Подписывание зоны DNSSEC в настоящее время находится в предварительной версии.
Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Эта предварительная версия DNSSEC предлагается без необходимости регистрации в предварительной версии. С помощью Cloud Shell можно подписать или отменить подпись зоны с помощью Azure PowerShell или Azure CLI. Подписывание зоны с помощью портал Azure доступно в следующем обновлении портала.
Необходимые компоненты
Зона DNS должна размещаться общедоступным DNS Azure. Дополнительные сведения см. в разделе "Управление зонами DNS".
Родительская зона DNS должна быть подписана с помощью DNSSEC. Большинство основных доменов верхнего уровня (.com, .net, .org) уже подписаны.
Подписывая зону с помощью DNSSEC
Чтобы защитить зону DNS с помощью DNSSEC, необходимо сначала подписать зону. Процесс подписывания зоны создает запись подписи делегирования (DS), которая затем должна быть добавлена в родительскую зону.
Чтобы подписать зону с помощью DNSSEC с помощью портал Azure:
На домашней странице портал Azure найдите и выберите зоны DNS.
Выберите зону DNS, а затем на странице обзора зоны выберите DNSSEC. Вы можете выбрать DNSSEC в меню в верхней части или в разделе "Управление DNS".
Установите флажок "Включить DNSSEC".
Когда появится запрос на подтверждение того, что вы хотите включить DNSSEC, нажмите кнопку "ОК".
Дождитесь завершения подписывания зоны. После подписания зоны просмотрите отображаемые сведения о делегировании DNSSEC. Обратите внимание, что состояние имеет значение: "Подписанный", но не делегированный.
Скопируйте сведения о делегировании и используйте его для создания записи DS в родительской зоне.
Если родительская зона является доменом верхнего уровня (например, .com), необходимо добавить запись DS в регистраторе. У каждого регистратора есть собственный процесс. Регистратор может запрашивать такие значения, как тег ключа, алгоритм, тип дайджеста и дайджест ключа. В примере ниже приведены следующие значения:
Ключевой тег: 4535 Алгоритм: 13 Тип дайджеста: 2 Дайджест: 7A1C9811A965C46319D94D1D4BC6321762B63213F196F876C65802EC5089001
При предоставлении записи DS регистратору регистратор добавляет запись DS в родительскую зону, например зону домена верхнего уровня (TLD).
Если вы владеете родительской зоной, вы можете добавить запись DS непосредственно в родитель. В следующем примере показано, как добавить запись DS в зону DNS adatum.com для дочерней зоны secure.adatum.com, если обе зоны размещаются с помощью Общедоступного DNS Azure:
Если вы не владеете родительской зоной, отправьте запись DS владельцу родительской зоны с инструкциями, чтобы добавить ее в свою зону.
Когда запись DS была отправлена в родительскую зону, выберите страницу сведений DNSSEC для зоны и убедитесь, что установлен подписанный и делегирование. Теперь ваша зона DNS полностью подписана DNSSEC.
Подписыв зону с помощью Azure CLI, выполните следующие действия.
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
Получите сведения о делегировании и используйте его для создания записи DS в родительской зоне.
Для отображения сведений о записи DS можно использовать следующую команду Azure CLI:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
Если родительская зона является доменом верхнего уровня (например, .com), необходимо добавить запись DS в регистраторе. У каждого регистратора есть собственный процесс.
Если вы владеете родительской зоной, вы можете добавить запись DS непосредственно в родитель. В следующем примере показано, как добавить запись DS в зону DNS adatum.com для дочерней зоны secure.adatum.com, когда обе зоны подписаны и размещаются с помощью Общедоступного DNS Azure:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
Если вы не владеете родительской зоной, отправьте запись DS владельцу родительской зоны с инструкциями, чтобы добавить ее в свою зону.
Подписывайте и проверяйте зону с помощью PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
Получите сведения о делегировании и используйте его для создания записи DS в родительской зоне.
Если родительская зона является доменом верхнего уровня (например, .com), необходимо добавить запись DS в регистраторе. У каждого регистратора есть собственный процесс.
Если вы владеете родительской зоной, вы можете добавить запись DS непосредственно в родитель. В следующем примере показано, как добавить запись DS в зону DNS, adatum.com для дочерней зоны secure.adatum.com, когда обе зоны подписаны и размещены с помощью Общедоступного DNS Azure. Замените key-tag>, алгоритм<>, <дайджест и <дайджест-тип>> соответствующими значениями из записи DS, запрошенной ранее.<
