本頁說明如何在網域註冊商平台上,啟用及停用網域名稱系統安全性擴充功能 (DNSSEC)。
如要瞭解 DNSSEC,請參閱 DNSSEC 總覽。
在您的網域註冊商平台啟用 DNSSEC
在現有的公開代管區域啟用 DNSSEC 後,您還必須至網域註冊商平台啟用 DNSSEC。做法是在上層區域建立您網域的 DS 記錄,讓解析器能確認網域已啟用 DNSSEC 並驗證資料。
各家註冊商建立 DS 記錄的方式不盡相同,很多是使用網站表單。詳細操作方式,請參閱註冊商的說明文件。
啟用 DNSSEC 後,DS 記錄需要時間傳播至整個 DNS 網路。這個過程可能需要 24 小時甚至更久,具體時間取決於您設定的存留時間 (TTL) 值,以及各個 DNS 解析器的快取行為。
在重要網域上啟用 DNSSEC 前,請務必完整測試您的 DNS 設定。
取得 DS 記錄
如要取得區域的 DS 記錄,請依照下列步驟操作:
控制台
前往 Google Cloud 控制台的「Create a DNS zone」(建立 DNS 區域) 頁面。
按一下要取得 DS 記錄的區域。
按一下「Registrar setup」(註冊商設定)。
複製對話方塊中的 DS 記錄,格式大致如下:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
使用 gcloud dns dns-keys list 指令。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
更改下列內容:
MANAGED_ZONE:代管區域的名稱
輸出結果大致如下:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
在您的網域註冊商平台停用 DNSSEC
如果想關閉某個代管區域的 DNSSEC,但仍需使用該區域,請務必先在網域註冊商平台停用相應的 DNSSEC,確保進行 DNSSEC 驗證的解析器仍能解析區域中的名稱。
停用方式是從上層區域移除您網域所有的 DS 記錄,讓解析器不再使用 DNSSEC 驗證網域資料。
從註冊商移除 DS 記錄後,必須等待變更同步至所有解析器,才能關閉區域的 DNSSEC。這個過程可能需要 24 小時或更久,實際時間取決於註冊商、註冊資料庫的處理速度及解析器的快取狀況。
等到確認 DS 記錄已從註冊商移除,解析器也無法再存取該記錄後,您就能安全停用該區域的 DNSSEC。
後續步驟
- 如要瞭解特定 DNSSEC 設定,請參閱「使用進階 DNSSEC」。
- 如需解決 Cloud DNS 的常見使用問題,請參閱這篇文章。
- 如要查看 Cloud DNS 總覽,請參閱這篇文章。