DNSSEC 영역 서명은 현재 미리 보기로 제공됩니다.
베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
이 DNSSEC 미리 보기는 미리 보기에 등록할 필요가 없는 상태로 제공됩니다. Cloud Shell을 사용하여 Azure PowerShell 또는 Azure CLI를 사용하여 영역에 서명하거나 서명 해제할 수 있습니다. Azure Portal을 사용하여 영역 서명은 다음 포털 업데이트에서 사용할 수 있습니다.
필수 조건
DNS 영역은 Azure 공용 DNS에서 호스트되어야 합니다. 자세한 내용은 DNS 영역 관리를 참조 하세요.
부모 DNS 영역은 DNSSEC로 서명해야 합니다. 대부분의 주요 최상위 도메인(.com, .net, .org)은 이미 서명되어 있습니다.
DNSSEC를 사용하여 영역 서명
DNSSEC를 사용하여 DNS 영역을 보호하려면 먼저 영역에 서명해야 합니다. 영역 서명 프로세스는 부모 영역에 추가해야 하는 DS(위임 서명자) 레코드를 만듭니다.
DNS 영역을 선택한 다음 영역의 개요 페이지에서 DNSSEC를 선택합니다. 위쪽 메뉴 또는 DNS 관리에서 DNSSEC를 선택할 수 있습니다.
DNSSEC 사용 확인란을 선택합니다.
DNSSEC를 사용하도록 설정하려는지 확인하라는 메시지가 표시되면 확인을 선택합니다.
영역 서명이 완료되기를 기다립니다. 영역이 서명된 후 표시되는 DNSSEC 위임 정보를 검토합니다. 상태는 서명되었지만 위임되지 않았습니다.
위임 정보를 복사하고 이를 사용하여 부모 영역에 DS 레코드를 만듭니다.
상위 영역이 최상위 도메인인 경우(예: .com) 등록 기관에서 DS 레코드를 추가해야 합니다. 각 등록 기관에는 자체 프로세스가 있습니다. 등록 기관에서 키 태그, 알고리즘, 다이제스트 형식 및 키 다이제스트와 같은 값을 요청할 수 있습니다. 여기에 표시된 예제에서 이러한 값은 다음과 같습니다.
키 태그: 4535 알고리즘: 13 다이제스트 유형: 2 다이제스트: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
등록 기관에 DS 레코드를 제공하면 등록 기관은 TLD(최상위 도메인) 영역과 같은 부모 영역에 DS 레코드를 추가합니다.
부모 영역을 소유하고 있는 경우 직접 부모에 DS 레코드를 추가할 수 있습니다. 다음 예제에서는 두 영역이 모두 Azure 공용 DNS를 사용하여 호스팅되는 경우 자식 영역 secure.adatum.com 대한 DNS 영역 adatum.com DS 레코드를 추가하는 방법을 보여 줍니다.
부모 영역을 소유하지 않은 경우 해당 영역에 추가하라는 지침과 함께 부모 영역의 소유자에게 DS 레코드를 보냅니다.
DS 레코드가 부모 영역에 업로드되면 영역에 대한 DNSSEC 정보 페이지를 선택하고 설정된 서명 및 위임이 표시되는지 확인합니다. 이제 DNS 영역이 완전히 DNSSEC로 서명되었습니다.
Azure CLI를 사용하여 영역에 서명합니다.
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
위임 정보를 가져와서 부모 영역에 DS 레코드를 만드는 데 사용합니다.
다음 Azure CLI 명령을 사용하여 DS 레코드 정보를 표시할 수 있습니다.
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
상위 영역이 최상위 도메인인 경우(예: .com) 등록 기관에서 DS 레코드를 추가해야 합니다. 각 등록 기관에는 자체 프로세스가 있습니다.
부모 영역을 소유하고 있는 경우 직접 부모에 DS 레코드를 추가할 수 있습니다. 다음 예제에서는 두 영역이 모두 Azure 공용 DNS를 사용하여 서명되고 호스트되는 경우 자식 영역 secure.adatum.com 대한 DNS 영역 adatum.com DS 레코드를 추가하는 방법을 보여 줍니다.
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
부모 영역을 소유하지 않은 경우 해당 영역에 추가하라는 지침과 함께 부모 영역의 소유자에게 DS 레코드를 보냅니다.
PowerShell을 사용하여 영역에 서명하고 확인합니다.
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
상위 영역이 최상위 도메인인 경우(예: .com) 등록 기관에서 DS 레코드를 추가해야 합니다. 각 등록 기관에는 자체 프로세스가 있습니다.
부모 영역을 소유하고 있는 경우 직접 부모에 DS 레코드를 추가할 수 있습니다. 다음 예제에서는 두 영역이 모두 Azure 공용 DNS를 사용하여 서명되고 호스트되는 경우 자식 영역 secure.adatum.com 대한 DNS 영역 adatum.com DS 레코드를 추가하는 방법을 보여 줍니다. 키 태그>, 알고리즘>, <<다이제스트> 및 <다이제스트 형식>을 이전에 쿼리한 DS 레코드의 적절한 값으로 바꿉<니다.
