Jak podpisać publiczną strefę DNS platformy Azure przy użyciu protokołu DNSSEC

Aby podpisać strefę protokołem DNSSEC przy użyciu portalu Azure:

1. Na stronie głównej portalu Azure wyszukaj i wybierz Strefy DNS.

2. Wybierz strefę DNS, a następnie na stronie Przegląd strefy wybierz pozycję DNSSEC. Możesz wybrać opcję DNSSEC z menu u góry lub w obszarze Zarządzanie systemem DNS.

   

3. Zaznacz pole wyboru Włącz protokół DNSSEC .

   

4. Po wyświetleniu monitu o potwierdzenie włączenia protokołu DNSSEC wybierz przycisk OK.
   

   

5. Poczekaj na zakończenie procesu podpisywania strefy. Po podpisaniu strefy przejrzyj wyświetlane informacje o delegowaniu protokołu DNSSEC . Proszę zwrócić uwagę, że status to: Podpisany, ale nie delegowany.

   

   Uwaga

   Jeśli konfiguracja sieci platformy Azure nie zezwala na sprawdzanie delegowania, komunikat delegowania pokazany tutaj jest pomijany. W takim przypadku można użyć publicznego debugera DNSSEC w celu zweryfikowania stanu delegowania.

6. Skopiuj informacje delegowania i użyj ich do utworzenia rekordu DS w strefie nadrzędnej.

   1. Jeśli strefa nadrzędna jest domeną najwyższego poziomu (na przykład: .com), należy dodać rekord DS u rejestratora. Każdy rejestrator ma swój własny proces. Rejestrator może poprosić o wartości, takie jak tag klucza, algorytm, typ skrótu i skrót klucza. W przykładzie przedstawionym tutaj następujące wartości to:

      Tag klucza: 4535
      Algorytm: 13
      Typ skrótu: 2
      Wyciąg: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Po podaniu rekordu DS rejestratorowi rejestrator dodaje rekord DS do strefy nadrzędnej, takiej jak strefa domeny najwyższego poziomu (TLD).

   2. Jeśli jesteś właścicielem strefy nadrzędnej, możesz dodać rekord DS bezpośrednio do strefy nadrzędnej. W poniższym przykładzie pokazano, jak dodać rekord DS do strefy DNS adatum.com dla strefy podrzędnej secure.adatum.com , gdy obie strefy są hostowane przy użyciu publicznego systemu DNS platformy Azure:

      

   3. Jeśli nie jesteś właścicielem strefy nadrzędnej, wyślij rekord DS do właściciela strefy nadrzędnej z instrukcjami, aby dodać go do strefy.

7. Po przekazaniu rekordu DS do strefy nadrzędnej wybierz stronę informacji DNSSEC dla swojej strefy i sprawdź, czy jest wyświetlane Podpisane i delegacja ustalona. Strefa DNS jest teraz w pełni podpisana przez protokół DNSSEC.

   

   Uwaga

   Jeśli konfiguracja sieci platformy Azure nie zezwala na sprawdzanie delegowania, komunikat delegowania pokazany tutaj jest pomijany. W takim przypadku można użyć publicznego debugera DNSSEC w celu zweryfikowania stanu delegowania.

1. Podpisz strefę przy użyciu Azure CLI:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. Uzyskaj informacje o delegowaniu i użyj go do utworzenia rekordu DS w strefie nadrzędnej.

Możesz użyć następującego polecenia interfejsu wiersza polecenia platformy Azure, aby wyświetlić informacje o rekordzie DS:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Przykładowe dane wyjściowe:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Można też uzyskać informacje DS używając dig.exe w wierszu poleceń.

dig adatum.com DS +dnssec

Przykładowe dane wyjściowe:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

W tych przykładach wartości DS to:

• Tag klucza: 26767
• Algorytm: 13
• Typ skrótu: 2
• Skrót: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Jeśli strefa nadrzędna jest domeną najwyższego poziomu (na przykład: .com), należy dodać rekord DS u rejestratora. Każdy rejestrator ma swój własny proces.

4. Jeśli jesteś właścicielem strefy nadrzędnej, możesz dodać rekord DS bezpośrednio do strefy nadrzędnej. W poniższym przykładzie pokazano, jak dodać rekord DS do strefy DNS adatum.com dla strefy podrzędnej secure.adatum.com , gdy obie strefy są podpisane i hostowane przy użyciu usługi Azure Public DNS:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. Jeśli nie jesteś właścicielem strefy nadrzędnej, wyślij rekord DS do właściciela strefy nadrzędnej z instrukcjami, aby dodać go do strefy.

1. Podpisywanie i weryfikowanie strefy przy użyciu programu PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. Uzyskaj informacje o delegowaniu i użyj go do utworzenia rekordu DS w strefie nadrzędnej.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Przykładowy wynik:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

W tych przykładach wartości DS to:

• Tag klucza: 26767
• Algorytm: 13
• Typ skrótu: 2
• Skrót: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Jeśli strefa nadrzędna jest domeną najwyższego poziomu (na przykład: .com), należy dodać rekord DS u rejestratora. Każdy rejestrator ma swój własny proces.

4. Jeśli jesteś właścicielem strefy nadrzędnej, możesz dodać rekord DS bezpośrednio do strefy nadrzędnej. W poniższym przykładzie pokazano, jak dodać rekord DS do strefy DNS adatum.com dla strefy podrzędnej secure.adatum.com , gdy obie strefy są podpisane i hostowane przy użyciu usługi Azure Public DNS. Zastąp <ciąg key-tag>, <algorithm>, <digest> i <digest-type> odpowiednimi wartościami z rekordu DS, który zapytano wcześniej.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. Jeśli nie jesteś właścicielem strefy nadrzędnej, wyślij rekord DS do właściciela strefy nadrzędnej z instrukcjami, aby dodać go do strefy.