Questa pagina descrive come visualizzare le chiavi DNSSEC (Domain Name System Security Extensions).
Per una panoramica concettuale di DNSSEC, consulta la pagina della panoramica di DNSSEC.
Un record DNSKEY è un tipo di record DNS che contiene una chiave di firma pubblica. Se stai eseguendo la migrazione di una zona firmata DNSSEC a un altro operatore DNS, potresti dover visualizzare i record DNSKEY. Il processo di migrazione in RFC 6781 richiede l'importazione dei DNSKEY della chiave di firma della zona (ZSK) e della chiave di firma della chiave (KSK) dalla zona Cloud DNS nella zona dell'altro operatore.
Se hai abilitato DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati della zona con record di firma digitale del record di risorse (RRSIG). Cloud DNS non supporta la rotazione automatica delle KSK, perché attualmente le rotazioni delle KSK richiedono l'interazione manuale con il registrar del dominio. Tuttavia, Cloud DNS esegue rotazioni ZSK completamente automatiche. Puoi visualizzare i DNSKEY gestiti automaticamente con Google Cloud CLI o l'API REST.
Prima di iniziare
Prima di poter visualizzare le chiavi DNSSEC, devi creare una zona gestita e abilitare DNSSEC per la zona, in modo che vengano creati i record DNSKEY.
Visualizza i DNSKEY attuali
Per visualizzare i record DNSKEY attuali per la tua zona:
gcloud
Per gli esempi seguenti della riga di comando gcloud, puoi specificare il parametro --project per operare su un progetto specifico.
Per stampare tutti i DNSKEY in formato JSON, utilizza il comando gcloud dns dns-keys list:
gcloud dns dns-keys list --zone ZONE_NAME
Sostituisci ZONE_NAME con il nome della zona gestita.
Per visualizzare i dettagli di un DNSKEY specificato in formato JSON, utilizza il comando gcloud dns dns-keys describe:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Sostituisci quanto segue:
DNSKEY_ID: l'ID del DNSKEY per cui vuoi visualizzare i dettagliZONE_NAME: il nome della zona gestita
API
Per stampare tutti i DNSKEY in una raccolta ResourceRecordSet, utilizza il metodo dnsKeys.get con un corpo della richiesta vuoto:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Sostituisci quanto segue:
PROJECT: il nome o l'ID del progetto DNSZONE_NAME: il nome della zona gestita
L'output è simile al seguente:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
Per visualizzare i dettagli di un DNSKEY specificato in formato JSON, utilizza il metodo dnsKeys DNSKEY_ID.get con un corpo della richiesta vuoto:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Sostituisci quanto segue:
PROJECT: il nome o l'ID del progetto DNSZONE_NAME: il nome della zona gestitaDNSKEY_ID: l'ID del DNSKEY per cui vuoi visualizzare i dettagli
Python
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
Sostituisci quanto segue:
PROJECT_NAME: il nome o l'ID del progetto DNSZONE_NAME: il nome della zona gestita
Passaggi successivi
- Per informazioni su configurazioni DNSSEC specifiche, consulta Utilizza DNSSEC avanzate.
- Per monitorare le modifiche, consulta Monitora la propagazione del DNS.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare durante l'utilizzo di Cloud DNS, consulta la pagina Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la pagina Panoramica di Cloud DNS.