DNSSEC를 사용하여 Azure 공용 DNS 영역에 서명하는 방법

이 문서에서는 DNSSEC(Domain Name System Security Extensions)를 사용하여 DNS 영역에 서명하는 방법을 보여 줍니다.

영역에서 DNSSEC 서명을 제거하려면 Azure 공용 DNS 영역의 서명 해제 방법을 참조하세요.

필수 조건

• DNS 영역은 Azure 공용 DNS에서 호스트되어야 합니다. 자세한 내용은 DNS 영역 관리를 참조 하세요.
• 부모 DNS 영역은 DNSSEC로 서명해야 합니다. 대부분의 주요 최상위 도메인(.com, .net, .org)은 이미 서명되어 있습니다.

DNSSEC를 사용하여 영역 서명

DNSSEC를 사용하여 DNS 영역을 보호하려면 먼저 영역에 서명해야 합니다. 영역 서명 프로세스는 부모 영역에 추가해야 하는 DS(위임 서명자) 레코드를 만듭니다.

Azure Portal

Azure Portal을 사용하여 DNSSEC로 영역에 서명하려면 다음을 수행합니다.

1. Azure Portal 홈페이지에서 DNS 영역을 검색하고 선택합니다.

2. DNS 영역을 선택한 다음 영역의 개요 페이지에서 DNSSEC를 선택합니다. 위쪽 메뉴 또는 DNS 관리에서 DNSSEC를 선택할 수 있습니다.

   

3. DNSSEC 사용 확인란을 선택합니다.

   

4. DNSSEC를 사용하도록 설정하려는지 확인하라는 메시지가 표시되면 확인을 선택합니다.
   

   

5. 영역 서명이 완료되기를 기다립니다. 영역이 서명된 후 표시되는 DNSSEC 위임 정보를 검토합니다. 상태는 서명되었지만 위임되지 않았습니다.

   

   참고 항목

   Azure 네트워크 구성에서 위임 확인을 허용하지 않는 경우 여기에 표시된 위임 메시지가 표시되지 않습니다. 이 경우 공용 DNSSEC 디버거 를 사용하여 위임 상태를 확인할 수 있습니다.

6. 위임 정보를 복사하고 이를 사용하여 부모 영역에 DS 레코드를 만듭니다.

   1. 상위 영역이 최상위 도메인인 경우(예: .com) 등록 기관에서 DS 레코드를 추가해야 합니다. 각 등록 기관에는 자체 프로세스가 있습니다. 등록 기관에서 키 태그, 알고리즘, 다이제스트 형식 및 키 다이제스트와 같은 값을 요청할 수 있습니다. 여기에 표시된 예제에서 이러한 값은 다음과 같습니다.

      키 태그: 4535
      알고리즘: 13
      다이제스트 유형: 2
      다이제스트: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      등록 기관에 DS 레코드를 제공하면 등록 기관은 TLD(최상위 도메인) 영역과 같은 부모 영역에 DS 레코드를 추가합니다.

   2. 부모 영역을 소유하고 있는 경우 직접 부모에 DS 레코드를 추가할 수 있습니다. 다음 예제에서는 두 영역이 모두 Azure 공용 DNS를 사용하여 호스팅되는 경우 자식 영역 secure.adatum.com 대한 DNS 영역 adatum.com DS 레코드를 추가하는 방법을 보여 줍니다.

      

   3. 부모 영역을 소유하지 않은 경우 해당 영역에 추가하라는 지침과 함께 부모 영역의 소유자에게 DS 레코드를 보냅니다.

7. DS 레코드가 부모 영역에 업로드되면 영역에 대한 DNSSEC 정보 페이지를 선택하고 설정된 서명 및 위임이 표시되는지 확인합니다. 이제 DNS 영역이 완전히 DNSSEC로 서명되었습니다.

   

   참고 항목

   Azure 네트워크 구성에서 위임 확인을 허용하지 않는 경우 여기에 표시된 위임 메시지가 표시되지 않습니다. 이 경우 공용 DNSSEC 디버거 를 사용하여 위임 상태를 확인할 수 있습니다.

Azure CLI

1. Azure CLI를 사용하여 영역에 서명합니다.

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. 위임 정보를 가져와서 부모 영역에 DS 레코드를 만드는 데 사용합니다.

다음 Azure CLI 명령을 사용하여 DS 레코드 정보를 표시할 수 있습니다.

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

샘플 출력:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

또는 명령줄에서 dig.exe 사용하여 DS 정보를 가져올 수도 있습니다.

dig adatum.com DS +dnssec

샘플 출력:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

다음 예제에서 DS 값은 다음과 같습니다.

• 키 태그: 26767
• 알고리즘: 13
• 다이제스트 유형: 2
• 다이제스트: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. 상위 영역이 최상위 도메인인 경우(예: .com) 등록 기관에서 DS 레코드를 추가해야 합니다. 각 등록 기관에는 자체 프로세스가 있습니다.

4. 부모 영역을 소유하고 있는 경우 직접 부모에 DS 레코드를 추가할 수 있습니다. 다음 예제에서는 두 영역이 모두 Azure 공용 DNS를 사용하여 서명되고 호스트되는 경우 자식 영역 secure.adatum.com 대한 DNS 영역 adatum.com DS 레코드를 추가하는 방법을 보여 줍니다.

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. 부모 영역을 소유하지 않은 경우 해당 영역에 추가하라는 지침과 함께 부모 영역의 소유자에게 DS 레코드를 보냅니다.

PowerShell

1. PowerShell을 사용하여 영역에 서명하고 확인합니다.

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. 위임 정보를 가져와서 부모 영역에 DS 레코드를 만드는 데 사용합니다.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

예제 출력:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

다음 예제에서 DS 값은 다음과 같습니다.

• 키 태그: 26767
• 알고리즘: 13
• 다이제스트 유형: 2
• 다이제스트: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. 상위 영역이 최상위 도메인인 경우(예: .com) 등록 기관에서 DS 레코드를 추가해야 합니다. 각 등록 기관에는 자체 프로세스가 있습니다.

4. 부모 영역을 소유하고 있는 경우 직접 부모에 DS 레코드를 추가할 수 있습니다. 다음 예제에서는 두 영역이 모두 Azure 공용 DNS를 사용하여 서명되고 호스트되는 경우 자식 영역 secure.adatum.com 대한 DNS 영역 adatum.com DS 레코드를 추가하는 방법을 보여 줍니다. 키 태그>, 알고리즘>, <<다이제스트> 및 <다이제스트 형식>을 이전에 쿼리한 DS 레코드의 적절한 값으로 바꿉<니다.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. 부모 영역을 소유하지 않은 경우 해당 영역에 추가하라는 지침과 함께 부모 영역의 소유자에게 DS 레코드를 보냅니다.

다음 단계

• DNS 영역의 서명 해제 방법을 알아봅니다.
• Azure DNS에서 ISP 할당 IP 범위에 대한 역방향 조회 영역 호스트 방법을 알아봅니다.
• Azure 서비스에 대한 역방향 DNS 레코드를 관리하는 방법을 알아봅니다.