Jak podpisać publiczną strefę DNS platformy Azure przy użyciu protokołu DNSSEC

W tym artykule pokazano, jak podpisać strefę DNS przy użyciu rozszerzeń zabezpieczeń systemu nazw domen (DNSSEC).

Aby usunąć podpisywanie PROTOKOŁU DNSSEC ze strefy, zobacz Jak cofnąć przypisanie publicznej strefy DNS platformy Azure.

Wymagania wstępne

• Strefa DNS musi być hostowana przez publiczny system DNS platformy Azure. Aby uzyskać więcej informacji, zobacz Zarządzanie strefami DNS.
• Nadrzędna strefa DNS musi być podpisana przy użyciu protokołu DNSSEC. Większość głównych domen najwyższego poziomu (.com, .net, .org) jest już podpisana.

Podpisywanie strefy przy użyciu protokołu DNSSEC

Aby chronić strefę DNS przy użyciu protokołu DNSSEC, musisz najpierw podpisać strefę. Proces podpisywania strefy tworzy rekord podpisywania delegowania (DS), który należy następnie dodać do strefy nadrzędnej.

Witryna Azure Portal

Aby podpisać strefę przy użyciu protokołu DNSSEC przy użyciu witryny Azure Portal:

1. Na stronie głównej witryny Azure Portal wyszukaj i wybierz pozycję Strefy DNS.

2. Wybierz strefę DNS, a następnie na stronie Przegląd strefy wybierz pozycję DNSSEC. Możesz wybrać opcję DNSSEC z menu u góry lub w obszarze Zarządzanie systemem DNS.

   

3. Zaznacz pole wyboru Włącz protokół DNSSEC.

   

4. Po wyświetleniu monitu o potwierdzenie włączenia protokołu DNSSEC wybierz przycisk OK.
   

   

5. Poczekaj na ukończenie podpisywania strefy. Po podpisaniu strefy przejrzyj wyświetlane informacje o delegowaniu protokołu DNSSEC. Zwróć uwagę, że stan to: Podpisany, ale nie delegowany.

   

   Uwaga

   Jeśli konfiguracja sieci platformy Azure nie zezwala na sprawdzanie delegowania, komunikat delegowania pokazany tutaj jest pomijany. W takim przypadku można użyć publicznego debugera DNSSEC w celu zweryfikowania stanu delegowania.

6. Skopiuj informacje delegowania i użyj go do utworzenia rekordu DS w strefie nadrzędnej.

   1. Jeśli strefa nadrzędna jest domeną najwyższego poziomu (na przykład: .com), należy dodać rekord DS u rejestratora. Każdy rejestrator ma swój własny proces. Rejestrator może poprosić o wartości, takie jak tag klucza, algorytm, typ skrótu i skrót klucza. W przykładzie przedstawionym tutaj następujące wartości to:

      Tag klucza: 4535
      Algorytm: 13
      Typ skrótu: 2
      Skrót: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Po podaniu rekordu DS rejestratorowi rejestrator dodaje rekord DS do strefy nadrzędnej, takiej jak strefa domeny najwyższego poziomu (TLD).

   2. Jeśli jesteś właścicielem strefy nadrzędnej, możesz dodać rekord DS bezpośrednio do elementu nadrzędnego. W poniższym przykładzie pokazano, jak dodać rekord DS do strefy DNS adatum.com dla strefy podrzędnej secure.adatum.com, gdy obie strefy są hostowane przy użyciu publicznego systemu DNS platformy Azure:

      

   3. Jeśli nie jesteś właścicielem strefy nadrzędnej, wyślij rekord DS do właściciela strefy nadrzędnej z instrukcjami, aby dodać go do strefy.

7. Po przekazaniu rekordu DS do strefy nadrzędnej wybierz stronę informacji PROTOKOŁU DNSSEC dla strefy i sprawdź, czy jest wyświetlane ustawienie Podpisane i delegowanie. Strefa DNS jest teraz w pełni podpisana przez protokół DNSSEC.

   

   Uwaga

   Jeśli konfiguracja sieci platformy Azure nie zezwala na sprawdzanie delegowania, komunikat delegowania pokazany tutaj jest pomijany. W takim przypadku można użyć publicznego debugera DNSSEC w celu zweryfikowania stanu delegowania.

Interfejs wiersza polecenia platformy Azure

1. Podpisywanie strefy przy użyciu interfejsu wiersza polecenia platformy Azure:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. Uzyskaj informacje o delegowaniu i użyj go do utworzenia rekordu DS w strefie nadrzędnej.

Możesz użyć następującego polecenia interfejsu wiersza polecenia platformy Azure, aby wyświetlić informacje o rekordzie DS:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Przykładowe dane wyjściowe:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Alternatywnie możesz również uzyskać informacje o usługach ds przy użyciu dig.exe w wierszu polecenia:

dig adatum.com DS +dnssec

Przykładowe dane wyjściowe:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

W tych przykładach wartości DS to:

• Tag klucza: 26767
• Algorytm: 13
• Typ skrótu: 2
• Skrót: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Jeśli strefa nadrzędna jest domeną najwyższego poziomu (na przykład: .com), należy dodać rekord DS u rejestratora. Każdy rejestrator ma swój własny proces.

4. Jeśli jesteś właścicielem strefy nadrzędnej, możesz dodać rekord DS bezpośrednio do elementu nadrzędnego. W poniższym przykładzie pokazano, jak dodać rekord DS do strefy DNS adatum.com dla strefy podrzędnej secure.adatum.com, gdy obie strefy są podpisane i hostowane przy użyciu usługi Azure Public DNS:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. Jeśli nie jesteś właścicielem strefy nadrzędnej, wyślij rekord DS do właściciela strefy nadrzędnej z instrukcjami, aby dodać go do strefy.

Program PowerShell

1. Podpisywanie i weryfikowanie strefy przy użyciu programu PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. Uzyskaj informacje o delegowaniu i użyj go do utworzenia rekordu DS w strefie nadrzędnej.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Przykładowe wyjście:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

W tych przykładach wartości DS to:

• Tag klucza: 26767
• Algorytm: 13
• Typ skrótu: 2
• Skrót: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Jeśli strefa nadrzędna jest domeną najwyższego poziomu (na przykład: .com), należy dodać rekord DS u rejestratora. Każdy rejestrator ma swój własny proces.

4. Jeśli jesteś właścicielem strefy nadrzędnej, możesz dodać rekord DS bezpośrednio do elementu nadrzędnego. W poniższym przykładzie pokazano, jak dodać rekord DS do strefy DNS adatum.com dla strefy podrzędnej secure.adatum.com, gdy obie strefy są podpisane i hostowane przy użyciu usługi Azure Public DNS. Zastąp <ciąg key-tag>, <algorithm>, <digest i <digest-type>> odpowiednimi wartościami z rekordu DS, którego wcześniej wykonano zapytanie.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. Jeśli nie jesteś właścicielem strefy nadrzędnej, wyślij rekord DS do właściciela strefy nadrzędnej z instrukcjami, aby dodać go do strefy.

Następne kroki

• Dowiedz się, jak cofnąć przypisanie strefy DNS.
• Dowiedz się, jak hostować strefę wyszukiwania wstecznego dla zakresu adresów IP przypisanych przez usługodawcę isp w usłudze Azure DNS.
• Dowiedz się, jak zarządzać zwrotnymi rekordami DNS dla usług platformy Azure.