如何使用 DNSSEC 簽署 Azure 公用 DNS 區域（預覽版）

本文說明如何使用域名系統安全性延伸模組 （DNSSEC） 簽署 DNS 區域。

若要從區域移除 DNSSEC 簽署，請參閱 如何取消簽署 Azure 公用 DNS 區域。

注意

DNSSEC 區域簽署目前為預覽狀態。
請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。
此 DNSSEC 預覽版不需要註冊預覽版。 您可以使用 Cloud Shell 使用 Azure PowerShell 或 Azure CLI 簽署或取消簽署區域。 下一個入口網站更新提供使用 Azure 入口網站 簽署區域。

必要條件

• DNS 區域必須由 Azure 公用 DNS 裝載。 如需詳細資訊，請參閱 管理 DNS 區域。
• 父 DNS 區域必須使用 DNSSEC 簽署。 大部分的主要最上層網域（.com、.net、.org）都已經簽署。

使用 DNSSEC 簽署區域

若要使用 DNSSEC 保護您的 DNS 區域，您必須先簽署區域。 區域簽署程式會建立委派簽署者 （DS） 記錄，然後必須新增至父區域。

Azure 入口網站

若要使用 Azure 入口網站 以 DNSSEC 簽署您的區域：

1. 在 [Azure 入口網站 首頁] 頁面上，搜尋並選取 [DNS 區域]。

2. 選取您的 DNS 區域，然後從區域的 [概觀 ] 頁面中，選取 [DNSSEC]。 您可以從頂端功能表或 [DNS 管理] 底下選取 [DNSSEC]。

   

3. 選取 [ 啟用 DNSSEC] 複選框。

   

4. 當系統提示您確認要啟用 DNSSEC 時，請選取 [ 確定]。
   

   

5. 等候區域簽署完成。 簽署區域之後，請檢閱 顯示的 DNSSEC 委派資訊 。 請注意，狀態為： 已簽署但未委派。

   

6. 複製委派資訊，並用它來在父區域中建立 DS 記錄。

   1. 如果父區域是頂層網域（例如： .com），您必須在註冊機構中新增 DS 記錄。 每個註冊機構都有自己的程式。 註冊機構可能會要求值，例如索引鍵標記、演算法、摘要類型和密鑰摘要。 在此範例中，這些值為：

      索引鍵標記：4535
      演算法：13
      摘要類型：2
      摘要：7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      當您將 DS 記錄提供給註冊機構時，註冊機構會將 DS 記錄新增至父區域，例如最上層網域 （TLD） 區域。

   2. 如果您擁有父區域，您可以自行將 DS 記錄直接新增至父系。 下列範例示範如何在使用 Azure 公用 DNS 裝載這兩個區域時，將 DS 記錄新增至子區域的 DNS 區域 adatum.com secure.adatum.com：

      

   3. 如果您沒有父區域，請傳送 DS 記錄給父區域的擁有者，並指示將它新增至其區域。

7. 將 DS 記錄上傳至父區域時，請選取您區域的 DNSSEC 資訊頁面，並確認 已建立的已簽署 和委派已顯示。 您的 DNS 區域現在已完整簽署 DNSSEC。

   

Azure CLI

1. 使用 Azure CLI 簽署區域：

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. 取得委派資訊，並用它來在父區域中建立 DS 記錄。

您可以使用下列 Azure CLI 命令來顯示 DS 記錄資訊：

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

範例輸出：

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

或者，您也可以在命令行上使用 dig.exe 來取得 DS 資訊：

dig adatum.com DS +dnssec

範例輸出：

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

在這些範例中，DS 值如下：

• 索引鍵標記：26767
• 演算法：13
• 摘要類型：2
• 摘要：0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. 如果父區域是頂層網域（例如： .com），您必須在註冊機構中新增 DS 記錄。 每個註冊機構都有自己的程式。

4. 如果您擁有父區域，您可以自行將 DS 記錄直接新增至父系。 下列範例示範如何在使用 Azure 公用 DNS 簽署和裝載這兩個區域時，將 DS 記錄新增至子區域 adatum.com secure.adatum.com：

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. 如果您沒有父區域，請傳送 DS 記錄給父區域的擁有者，並指示將它新增至其區域。

PowerShell

1. 使用 PowerShell 簽署並驗證您的區域：

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. 取得委派資訊，並用它來在父區域中建立 DS 記錄。

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

範例輸出：

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

在這些範例中，DS 值如下：

• 索引鍵標記：26767
• 演算法：13
• 摘要類型：2
• 摘要：0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. 如果父區域是頂層網域（例如： .com），您必須在註冊機構中新增 DS 記錄。 每個註冊機構都有自己的程式。

4. 如果您擁有父區域，您可以自行將 DS 記錄直接新增至父系。 下列範例示範如何在使用 Azure 公用 DNS 簽署和裝載這兩個區域時，將 DS 記錄新增至子區域的 DNS 區域 adatum.com secure.adatum.com。 將索引鍵標記>、<演算法>、<摘要>和<摘要類型>取代<為您先前查詢之 DS 記錄的適當值。

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. 如果您沒有父區域，請傳送 DS 記錄給父區域的擁有者，並指示將它新增至其區域。

下一步

• 瞭解如何 取消簽署 DNS 區域。
• 了解如何在 Azure DNS 中為您 ISP 指派的 IP 範圍託管反向對應區域。
• 了解如何管理 Azure 服務的反向 DNS 記錄。