设置那不是后续saas添加的所有其他域名就只能用同一个源站了？答案确实是这样，为每个saas域名自定义源站需要enterprise以上套餐，有多域名需求多开几个zone吧（苦笑）。

添加自定义主机名

后续的工作就很简单了，点击【添加自定义主机名】，输入你要添加的未在cf接入的子域名。建议直接选择txt验证，因为除了证书还有另一条txt记录要添加，一起加上去比较方便。

验证域名所有权

添加完成后，按要求解析证书和主机名两个txt记录，解析生效后10分钟左右即可验证通过，到此这个saas域名就正确的添加到了你的zone中并接入了cf。

特别提醒，如图这里cf给出的验证txt名称是应完整域名的解析记录，所以在自己的第三方dns配置的时候，填入的主机名应当是example和_cf-custom-hostname.example，如果直接复制框内的内容把根域名b.com填进了主机名全域就变成了example.b.com.b.com了，是错误的。配置完成之后你可以通过直接复制的域名来检查txt记录是否匹配，推荐myssl的工具（点击前往）。

经过测试，不论以何种方式验证并签发证书，只要保持ssl正确指向cloudflare，系统就能够在到期前一个月自动为你续期证书，无需进行手动的操作。相应的，saas页面certificate validation method也会变成http validation。

saas域名解析

添加进去的saas域名，cf并不会给你提供明确的cname供指向。如果是官方接入的可以直接cname到你刚刚设置的源站域名比如origin.a.com，通过partner接入的直接解析到源域名对应的cname比如origin.a.com.cdn.cloudflare.net即可。其他的配置比如分线路解析、自选ip就可以按照自己的喜好去设置了，在此不过多赘述。

此外，对于防火墙规则、页面规则，直接将添加进的域名输入其中即可圈定范围，完成对于其细则的设置。