A assinatura de zona DNSSEC está atualmente em visualização.
Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Esta pré-visualização DNSSEC é oferecida sem a necessidade de se inscrever numa pré-visualização. Você pode usar o Cloud Shell para assinar ou cancelar a assinatura de uma zona com o Azure PowerShell ou a CLI do Azure. A assinatura de uma zona usando o portal do Azure está disponível na próxima atualização do portal.
Pré-requisitos
A zona DNS deve ser hospedada pelo DNS Público do Azure. Para obter mais informações, consulte Gerenciar zonas DNS.
A zona DNS pai deve ser assinada com DNSSEC. A maioria dos principais domínios de nível superior (.com, .net, .org) já estão assinados.
Assinar uma zona com DNSSEC
Para proteger sua zona DNS com DNSSEC, você deve primeiro assinar a zona. O processo de assinatura de zona cria um registro de assinante de delegação (DS) que deve ser adicionado à zona pai.
Para assinar sua zona com DNSSEC usando o portal do Azure:
Na Home page do portal do Azure, procure e selecione zonas DNS.
Selecione sua zona DNS e, na página Visão geral da zona, selecione DNSSEC. Você pode selecionar DNSSEC no menu na parte superior ou em Gerenciamento de DNS.
Marque a caixa de seleção Ativar DNSSEC .
Quando lhe for pedido para confirmar que pretende ativar o DNSSEC, selecione OK.
Aguarde até que a assinatura da zona seja concluída. Depois que a zona for assinada, revise as informações de delegação do DNSSEC exibidas. Observe que o status é: Assinado, mas não delegado.
Copie as informações de delegação e use-as para criar um registro DS na zona pai.
Se a zona pai for um domínio de nível superior (por exemplo: .com), você deverá adicionar o registro DS ao registrador. Cada registrar tem o seu próprio processo. O registrador pode solicitar valores como Key Tag, Algorithm, Digest Type e Key Digest. No exemplo mostrado aqui, esses valores são:
Chave: 4535 Algoritmo: 13 Tipo de resumo: 2 Resumo: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
Quando você fornece o registro DS ao registrador, o registrador adiciona o registro DS à zona pai, como a zona de Domínio de Nível Superior (TLD).
Se você possui a zona pai, você mesmo pode adicionar um registro DS diretamente ao pai. O exemplo a seguir mostra como adicionar um registro DS ao adatum.com de zona DNS para a zona filho secure.adatum.com quando ambas as zonas são hospedadas usando o DNS Público do Azure:
Se você não for o proprietário da zona pai, envie o registro DS para o proprietário da zona pai com instruções para adicioná-lo à sua zona.
Quando o registro DS tiver sido carregado para a zona pai, selecione a página de informações DNSSEC para sua zona e verifique se Assinado e delegação estabelecida é exibido. Sua zona DNS agora está totalmente assinada com DNSSEC.
Assinar uma zona usando a CLI do Azure:
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
Obtenha as informações de delegação e use-as para criar um registro DS na zona pai.
Você pode usar o seguinte comando da CLI do Azure para exibir as informações do registro DS:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
Se a zona pai for um domínio de nível superior (por exemplo: .com), você deverá adicionar o registro DS ao registrador. Cada registrar tem o seu próprio processo.
Se você possui a zona pai, você mesmo pode adicionar um registro DS diretamente ao pai. O exemplo a seguir mostra como adicionar um registro DS ao adatum.com de zona DNS para a zona filho secure.adatum.com quando ambas as zonas são assinadas e hospedadas usando o DNS Público do Azure:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
Se você não for o proprietário da zona pai, envie o registro DS para o proprietário da zona pai com instruções para adicioná-lo à sua zona.
Assine e verifique sua zona usando o PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
Obtenha as informações de delegação e use-as para criar um registro DS na zona pai.
Se a zona pai for um domínio de nível superior (por exemplo: .com), você deverá adicionar o registro DS ao registrador. Cada registrar tem o seu próprio processo.
Se você possui a zona pai, você mesmo pode adicionar um registro DS diretamente ao pai. O exemplo a seguir mostra como adicionar um registro DS ao adatum.com de zona DNS para a zona filho secure.adatum.com quando ambas as zonas são assinadas e hospedadas usando o DNS Público do Azure. Substitua <key-tag>, <algorithm<>, digest> e <digest-type> pelos valores apropriados do registro DS consultado anteriormente.
