בדף הזה מוסבר איך לראות את המפתחות של תוספי האבטחה של DNS (DNSSEC).
סקירה כללית של DNSSEC מופיעה במאמר סקירה כללית של DNSSEC.
רשומת DNSKEY היא סוג של רשומת DNS שמכילה מפתח חתימה ציבורי. אם אתם מעבירים תחום עם חתימת DNSSEC למפעיל DNS אחר, יכול להיות שתצטרכו לראות את רשומות ה-DNSKEY. תהליך ההעברה ב-RFC 6781 מחייב ייבוא של מפתחות DNSKEY של מפתח לחתימת אזור (ZSK) ומפתח לחתימת מפתח (KSK) מאזור Cloud DNS לאזור של האופרטור השני.
אם הפעלתם DNSSEC לאזור, Cloud DNS מנהל באופן אוטומטי את היצירה והרוטציה של מפתחות DNSSEC (רשומות DNSKEY) ואת החתימה של נתוני האזור באמצעות רשומות חתימה דיגיטלית של רשומת משאב (RRSIG). Cloud DNS לא תומך ברוטציה אוטומטית של KSK כי רוטציות של KSK דורשות כרגע אינטראקציה ידנית עם רשם הדומיין. עם זאת, Cloud DNS מבצע רוטציות של ZSK באופן אוטומטי לחלוטין. אפשר לראות את מפתחות DNSKEY שמנוהלים באופן אוטומטי באמצעות Google Cloud CLI או API בארכיטקטורת REST.
לפני שמתחילים
כדי לראות את מפתחות DNSSEC, צריך ליצור אזור מנוהל ולהפעיל DNSSEC באזור כדי שייווצרו רשומות DNSKEY.
הצגת רשומות DNSKEY נוכחיות
כדי להציג את רשומות ה-DNSKEY הנוכחיות של האזור, פועלים לפי השלבים הבאים.
gcloud
בדוגמאות הבאות של פקודות gcloud בשורת הפקודה, אפשר לציין את הפרמטר --project כדי לבצע פעולה בפרויקט ספציפי.
כדי להדפיס את כל רשומות DNSKEY בפורמט JSON, משתמשים בפקודה gcloud dns dns-keys list:
gcloud dns dns-keys list --zone ZONE_NAME
מחליפים את ZONE_NAME בשם האזור המנוהל.
כדי להציג את הפרטים של DNSKEY שצוין בפורמט JSON, משתמשים בפקודה gcloud dns dns-keys describe:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
DNSKEY_ID: המזהה של ה-DNSKEY שאתם רוצים לראות את הפרטים שלו -
ZONE_NAME: השם של האזור המנוהל
API
כדי להדפיס את כל רשומות ה-DNSKEY לResourceRecordSet אוסף, משתמשים בשיטה dnsKeys.get עם גוף בקשה ריק:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT: השם או המזהה של פרויקט ה-DNS -
ZONE_NAME: השם של האזור המנוהל
הפלט אמור להיראות כך:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
כדי להציג את הפרטים של DNSKEY ספציפי בפורמט JSON, משתמשים בשיטה dnsKeys DNSKEY_ID.get עם תוכן בקשה ריק:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT: השם או המזהה של פרויקט ה-DNS -
ZONE_NAME: השם של האזור המנוהל -
DNSKEY_ID: המזהה של ה-DNSKEY שאתם רוצים לראות את הפרטים שלו
Python
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_NAME: השם או המזהה של פרויקט ה-DNS -
ZONE_NAME: השם של האזור המנוהל
המאמרים הבאים
- מידע על הגדרות DNSSEC ספציפיות זמין במאמר שימוש ב-DNSSEC מתקדם.
- כדי לעקוב אחרי השינויים, אפשר להיעזר במאמר מעקב אחרי הפצת DNS.
- כדי למצוא פתרונות לבעיות נפוצות שאתם עשויים להיתקל בהן במהלך השימוש ב-Cloud DNS, אפשר לעיין במאמר בנושא פתרון בעיות.
- בסקירה הכללית על Cloud DNS תוכלו לקרוא על Cloud DNS.