如何使用 DNSSEC 簽署 Azure 公用 DNS 區域

本文說明如何使用域名系統安全性延伸模組 （DNSSEC） 簽署 DNS 區域。

若要從區域移除 DNSSEC 簽署，請參閱 如何取消簽署 Azure 公用 DNS 區域。

必要條件

• DNS 區域必須由 Azure 公用 DNS 裝載。 如需詳細資訊，請參閱 管理 DNS 區域。
• 父 DNS 區域必須使用 DNSSEC 簽署。 大部分的主要最上層網域（.com、.net、.org）都已經簽署。

使用 DNSSEC 簽署區域

若要使用 DNSSEC 保護您的 DNS 區域，您必須先簽署區域。 區域簽署程式會建立委派簽署者 （DS） 記錄，然後必須新增至父區域。

Azure 入口網站

若要使用 Azure 入口網站 向 DNSSEC 簽署您的區域：

1. 在 [Azure 入口網站 首頁] 頁面上，搜尋並選取 [DNS 區域]。

2. 選取您的 DNS 區域，然後從區域的 [概觀 ] 頁面中，選取 [DNSSEC]。 您可以從頂端功能表或 [DNS 管理] 底下選取 [DNSSEC]。

   

3. 選取 [ 啟用 DNSSEC] 複選框。

   

4. 當系統提示您確認要啟用 DNSSEC 時，請選取 [ 確定]。
   

   

5. 等候區域簽署完成。 簽署區域之後，請檢閱 顯示的 DNSSEC 委派資訊 。 請注意，狀態為： 已簽署但未委派。

   

   注意

   如果您的 Azure 網路設定不允許委派檢查，則會隱藏此處顯示的委派訊息。 在此情況下，您可以使用公用 DNSSEC 調試程式 來驗證委派狀態。

6. 複製委派資訊，並用它來在父區域中建立 DS 記錄。

   1. 如果父區域是頂層網域（例如： .com），您必須在註冊機構中新增 DS 記錄。 每個註冊機構都有自己的程式。 註冊機構可能會要求值，例如索引鍵標記、演算法、摘要類型和密鑰摘要。 在此範例中，這些值為：

      索引鍵標記：4535
      演算法：13
      摘要類型：2
      摘要：7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      當您將 DS 記錄提供給註冊機構時，註冊機構會將 DS 記錄新增至父區域，例如最上層網域 （TLD） 區域。

   2. 如果您擁有父區域，您可以自行將 DS 記錄直接新增至父系。 下列範例示範如何在使用 Azure 公用 DNS 裝載這兩個區域時，將 DS 記錄新增至子區域的 DNS 區域 adatum.com secure.adatum.com：

      

   3. 如果您沒有父區域，請傳送 DS 記錄給父區域的擁有者，並指示將它新增至其區域。

7. 將 DS 記錄上傳至父區域時，請選取您區域的 DNSSEC 資訊頁面，並確認 已建立的已簽署 和委派已顯示。 您的 DNS 區域現在已完整簽署 DNSSEC。

   

   注意

   如果您的 Azure 網路設定不允許委派檢查，則會隱藏此處顯示的委派訊息。 在此情況下，您可以使用公用 DNSSEC 調試程式 來驗證委派狀態。

Azure CLI

1. 使用 Azure CLI 簽署區域：

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. 取得委派資訊，並用它來在父區域中建立 DS 記錄。

您可以使用下列 Azure CLI 命令來顯示 DS 記錄資訊：

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

範例輸出：

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

或者，您也可以在命令行上使用 dig.exe 來取得 DS 資訊：

dig adatum.com DS +dnssec

範例輸出：

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

在這些範例中，DS 值如下：

• 索引鍵標記：26767
• 演算法：13
• 摘要類型：2
• 摘要：0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. 如果父區域是頂層網域（例如： .com），您必須在註冊機構中新增 DS 記錄。 每個註冊機構都有自己的程式。

4. 如果您擁有父區域，您可以自行將 DS 記錄直接新增至父系。 下列範例示範如何在使用 Azure 公用 DNS 簽署和裝載這兩個區域時，將 DS 記錄新增至子區域 adatum.com secure.adatum.com：

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. 如果您沒有父區域，請傳送 DS 記錄給父區域的擁有者，並指示將它新增至其區域。

PowerShell

1. 使用 PowerShell 簽署並驗證您的區域：

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. 取得委派資訊，並用它來在父區域中建立 DS 記錄。

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

範例輸出：

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

在這些範例中，DS 值如下：

• 索引鍵標記：26767
• 演算法：13
• 摘要類型：2
• 摘要：0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. 如果父區域是頂層網域（例如： .com），您必須在註冊機構中新增 DS 記錄。 每個註冊機構都有自己的程式。

4. 如果您擁有父區域，您可以自行將 DS 記錄直接新增至父系。 下列範例示範如何在使用 Azure 公用 DNS 簽署和裝載這兩個區域時，將 DS 記錄新增至子區域的 DNS 區域 adatum.com secure.adatum.com。 將索引鍵標記>、<演算法>、<摘要>和<摘要類型>取代<為您先前查詢之 DS 記錄的適當值。

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. 如果您沒有父區域，請傳送 DS 記錄給父區域的擁有者，並指示將它新增至其區域。

下一步

• 瞭解如何 取消簽署 DNS 區域。
• 了解如何在 Azure DNS 中為您 ISP 指派的 IP 範圍託管反向對應區域。
• 了解如何管理 Azure 服務的反向 DNS 記錄。