Comment signer votre zone DNS public Azure avec DNSSEC (préversion)

Cet article vous montre comment signer votre zone DNS avec les Extensions de sécurité DNS (DNSSEC).

Pour supprimer la signature DNSSEC d’une zone, consultez Comment annuler la signature de votre zone DNS publique Azure.

Remarque

La signature de zone DNSSEC est actuellement en préversion.
Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
Cette préversion de DNSSEC ne requiert pas d’inscription. Vous pouvez utiliser Cloud Shell pour signer ou supprimer la signature d’une zone avec Azure PowerShell ou Azure CLI. La signature d’une zone à l’aide du portail Azure est disponible dans la prochaine mise à jour du portail.

Prérequis

• La zone DNS doit être hébergée par le DNS public Azure. Pour plus d’informations, consultez Gérer les zones DNS.
• La zone DNS parente doit être signée avec DNSSEC. La plupart des principaux domaines de niveau supérieur (.com, .net, .org) sont déjà signés.

Signer une zone avec DNSSEC

Pour protéger votre zone DNS avec DNSSEC, vous devez d’abord signer la zone. Le processus de signature de zone crée un enregistrement de signataire de délégation (DS) qui doit ensuite être ajouté à la zone parente.

Azure portal

Pour signer votre zone avec DNSSEC à l’aide du Portail Azure :

1. Sur la page d’accueil du portail Azure, recherchez et sélectionnez Zones DNS.

2. Sélectionnez votre zone DNS, puis, dans la page Vue d’ensemble de la zone, sélectionnez DNSSEC. Vous pouvez sélectionner DNSSEC dans le menu en haut ou sous Gestion du service DNS.

   

3. Cochez la case Activer DNSSEC.

   

4. Lorsque vous êtes invité à confirmer que vous souhaitez activer DNSSEC, sélectionnez OK.
   

   

5. Attendez la fin de la signature de zone. Une fois la zone signée, passez en revue les informations de délégation DNSSEC affichées. Notez que l’état est : Signed but not delegated (Signé, mais pas délégué).

   

6. Copiez les informations de délégation et utilisez-les pour créer un enregistrement DS dans la zone parente.

   1. Si la zone parente est un domaine de niveau supérieur (par exemple : .com), vous devez ajouter l’enregistrement DS à votre bureau d’enregistrement. Chaque bureau d’enregistrement a son propre processus. Le bureau d’enregistrement peut demander des valeurs telles que la balise de clé, l’algorithme, le type de synthèse et la synthèse des clés. Dans l’exemple présenté ici, ces valeurs sont les suivantes :

      Balise de clé : 4535
      Algorithme : 13
      Type de synthèse : 2
      Synthèse : 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Lorsque vous fournissez l’enregistrement DS à votre bureau d’enregistrement, le bureau d’enregistrement ajoute l’enregistrement DS à la zone parente, par exemple la zone TLD (domaine de premier niveau).

   2. Si vous êtes propriétaire de la zone parente, vous pouvez ajouter un enregistrement DS directement au parent vous-même. L’exemple suivant montre comment ajouter un enregistrement DS à la zone DNS adatum.com pour la zone enfant secure.adatum.com lorsque les deux zones sont hébergées à l’aide du DNS public Azure :

      

   3. Si vous ne possédez pas la zone parente, envoyez l’enregistrement DS au propriétaire de la zone parente avec des instructions pour l’ajouter à sa zone.

7. Lorsque l’enregistrement DS a été chargé dans la zone parente, sélectionnez la page d’informations DNSSEC de votre zone et vérifiez que Signed and delegation established (Signée et délégation établie) s’affiche. Votre zone DNS est désormais entièrement signée DNSSEC.

   

Azure CLI

1. Signez une zone à l’aide d’Azure CLI :

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. Obtenez les informations de délégation et utilisez-les pour créer un enregistrement DS dans la zone parente.

Vous pouvez utiliser la commande Azure CLI suivante pour afficher les informations d’enregistrement DS :

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Exemple de sortie :

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Vous pouvez également obtenir des informations DS à l’aide de dig.exe sur la ligne de commande :

dig adatum.com DS +dnssec

Exemple de sortie :

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

Dans ces exemples, les valeurs DS sont les suivantes :

• Balise de clé : 26767
• Algorithme : 13
• Type de synthèse : 2
• Synthèse : 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Si la zone parente est un domaine de niveau supérieur (par exemple : .com), vous devez ajouter l’enregistrement DS à votre bureau d’enregistrement. Chaque bureau d’enregistrement a son propre processus.

4. Si vous êtes propriétaire de la zone parente, vous pouvez ajouter un enregistrement DS directement au parent vous-même. L’exemple suivant montre comment ajouter un enregistrement DS à la zone DNS adatum.com pour la zone enfant secure.adatum.com lorsque les deux zones sont signées et hébergées à l’aide du DNS public Azure :

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. Si vous ne possédez pas la zone parente, envoyez l’enregistrement DS au propriétaire de la zone parente avec des instructions pour l’ajouter à sa zone.

PowerShell

1. Signez et vérifiez votre zone à l’aide de PowerShell :

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. Obtenez les informations de délégation et utilisez-les pour créer un enregistrement DS dans la zone parente.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Exemple de sortie :

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Dans ces exemples, les valeurs DS sont les suivantes :

• Balise de clé : 26767
• Algorithme : 13
• Type de synthèse : 2
• Synthèse : 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Si la zone parente est un domaine de niveau supérieur (par exemple : .com), vous devez ajouter l’enregistrement DS à votre bureau d’enregistrement. Chaque bureau d’enregistrement a son propre processus.

4. Si vous êtes propriétaire de la zone parente, vous pouvez ajouter un enregistrement DS directement au parent vous-même. L’exemple suivant montre comment ajouter un enregistrement DS à la zone DNS adatum.com pour la zone enfant secure.adatum.com lorsque les deux zones sont signées et hébergées à l’aide du DNS public Azure. Remplacez la <balise de clé>, l’<algorithme>, la <synthèse> et le <type de synthèse> par les valeurs appropriées de l’enregistrement DS que vous avez interrogé précédemment.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. Si vous ne possédez pas la zone parente, envoyez l’enregistrement DS au propriétaire de la zone parente avec des instructions pour l’ajouter à sa zone.

Étapes suivantes

• Découvrez comment annuler la signature d’une zone DNS.
• Découvrez comment héberger la zone de recherche inversée pour la plage d’adresses IP fournie par votre fournisseur de services Internet dans Azure DNS.
• Découvrez comment gérer des enregistrements DNS inversés pour vos services Azure.