A assinatura de zona DNSSEC está atualmente em VERSÃO PRÉVIA
Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Essa prévia do DNSSEC é oferecida sem a necessidade de inscrição em uma versão prévia. Você pode usar o Cloud Shell para assinar ou cancelar a assinatura de uma zona com o Azure PowerShell ou a CLI do Azure. A assinatura de uma zona usando o portal do Azure estará disponível na próxima atualização do portal.
Pré-requisitos
A zona DNS deve ser hospedada pelo DNS Público do Azure. Para obter mais informações, veja Gerenciar zonas DNS.
A zona DNS pai deve ser assinada com DNSSEC. A maioria dos principais domínios de nível superior (.com, .net, .org) já estão assinados.
Assinar uma zona com DNSSEC
Para proteger sua zona DNS com DNSSEC, você deve primeiro assinar a zona. O processo de assinatura de zona cria um registro de signatário de delegação (DS) que deve então ser adicionado à zona pai.
Para assinar sua zona com DNSSEC usando o portal do Azure:
Na página inicial do portal do Azure, pesquise e selecione zonas DNS.
Selecione sua zona DNS e, na página Visão geral da zona, selecione DNSSEC. Você pode selecionar DNSSEC no menu na parte superior ou em Gerenciamento de DNS.
Marque a caixa de seleção Habilitar DNSSEC.
Quando for solicitado a confirmar que deseja habilitar o DNSSEC, selecione OK.
Aguarde a conclusão da assinatura da zona. Após a zona ser assinada, revise as informações de delegação DNSSEC que são exibidas. Observe que o status é: Assinado, mas não delegado.
Copie as informações de delegação e use-as para criar um registro DS na zona pai.
Se a zona pai for um domínio de nível superior (por exemplo: .com), você deverá adicionar o registro DS ao seu registrador. Cada registrador tem seu próprio processo. O registrador pode solicitar valores como Key Tag, Algoritmo, Tipo de Digest e Key Digest. No exemplo mostrado aqui, esses valores são:
Marca da Chave: 4535 Algoritmo: 13 Tipo de Resumo: 2 Resumo: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
Quando você fornece o registro DS ao seu registrador, o registrador adiciona o registro DS à zona pai, como a zona de Domínio de Nível Superior (TLD).
Se você for o proprietário da zona pai, poderá adicionar um registro DS diretamente à zona pai. O exemplo a seguir mostra como adicionar um registro DS à zona DNS adatum.com para a zona filha secure.adatum.com quando ambas as zonas são hospedadas usando o DNS Público do Azure:
Se você não for o proprietário da zona pai, envie o registro DS ao proprietário da zona pai com instruções para adicioná-lo à zona dele.
Quando o registro DS tiver sido carregado na zona pai, selecione a página de informações de DNSSEC para sua zona e verifique se Assinado e delegação estabelecida é exibido. Sua zona DNS agora está totalmente assinada pelo DNSSEC.
Assine uma zona usando a CLI do Azure:
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
Obtenha as informações de delegação e use-as para criar um registro DS na zona pai.
Você pode usar o seguinte comando da CLI do Azure para exibir as informações do registro DS:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
Se a zona pai for um domínio de nível superior (por exemplo: .com), você deverá adicionar o registro DS ao seu registrador. Cada registrador tem seu próprio processo.
Se você for o proprietário da zona pai, poderá adicionar um registro DS diretamente à zona pai. O exemplo a seguir mostra como adicionar um registro DS à zona DNS adatum.com para a zona filha secure.adatum.com quando ambas as zonas são assinadas e hospedadas usando o DNS Público do Azure:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
Se você não for o proprietário da zona pai, envie o registro DS ao proprietário da zona pai com instruções para adicioná-lo à zona dele.
Assine e verifique sua zona usando o PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
Obtenha as informações de delegação e use-as para criar um registro DS na zona pai.
Se a zona pai for um domínio de nível superior (por exemplo: .com), você deverá adicionar o registro DS ao seu registrador. Cada registrador tem seu próprio processo.
Se você for o proprietário da zona pai, poderá adicionar um registro DS diretamente à zona pai. O exemplo a seguir mostra como adicionar um registro DS à zona DNS adatum.com para a zona filha secure.adatum.com quando ambas as zonas são assinadas e hospedadas usando o DNS Público do Azure. Substitua <marca da chave>, <algoritmo>, <resumo> e <tipo de resumo> pelos valores apropriados do registro DS que você consultou anteriormente.
