快速域名集成最佳实践
以下最佳实践可确保您的长期稳定性和安全性 Express 域集成。请参阅 设置自定义跟踪域名 用于初始设置。
注意: 如果您使用自定义代理配置,您的组织会直接通过 CDN 提供商管理 SSL 证书和 DNS 安全策略,且下方与证书相关的要求不适用。
维护所需的 DNS 配置
为确保您的自定义跟踪域持续可靠工作并防止跟踪中断,请遵循以下 DNS 指南:
请保持您的自定义跟踪子域的 CNAME 记录指向:
customtracking.impact.com.cdn.cloudflare.net除非 impact.com 指示,否则不要删除或修改此 CNAME 记录。
我们建议使用较低的 TTL(例如 300 秒),以便在恢复或迁移期间更快传播。
在发布前,请仔细审查 DNS 更改。配置错误可能导致跟踪链接无法解析。
重要: 删除或修改此 CNAME 记录将立即导致您的自定义跟踪域失效。SSL 证书的签发和续期依赖于此记录保持不变。
配置 CAA 记录
如果您的组织使用 证书颁发机构授权(CAA) DNS 记录来限制哪些证书颁发机构可以为您的域签发 SSL 证书,您必须允许用于您的跟踪域的证书颁发机构。
在父域上配置的 CAA 记录适用于所有子域,除非被覆盖。
例如: 位于 yourcompany.example 的 CAA 记录也将适用于 goto.yourcompany.example.
所需的 CAA 记录
添加并确保允许以下签发者:
yourcompany.example. CAA 0 issue "pki.goog"
SSL 证书通过 Google Trust Services(pki.goog).
推荐的 CAA 记录
我们建议允许 letsencrypt.org:
yourcompany.example. CAA 0 issue "letsencrypt.org"
这有助于防止未来证书提供商发生变化时造成中断。
检查您当前的 CAA 记录
使用 DNS 查询工具或命令行检查您域的 CAA 记录: dig CAA yourcompany.example.
如果响应为空(没有 CAA 记录),则无需采取行动。所有证书颁发机构都被默认允许。
如果响应包含 issue 条目,请验证 pki.goog 和 letsencrypt.org 已包含。
如果您目前没有 CAA 记录,则无需添加。不过,如果您将来添加或收紧 CAA 限制,请确保所需的签发者仍然被允许。否则,SSL 证书续期将失败,您的自定义跟踪域将停止工作。
注意: CAA 记录由您的 DNS 提供商控制。impact.com 无法覆盖您域的 CAA 限制。
协调 DNS 和安全更改
在对您的跟踪域或其父域进行更改之前,请与内部 DNS 或安全团队协调,并通知您的 impact.com 客户成功(CS)团队。
在应用更改之前,我们建议:
确认所需的 CNAME 目标(
customtracking.impact.com.cdn.cloudflare.net)将保持不变。确认所需的 CAA 签发者(
pki.goog)在所有适用的域级别上仍然被允许。仔细审查更改,确保其不会影响您的跟踪域的 DNS 解析或 SSL 证书签发。
可能影响您的自定义跟踪域的更改
CNAME 记录(跟踪子域或父域)
域层级任何级别的 CAA 记录
DNSSEC 配置
DNS 提供商迁移或托管变更
域所有权、委派或注册商转移
影响证书签发或 DNS 解析的安全策略
SSL 证书管理
您的自定义跟踪域的 SSL 证书由 impact.com 通过 Cloudflare 自动配置和续期。
不要尝试手动为您的跟踪子域签发、安装或管理 SSL 证书。
不要通过单独的证书颁发机构为您的跟踪子域配置证书。这可能会与自动续期冲突。
在正常运行情况下,证书续期无需采取任何操作。
定期验证您的跟踪域
在浏览器中访问以下端点,确认您的跟踪域正在正常工作:
替换 goto.yourcompany.example 使用您的跟踪域。
一个 健康 响应将包含 tracking.
如果此端点无法加载、返回证书错误,或不包含 appName: tracking,则您的自定义跟踪域可能无法正常工作。我们建议在任何 DNS 或安全更改后检查此端点,并设置自动监控,以便在问题影响跟踪之前将其检测出来。
故障排除和支持
如果您的跟踪域停止解析或链接停止重定向:
验证您的 CNAME 记录仍然指向:
检查 DNS、CAA 或安全设置中的近期更改。
联系支持 并在联系时提供您的自定义跟踪域、问题开始的时间以及任何近期的安全更改。
最后更新于
这有帮助吗?