本頁面說明如何啟用及停用網域名稱系統安全性擴充功能 (DNSSEC),以及驗證 DNSSEC 部署作業。
如需 DNSSEC 的概念總覽,請參閱 DNSSEC 總覽。
在現有代管公開區域啟用 DNSSEC
如要在現有代管公開區域啟用 DNSSEC,請按照下列步驟操作。
控制台
前往 Google Cloud 控制台的「Cloud DNS」頁面。
按一下要啟用 DNSSEC 的區域名稱。
在「Zone details」(區域詳細資料) 頁面中,按一下「Edit」(編輯)。
在「Edit a DNS zone」(編輯 DNS 區域) 頁面中,按一下「DNSSEC」。
在「DNSSEC」下方,選取「On」(開啟)。
按一下「Save」(儲存)。
您為區域選取的 DNSSEC 狀態會顯示在「Cloud DNS」頁面的「DNSSEC」欄中。
gcloud
執行下列指令:
gcloud dns managed-zones update EXAMPLE_ZONE \
--dnssec-state on
將 EXAMPLE_ZONE 替換為區域 ID。
Terraform
在建立區域時啟用 DNSSEC
如要在建立區域時啟用 DNSSEC,請按照下列步驟操作。
控制台
前往 Google Cloud 控制台的「Cloud DNS」頁面。
按一下「Create zone」(建立區域)。
在「Zone name」(區域名稱) 欄位,輸入名稱。
在「DNS name」(DNS 名稱) 欄位,輸入名稱。
在「DNSSEC」下方,選取「On」(開啟)。
選用:新增說明。
點選「Create」(建立)。
gcloud
執行下列指令:
gcloud dns managed-zones create EXAMPLE_ZONE \
--description "Signed Zone" \
--dns-name myzone.example.com \
--dnssec-state on
將 EXAMPLE_ZONE 替換為區域 ID。
驗證 DNSSEC 部署狀態
如要驗證啟用 DNSSEC 的區域是否已正確部署,請確認在上層區域中放置了正確的 DS 記錄。如果發生下列任一情況,DNSSEC 解析可能會失敗:
- 設定有誤或輸入錯誤。
- 在上層區域中放置的 DS 記錄不正確。
如要確認目前的設定是否正確,並在將 DS 記錄放在上層區域前交叉檢查,請使用下列工具:
您可以在向註冊商更新 Cloud DNS 名稱伺服器或 DS 記錄「之前」,使用 Verisign DNSSEC 偵錯工具和 Zonemaster 網站,驗證 DNSSEC 設定。妥善設定 DNSSEC 的網域為 example.com,可透過 DNSViz 查看。
建議的 DNSSEC 簽署區域存留時間設定
存留時間 (TTL) 是指 DNSSEC 簽署區域的存留時間 (以秒為單位)。
與存留時間的到期時間不同,這是名稱伺服器傳送查詢回應的相對時間,DNSSEC 簽名會於固定的絕對時間到期。設定的存留時間超過簽名有效時間,可能會造成在 DNSSEC 簽名到期時,有許多用戶端同時要求記錄。存留時間過短也會造成 DNSSEC 驗證解析器發生問題。
如需更多有關存留時間的選擇建議,請參閱 RFC 6781 4.4.1 節「時間考量」和 RFC 6781 圖 11。
參閱 RFC 6781 第 4.4.1 節時,請注意許多簽名時間參數都已由 Cloud DNS 限定,無法變更。您無法變更下列參數 (如有變動,恕不另行通知,本文件亦不會更新):
- Inception 偏移 = 1 天
- 有效期限 = 21 天
- 重新簽署期間 = 3 天
- 重新整理期間 = 18 天
- 時基誤差間隔 = ½ 天 (或 ±6 小時)
- 簽名有效性最短期間 = 重新整理 – 時基誤差 = 17.75 天 = 1533600
設定的存留時間不得超過簽名有效性最短期間。
停用代管區域的 DNSSEC
移除 DS 記錄並等到這些記錄在快取中到期後,就能使用下列 gcloud 指令關閉 DNSSEC:
gcloud dns managed-zones update EXAMPLE_ZONE \
--dnssec-state off
將 EXAMPLE_ZONE 替換為區域 ID。
後續步驟
- 如要瞭解特定 DNSSEC 設定,請參閱「使用進階 DNSSEC」。
- 如要使用代管區域,請參閱「建立、修改及刪除區域」。
- 如要瞭解使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱這篇文章。
- 如要查看 Cloud DNS 總覽,請參閱這篇文章。