Condividi tramite

Come firmare la zona DNS pubblica di Azure con DNSSEC (anteprima)

  • Articolo

Questo articolo illustra come firmare la zona DNS con Domain Name System Security Extensions (DNSSEC).This article how to sign your DNS zone with Domain Name System Security Extensions (DNSSEC).

Per rimuovere la firma DNSSEC da una zona, vedere Come annullare la firma della zona DNS pubblico di Azure.

Nota

La firma della zona DNSSEC è attualmente in ANTEPRIMA.
Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Questa anteprima DNSSEC viene offerta senza la necessità di eseguire la registrazione in un'anteprima. È possibile usare Cloud Shell per firmare o annullare la firma di una zona con Azure PowerShell o l'interfaccia della riga di comando di Azure. La firma di una zona usando il portale di Azure è disponibile nell'aggiornamento successivo del portale.

Prerequisiti

  • La zona DNS deve essere ospitata da DNS pubblico di Azure. Per altre informazioni, vedere Gestire le zone DNS.
  • La zona DNS padre deve essere firmata con DNSSEC. La maggior parte dei domini di primo livello principali (.com, .net, .org) è già firmata.

Firmare una zona con DNSSEC

Per proteggere la zona DNS con DNSSEC, è prima necessario firmare la zona. Il processo di firma della zona crea un record del firmatario di delega (DS) che deve quindi essere aggiunto alla zona padre.

Per firmare la zona con DNSSEC usando il portale di Azure:

  1. Nella home page di portale di Azure cercare e selezionare Zone DNS.

  2. Selezionare la zona DNS e quindi nella pagina Panoramica della zona selezionare DNSSEC. È possibile selezionare DNSSEC dal menu nella parte superiore o in Gestione DNS.

    Screenshot di come selezionare DNSSEC.

  3. Selezionare la casella di controllo Abilita DNSSEC .

    Screenshot della selezione della casella di controllo DNSSEC.

  4. Quando viene richiesto di confermare che si vuole abilitare DNSSEC, selezionare OK.

    Screenshot della conferma della firma DNSSEC.

  5. Attendere il completamento della firma della zona. Dopo la firma della zona, esaminare le informazioni di delega DNSSEC visualizzate. Si noti che lo stato è: Firmato ma non delegato.

    Screenshot di una zona firmata con record DS mancante.

  6. Copiare le informazioni sulla delega e usarle per creare un record DS nella zona padre.

    1. Se la zona padre è un dominio di primo livello , ad esempio , .comè necessario aggiungere il record DS nel registrar. Ogni registrar ha un proprio processo. Il registrar potrebbe richiedere valori come tag chiave, algoritmo, tipo di digest e digest della chiave. Nell'esempio illustrato di seguito sono riportati i valori seguenti:

      Tag chiave: 4535
      Algoritmo: 13
      Tipo digest: 2
      Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Quando si specifica il record DS al registrar, il registrar aggiunge il record DS alla zona padre, ad esempio la zona TLD (Top Level Domain).

    2. Se si è proprietari della zona padre, è possibile aggiungere un record DS direttamente all'elemento padre. L'esempio seguente illustra come aggiungere un record DS alla zona DNS adatum.com per la zona figlio secure.adatum.com quando entrambe le zone sono ospitate tramite DNS pubblico di Azure:

      Screenshot dell'aggiunta di un record DS alla zona padre.Screenshot di un record DS nella zona padre.

    3. Se non si è proprietari della zona padre, inviare il record DS al proprietario della zona padre con istruzioni per aggiungerlo nella propria zona.

  7. Quando il record DS è stato caricato nella zona padre, selezionare la pagina delle informazioni DNSSEC per la zona e verificare che sia visualizzata la firma e la delega stabilita . La zona DNS è ora completamente firmata DNSSEC.

    Screenshot di una zona completamente firmata e delegata.

Passaggi successivi