DNSSEC-zonsignering är för närvarande i förhandsversion.
Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.
Den här DNSSEC-förhandsversionen erbjuds utan krav på registrering i en förhandsversion. Du kan använda Cloud Shell för att signera eller ta bort en zon med Azure PowerShell eller Azure CLI. Signering av en zon med hjälp av Azure Portal är tillgängligt i nästa portaluppdatering.
Förutsättningar
DNS-zonen måste vara värd för Azure Public DNS. Mer information finns i Hantera DNS-zoner.
Den överordnade DNS-zonen måste signeras med DNSSEC. De flesta huvuddomäner på toppnivå (.com, .net, .org) är redan signerade.
Signera en zon med DNSSEC
För att skydda DNS-zonen med DNSSEC måste du först signera zonen. Zonens signeringsprocess skapar en delegeringssigneringspost (DS) som sedan måste läggas till i den överordnade zonen.
Så här signerar du zonen med DNSSEC med hjälp av Azure Portal:
På sidan Azure Portal Start söker du efter och väljer DNS-zoner.
Välj din DNS-zon och välj sedan DNSSEC på zonens översiktssida. Du kan välja DNSSEC på menyn längst upp eller under DNS-hantering.
Markera kryssrutan Aktivera DNSSEC .
När du uppmanas att bekräfta att du vill aktivera DNSSEC väljer du OK.
Vänta tills zonsigneringen har slutförts. När zonen har signerats granskar du informationen om DNSSEC-delegering som visas. Observera att statusen är: Signerad men inte delegerad.
Kopiera delegeringsinformationen och använd den för att skapa en DS-post i den överordnade zonen.
Om den överordnade zonen är en toppnivådomän (till exempel: .com) måste du lägga till DS-posten hos registratorn. Varje registrator har en egen process. Registratorn kan be om värden som nyckeltagg, algoritm, sammanfattad typ och nyckelsammandrag. I exemplet som visas här är följande värden:
När du anger DS-posten för din registrator lägger registratorn till DS-posten i den överordnade zonen, till exempel zonen Toppnivådomän (TLD).
Om du äger den överordnade zonen kan du lägga till en DS-post direkt till den överordnade själv. I följande exempel visas hur du lägger till en DS-post i DNS-zonen adatum.com för den underordnade zonen secure.adatum.com när båda zonerna finns med azure public DNS:
Om du inte äger den överordnade zonen skickar du DS-posten till ägaren av den överordnade zonen med instruktioner för att lägga till den i zonen.
När DS-posten har laddats upp till den överordnade zonen väljer du sidan DNSSEC-information för din zon och kontrollerar att Signerad och delegering har upprättats visas. Dns-zonen är nu helt DNSSEC-signerad.
Signera en zon med Hjälp av Azure CLI:
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
Hämta delegeringsinformationen och använd den för att skapa en DS-post i den överordnade zonen.
Du kan använda följande Azure CLI-kommando för att visa DS-postinformationen:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
Om den överordnade zonen är en toppnivådomän (till exempel: .com) måste du lägga till DS-posten hos registratorn. Varje registrator har en egen process.
Om du äger den överordnade zonen kan du lägga till en DS-post direkt till den överordnade själv. I följande exempel visas hur du lägger till en DS-post i DNS-zonen adatum.com för den underordnade zonen secure.adatum.com när båda zonerna är signerade och värdhanterade med azure public DNS:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
Om du inte äger den överordnade zonen skickar du DS-posten till ägaren av den överordnade zonen med instruktioner för att lägga till den i zonen.
Signera och verifiera din zon med PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
Hämta delegeringsinformationen och använd den för att skapa en DS-post i den överordnade zonen.
Om den överordnade zonen är en toppnivådomän (till exempel: .com) måste du lägga till DS-posten hos registratorn. Varje registrator har en egen process.
Om du äger den överordnade zonen kan du lägga till en DS-post direkt till den överordnade själv. I följande exempel visas hur du lägger till en DS-post i DNS-zonen adatum.com för den underordnade zonen secure.adatum.com när båda zonerna är signerade och värdhanterade med azure public DNS. Ersätt <nyckeltagg>, <algoritm>, <sammandrag> och <sammandrag med lämpliga värden från den DS-post> som du frågade tidigare.
