Express 域集成最佳实践
以下最佳实践可确保您的 Express Domain Integration的长期稳定性和安全性。请参阅 设置自定义跟踪域 以进行初始设置。
注意: 如果您使用的是自定义代理配置,您的组织会通过 CDN 提供商直接管理 SSL 证书和 DNS 安全策略,下面与证书相关的要求不适用。
维护所需的 DNS 配置
为确保您的自定义跟踪域持续可靠运行并防止跟踪中断,请遵循以下 DNS 指南:
请将您的自定义跟踪子域的 CNAME 记录指向:
customtracking.impact.com.cdn.cloudflare.net除非 impact.com 指示,否则请勿删除或修改此 CNAME 记录。
我们建议使用较低的 TTL(例如 300 秒),以便在恢复或迁移期间更快传播。
在发布前仔细检查 DNS 更改。不正确的配置可能会导致跟踪链接无法解析。
重要: 删除或修改此 CNAME 记录将立即导致您的自定义跟踪域失效。SSL 证书的签发和续期取决于该记录保持不变。
配置 CAA 记录
如果您的组织使用 证书颁发机构授权(CAA) DNS 记录来限制哪些证书颁发机构可以为您的域签发 SSL 证书,您必须允许跟踪域所使用的证书颁发机构。
在父域上配置的 CAA 记录适用于所有子域,除非被覆盖。
例如: 位于 yourcompany.example 上的 CAA 记录也将适用于 goto.yourcompany.example.
所需的 CAA 记录
请添加并确保允许以下签发者:
yourcompany.example. CAA 0 issue "pki.goog"
SSL 证书通过 Google Trust Services 签发(pki.goog).
推荐的 CAA 记录
我们建议允许 letsencrypt.org:
yourcompany.example. CAA 0 issue "letsencrypt.org"
这有助于在未来证书提供商发生变化时防止中断。
检查您当前的 CAA 记录
使用 DNS 查询工具或命令行检查您的域的 CAA 记录: dig CAA yourcompany.example.
如果响应为空(没有 CAA 记录),则无需操作。所有证书颁发机构都默认被允许。
如果响应包含 issue 条目,请确认 pki.goog 和 letsencrypt.org 均已包含。
如果您当前没有 CAA 记录,则无需添加。但是,如果您将来添加或收紧 CAA 限制,请确保所需的签发者仍然被允许。否则,SSL 证书续期将失败,您的自定义跟踪域将停止工作。
注意: CAA 记录由您的 DNS 提供商控制。impact.com 无法覆盖您域的 CAA 限制。
协调 DNS 和安全更改
在对跟踪域或其父域进行更改之前,请与内部 DNS 或安全团队协调,并通知您的 impact.com 客户成功(CS)团队。
在应用更改之前,我们建议:
确认所需的 CNAME 目标(
customtracking.impact.com.cdn.cloudflare.net)将继续保持不变。确认所需的 CAA 签发者(
pki.goog)在所有适用的域级别仍被允许。仔细审查更改,确保它们不会影响跟踪域的 DNS 解析或 SSL 证书签发。
可能影响您的自定义跟踪域的更改
CNAME 记录(跟踪子域或父域)
域层级任意级别的 CAA 记录
DNSSEC 配置
DNS 提供商迁移或托管变更
域所有权、委派或注册商转移
影响证书签发或 DNS 解析的安全策略
SSL 证书管理
您的自定义跟踪域的 SSL 证书由 impact.com 通过 Cloudflare 自动配置和续期。
不要尝试手动为您的跟踪子域签发、安装或管理 SSL 证书。
不要通过单独的证书颁发机构为您的跟踪子域配置证书。这可能会与自动续期冲突。
在正常运行情况下,证书续期无需采取任何操作。
定期验证您的跟踪域
通过在浏览器中访问以下端点来确认您的跟踪域是否正常工作:
请将 goto.yourcompany.example 替换为您的跟踪域。
一个 健康的 响应将包含 tracking.
如果此端点无法加载、返回证书错误,或不包含 appName: tracking,则您的自定义跟踪域可能无法正常工作。我们建议在任何 DNS 或安全更改后检查此端点,并设置自动监控,以便在问题影响跟踪之前检测到它们。
故障排除和支持
如果您的跟踪域停止解析或链接停止重定向:
确认您的 CNAME 记录仍然指向:
检查 DNS、CAA 或安全设置中是否有最近的更改。
联系支持 并提供您的自定义跟踪域、问题开始的时间以及任何近期的安全更改。
最后更新于
这有帮助吗?