הפעלת DNSSEC

בדף הזה מוסבר איך להפעיל ולהשבית תוספי אבטחה של DNS ‏ (DNSSEC) ברשם הדומיינים.

מידע נוסף על DNSSEC זמין בסקירה הכללית על DNSSEC.

הפעלת DNSSEC אצל רשם הדומיין

אחרי הפעלת DNSSEC לאזורים ציבוריים מנוהלים קיימים, צריך להפעיל DNSSEC אצל רשם הדומיינים. כדי להפעיל DNSSEC, צריך ליצור רשומת DS לדומיין באזור האב, כדי ששרתי שמות יוכלו לזהות שה-DNSSEC מופעל בדומיין ולבדוק את התוקף של הנתונים שלו.

לכל רשם יש הליך שונה ליצירת רשומת ה-DS הזו. רשמי דומיינים רבים משתמשים בטופס באתר. מידע נוסף זמין במסמכי התיעוד של רשם הדומיינים.

אחרי שמפעילים את DNSSEC, רשומת ה-DS צריכה להתפשט בכל מערכת ה-DNS. התהליך הזה יכול להימשך 24 שעות או יותר, בהתאם לערכי אורך החיים (TTL) שהגדרתם לרשומות ה-DNS ולהתנהגות השמירה במטמון של מפענחי DNS שונים.

לפני שמפעילים DNSSEC בדומיינים חשובים, חשוב לבדוק את הגדרת ה-DNS באופן יסודי.

קבלת רשומות DS

כדי לקבל רשומות DS לאזור שלכם, פועלים לפי השלבים הבאים:

המסוף

במסוף Google Cloud , עוברים לדף יצירת תחום DNS.

מעבר אל יצירת תחום DNS
לוחצים על האזור שרוצים לראות את רשומות ה-DS שלו.
לוחצים על הגדרת רשם.
מעתיקים את רשומות ה-DS מתיבת הדו-שיח. רשומות ה-DS אמורות להיראות כך:
```
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
```

gcloud

משתמשים בפקודה gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

מחליפים את מה שכתוב בשדות הבאים:

‫MANAGED_ZONE: השם של האזור המנוהל

הפלט אמור להיראות כך:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

השבתת DNSSEC אצל רשם הדומיין

לפני שמשביתים DNSSEC באזור מנוהל שעדיין רוצים להשתמש בו, צריך להשבית את DNSSEC באזור אצל רשם הדומיינים. כך אפשר לוודא שעדיין תהיה אפשרות לפתור שמות באזור באמצעות רכיבי Resolver שמאמתים DNSSEC.

כדי להשבית את DNSSEC, צריך להסיר את כל רשומות ה-DS של הדומיין מאזור האב. הפעולה הזו מונעת מפתרון בעיות להשתמש ב-DNSSEC כדי לאמת את נתוני הדומיין.

אחרי שמסירים את רשומות ה-DS מהרשם, צריך לחכות עד שההסרה של רשומת ה-DS תתעדכן בכל ה-resolvers לפני שאפשר להשבית את DNSSEC באזור. התהליך הזה עשוי להימשך 24 שעות או יותר, בהתאם לזמן האחזור של ההפצה שנגרם על ידי רשם הדומיין, מרשם הדומיין והמטמון של מפענח ה-DNS.

אחרי שמוודאים שרשומת ה-DS הוסרה מהרשם ושאין יותר גישה לרשומת ה-DS דרך ה-resolvers, אפשר להשבית את DNSSEC לאזור.

המאמרים הבאים

מידע על הגדרות ספציפיות של DNSSEC זמין במאמר שימוש ב-DNSSEC מתקדם.
כדי למצוא פתרונות לבעיות נפוצות שאתם עשויים להיתקל בהן במהלך השימוש ב-Cloud DNS, אפשר לעיין במאמר בנושא פתרון בעיות.
בסקירה הכללית על Cloud DNS תוכלו לקרוא על Cloud DNS.

הפעלת DNSSEC קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.