Jak podepsat zónu Azure Public DNS pomocí DNSSEC

V tomto článku se dozvíte, jak podepsat zónu DNS pomocí rozšíření DNSSEC (Domain Name System Security Extensions).

Pokud chcete odebrat podepisování DNSSEC z zóny, přečtěte si, jak zrušit znaménka veřejné zóny DNS Azure.

Požadavky

• Zóna DNS musí být hostovaná službou Azure Public DNS. Další informace najdete v tématu Správa zón DNS.
• Nadřazená zóna DNS musí být podepsaná pomocí DNSSEC. Většina hlavních domén nejvyšší úrovně (.com, .net, .org) je již podepsána.

Podepsání zóny pomocí DNSSEC

Pokud chcete chránit zónu DNS pomocí DNSSEC, musíte nejprve podepsat zónu. Proces podepisování zóny vytvoří záznam podepisujícího delegování (DS), který se pak musí přidat do nadřazené zóny.

Azure Portal

Pokud chcete svoji zónu podepsat pomocí DNSSEC pomocí webu Azure Portal:

1. Na domovské stránce webu Azure Portal vyhledejte a vyberte zóny DNS.

2. Vyberte zónu DNS a pak na stránce Přehled zóny vyberte DNSSEC. DnsSEC můžete vybrat z nabídky v horní části nebo v části Správa DNS.

   

3. Zaškrtněte políčko Povolit DNSSEC.

   

4. Po zobrazení výzvy k potvrzení, že chcete povolit DNSSEC, vyberte OK.
   

   

5. Počkejte na dokončení podepisování zóny. Po podepsání zóny zkontrolujte zobrazené informace o delegování DNSSEC. Všimněte si, že stav je: Podepsáno, ale ne delegováno.

   

   Poznámka:

   Pokud konfigurace sítě Azure nepovoluje kontrolu delegování, potlačí se zde zobrazená zpráva delegování. V tomto případě můžete k ověření stavu delegování použít veřejný ladicí program DNSSEC.

6. Zkopírujte informace o delegování a použijte ho k vytvoření záznamu DS v nadřazené zóně.

   1. Pokud je nadřazená zóna doménou nejvyšší úrovně (například: .com), musíte přidat záznam DS u svého registrátora. Každý registrátor má svůj vlastní proces. Registrátor může požádat o hodnoty, jako je značka klíče, algoritmus, typ digestu a hodnota Hash klíče. V tomto příkladu jsou tyto hodnoty:

      Značka klíče: 4535
      Algoritmus: 13
      Typ digestu: 2
      Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Když registrátorovi zadáte záznam DS, přidá ho do nadřazené zóny, například do zóny TLD (Top Level Domain).

   2. Pokud vlastníte nadřazenou zónu, můžete přidat záznam DS přímo do nadřazeného objektu sami. Následující příklad ukazuje, jak přidat záznam DS do zóny DNS adatum.com pro podřízenou zónu secure.adatum.com při hostování obou zón pomocí Veřejného DNS Azure:

      

   3. Pokud nadřazenou zónu nevlastníte, odešlete záznam DS vlastníkovi nadřazené zóny s pokyny k jeho přidání do jejich zóny.

7. Po nahrání záznamu DS do nadřazené zóny vyberte stránku s informacemi DNSSEC pro vaši zónu a ověřte, že se zobrazilo podepsané a delegované. Vaše zóna DNS je teď plně podepsaná službou DNSSEC.

   

   Poznámka:

   Pokud konfigurace sítě Azure nepovoluje kontrolu delegování, potlačí se zde zobrazená zpráva delegování. V tomto případě můžete k ověření stavu delegování použít veřejný ladicí program DNSSEC.

Azure CLI

1. Podepište zónu pomocí Azure CLI:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. Získejte informace o delegování a použijte ho k vytvoření záznamu DS v nadřazené zóně.

K zobrazení informací o záznamu DS můžete použít následující příkaz Azure CLI:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Ukázkový výstup:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Další možností je získat informace o ds pomocí dig.exe na příkazovém řádku:

dig adatum.com DS +dnssec

Ukázkový výstup:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

V těchto příkladech jsou hodnoty DS:

• Značka klíče: 26767
• Algoritmus: 13
• Typ digestu: 2
• Digest: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Pokud je nadřazená zóna doménou nejvyšší úrovně (například: .com), musíte přidat záznam DS u svého registrátora. Každý registrátor má svůj vlastní proces.

4. Pokud vlastníte nadřazenou zónu, můžete přidat záznam DS přímo do nadřazeného objektu sami. Následující příklad ukazuje, jak přidat záznam DS do zóny DNS adatum.com pro podřízenou zónu secure.adatum.com, když jsou obě zóny podepsané a hostované pomocí Veřejného DNS Azure:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. Pokud nadřazenou zónu nevlastníte, odešlete záznam DS vlastníkovi nadřazené zóny s pokyny k jeho přidání do jejich zóny.

PowerShell

1. Podepište a ověřte zónu pomocí PowerShellu:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. Získejte informace o delegování a použijte ho k vytvoření záznamu DS v nadřazené zóně.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Příklad výstupu:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

V těchto příkladech jsou hodnoty DS:

• Značka klíče: 26767
• Algoritmus: 13
• Typ digestu: 2
• Digest: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Pokud je nadřazená zóna doménou nejvyšší úrovně (například: .com), musíte přidat záznam DS u svého registrátora. Každý registrátor má svůj vlastní proces.

4. Pokud vlastníte nadřazenou zónu, můžete přidat záznam DS přímo do nadřazeného objektu sami. Následující příklad ukazuje, jak přidat záznam DS do zóny DNS adatum.com pro podřízenou zónu secure.adatum.com, když jsou obě zóny podepsané a hostované pomocí Veřejného DNS Azure. Nahraďte <značky> klíče, algoritmus<>, <digest> a <digest> odpovídajícími hodnotami z dříve dotazovaného záznamu DS.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. Pokud nadřazenou zónu nevlastníte, odešlete záznam DS vlastníkovi nadřazené zóny s pokyny k jeho přidání do jejich zóny.

Další kroky

• Zjistěte, jak zrušit znaménka zóny DNS.
• Zjistěte, jak hostovat zónu zpětného vyhledávání pro rozsah IP adres přiřazený poskytovatelem internetových služeb v Azure DNS.
• Zjistěte, jak spravovat reverzní záznamy DNS pro služby Azure.