De DNS-zone moet worden gehost door Openbare DNS van Azure. Zie DNS-zones beheren voor meer informatie.
De bovenliggende DNS-zone moet zijn ondertekend met DNSSEC. De meeste belangrijke domeinen op het hoogste niveau (.com, .net, .org) zijn al ondertekend.
Een zone ondertekenen met DNSSEC
Als u uw DNS-zone wilt beveiligen met DNSSEC, moet u eerst de zone ondertekenen. Tijdens het zoneondertekeningsproces wordt een DS-record (delegeringsondertekening) gemaakt die vervolgens moet worden toegevoegd aan de bovenliggende zone.
Ga als volgende te werk om uw zone te ondertekenen met DNSSEC via Azure Portal:
Zoek en selecteer DNS-zones op de startpagina van Azure Portal.
Selecteer uw DNS-zone en selecteer vervolgens op de pagina Overzicht van de zone DNSSEC. U kunt DNSSEC selecteren in het menu bovenaan of onder DNS-beheer.
Schakel het selectievakje DNSSEC inschakelen in.
Wanneer u wordt gevraagd om te bevestigen dat u DNSSEC wilt inschakelen, selecteert u OK.
Wacht tot het ondertekenen van de zone is voltooid. Nadat de zone is ondertekend, controleert u de informatie over DNSSEC-delegering die wordt weergegeven. U ziet dat de status is: Ondertekend, maar niet gedelegeerd.
Notitie
Als uw Azure-netwerkconfiguratie geen controle van delegering toestaat, wordt het hier weergegeven overdrachtsbericht onderdrukt. In dit geval kunt u een openbaar DNSSEC-foutopsporingsprogramma gebruiken om de overdrachtsstatus te controleren.
Kopieer de overdrachtsgegevens en gebruik deze om een DS-record te maken in de bovenliggende zone.
Als de bovenliggende zone een domein op het hoogste niveau is (bijvoorbeeld: .com), moet u de DS-record toevoegen bij uw registrar. Elke registrar heeft een eigen proces. De registrar kan om waarden vragen, zoals de sleuteltag, het algoritme, het digesttype en de sleutelsamenvating. In het voorbeeld dat hier wordt weergegeven, zijn deze waarden:
Wanneer u de DS-record aan uw registrar opgeeft, voegt de registrar de DS-record toe aan de bovenliggende zone, zoals de TLD-zone (Top Level Domain).
Als u eigenaar bent van de bovenliggende zone, kunt u zelf rechtstreeks een DS-record toevoegen aan de bovenliggende zone. In het volgende voorbeeld ziet u hoe u een DS-record toevoegt aan de DNS-zone adatum.com voor de onderliggende zone secure.adatum.com wanneer beide zones worden gehost met azure Public DNS:
Als u niet de eigenaar bent van de bovenliggende zone, stuurt u de DS-record naar de eigenaar van de bovenliggende zone met instructies om deze toe te voegen aan de zone.
Wanneer de DS-record is geĆ¼pload naar de bovenliggende zone, selecteert u de DNSSEC-informatiepagina voor uw zone en controleert u of ondertekende en delegatie wordt weergegeven. Uw DNS-zone is nu volledig met DNSSEC ondertekend.
Notitie
Als uw Azure-netwerkconfiguratie geen controle van delegering toestaat, wordt het hier weergegeven overdrachtsbericht onderdrukt. In dit geval kunt u een openbaar DNSSEC-foutopsporingsprogramma gebruiken om de overdrachtsstatus te controleren.
Een zone ondertekenen met behulp van de Azure CLI:
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
Haal de overdrachtsgegevens op en gebruik deze om een DS-record te maken in de bovenliggende zone.
U kunt de volgende Azure CLI-opdracht gebruiken om de gegevens van de DS-record weer te geven:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
Als de bovenliggende zone een domein op het hoogste niveau is (bijvoorbeeld: .com), moet u de DS-record toevoegen bij uw registrar. Elke registrar heeft een eigen proces.
Als u eigenaar bent van de bovenliggende zone, kunt u zelf rechtstreeks een DS-record toevoegen aan de bovenliggende zone. In het volgende voorbeeld ziet u hoe u een DS-record toevoegt aan de DNS-zone adatum.com voor de onderliggende zone secure.adatum.com wanneer beide zones zijn ondertekend en gehost met azure Public DNS:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
Als u niet de eigenaar bent van de bovenliggende zone, stuurt u de DS-record naar de eigenaar van de bovenliggende zone met instructies om deze toe te voegen aan de zone.
Meld uw zone aan en controleer deze met behulp van PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
Haal de overdrachtsgegevens op en gebruik deze om een DS-record te maken in de bovenliggende zone.
Als de bovenliggende zone een domein op het hoogste niveau is (bijvoorbeeld: .com), moet u de DS-record toevoegen bij uw registrar. Elke registrar heeft een eigen proces.
Als u eigenaar bent van de bovenliggende zone, kunt u zelf rechtstreeks een DS-record toevoegen aan de bovenliggende zone. In het volgende voorbeeld ziet u hoe u een DS-record toevoegt aan de DNS-zone adatum.com voor de onderliggende zone secure.adatum.com wanneer beide zones zijn ondertekend en gehost met azure Public DNS. Vervang <sleuteltag>, <algoritme>, <digest en <digest-type>> door de juiste waarden uit de DS-record die u eerder hebt opgevraagd.
Als u niet de eigenaar bent van de bovenliggende zone, stuurt u de DS-record naar de eigenaar van de bovenliggende zone met instructies om deze toe te voegen aan de zone.
