La firma de zona DNSSEC se encuentra actualmente en versión preliminar.
Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Esta versión preliminar de DNSSEC se ofrece sin necesidad de inscribirse en una versión preliminar. Puede usar Cloud Shell para firmar o anular la firma de una zona con Azure PowerShell o la CLI de Azure. La firma de una zona mediante Azure Portal está disponible en la siguiente actualización del portal.
Requisitos previos
La zona DNS debe estar hospedada por DNS público de Azure. Para obtener más información, consulte Administración de zonas DNS.
La zona DNS primaria debe estar firmada con DNSSEC. La mayoría de los dominios de nivel superior principales (.com, .net, .org) ya están firmados.
Firmar una zona con DNSSEC
Para proteger la zona DNS con DNSSEC, primero debe firmar la zona. El proceso de firma de zona crea un registro de firmante de delegación (DS) que se debe agregar a la zona primaria.
Para firmar la zona con DNSSEC mediante Azure Portal:
En la página principal de Azure Portal, busque y seleccione zonas DNS.
Seleccione la zona DNS y, después, en la página Información general de la zona, seleccione DNSSEC. Puede seleccionar DNSSEC en el menú de la parte superior o en Administración de DNS.
Active la casilla Habilitar DNSSEC.
Cuando se le pida que confirme que desea habilitar DNSSEC, seleccione Aceptar.
Espere a que se complete la firma de zona. Una vez firmada la zona, revise la Información de delegación DNSSEC que se muestra. Observe que el estado es: Firmado pero no delegado.
Copie la información de delegación y úsela para crear un registro DS en la zona primaria.
Si la zona primaria es un dominio de nivel superior (por ejemplo, .com), debe agregar el registro DS en el registrador. Cada registrador tiene su propio proceso. El registrador puede solicitar valores como la etiqueta de clave, el algoritmo, el tipo de resumen y la síntesis de clave. En el ejemplo que se muestra aquí, estos valores son:
Etiqueta de clave: 4535 Algoritmo: 13 Tipo de resumen: 2 Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
Al proporcionar el registro DS al registrador, el registrador agrega el registro DS a la zona primaria, como la zona dominio de nivel superior (TLD).
Si posee la zona primaria, puede agregar un registro DS directamente al elemento primario. En el ejemplo siguiente se muestra cómo agregar un registro DS a la zona DNS adatum.com para la zona secundaria secure.adatum.com cuando ambas zonas se hospedan mediante DNS público de Azure:
Si no posee la zona primaria, envíe el registro DS al propietario de la zona primaria con instrucciones para agregarlo a su zona.
Cuando se haya cargado el registro DS en la zona primaria, seleccione la página de información de DNSSEC de la zona y compruebe que se muestra Establecida con signo y delegación. La zona DNS ahora está totalmente firmada por DNSSEC.
Firma de una zona mediante la CLI de Azure:
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
Obtenga la información de delegación y úsela para crear un registro DS en la zona primaria.
Puede usar el siguiente comando de la CLI de Azure para mostrar la información del registro DS:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
Si la zona primaria es un dominio de nivel superior (por ejemplo, .com), debe agregar el registro DS en el registrador. Cada registrador tiene su propio proceso.
Si posee la zona primaria, puede agregar un registro DS directamente al elemento primario. En el ejemplo siguiente se muestra cómo agregar un registro DS a la zona DNS adatum.com para la zona secundaria secure.adatum.com cuando ambas zonas están firmadas y hospedadas mediante DNS público de Azure:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
Si no posee la zona primaria, envíe el registro DS al propietario de la zona primaria con instrucciones para agregarlo a su zona.
Firma y comprobación de la zona mediante PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
Obtenga la información de delegación y úsela para crear un registro DS en la zona primaria.
Si la zona primaria es un dominio de nivel superior (por ejemplo, .com), debe agregar el registro DS en el registrador. Cada registrador tiene su propio proceso.
Si posee la zona primaria, puede agregar un registro DS directamente al elemento primario. En el ejemplo siguiente se muestra cómo agregar un registro DS a la zona DNS adatum.com para la zona secundaria secure.adatum.com cuando ambas zonas están firmadas y hospedadas mediante DNS público de Azure. Reemplace la <etiqueta de clave>, <algoritmo>, <resumen> y <tipo de resumen> por los valores adecuados del registro DS que ha consultado anteriormente.
