Auf dieser Seite wird beschrieben, wie Sie DNSSEC-Schlüssel (Domain Name System Security Extensions) aufrufen.
Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.
Ein DNSKEY ist ein DNS-Eintragstyp, der einen öffentlichen Signierschlüssel enthält. Wenn Sie eine DNSSEC-signierte Zone zu einem anderen DNS-Operator migrieren, müssen Sie möglicherweise die DNSKEY-Einträge ansehen. Der Migrationsprozess in RFC 6781 erfordert den Import der Zonenschlüssel (Zone Signing Key, ZSK) und Key Signing Key (KSK) aus der Cloud DNS-Zone in die Zone des anderen Betreibers.
Wenn Sie DNSSEC für eine Zone aktiviert haben, verwaltet Cloud DNS automatisch das Erstellen und Drehen von DNSSEC-Schlüsseln (DNSKEY-Datensätzen) und das Signieren von Zonendaten mit digitalen Signaturdatensätzen von Ressourceneinträgen (RRSIG). Cloud DNS unterstützt nicht das automatische Drehen von KSKs, da KSK-Rotationen derzeit eine manuelle Interaktion mit dem Domainregistrator erfordern. Cloud DNS führt jedoch vollautomatische ZSK-Rotationen durch. Die automatisch verwalteten DNSKEYs können Sie mit der Google Cloud CLI oder der REST API anzeigen.
Hinweis
Damit Sie sich die DNSSEC-Schlüssel ansehen können, müssen Sie eine verwaltete Zone erstellt und DNSSEC für die Zone aktiviert haben, sodass DNSKEY-Einträge erstellt werden.
Aktuelle DNSKEYs anzeigen
So rufen Sie die aktuellen DNSKEY-Einträge für Ihre Zone auf:
gcloud
In den folgenden gcloud
-Befehlszeilenbeispielen können Sie den Parameter --project
für ein bestimmtes Projekt angeben.
Verwenden Sie den Befehl gcloud dns dns-keys list
, um alle DNSKEYs im JSON-Format zu drucken:
gcloud dns dns-keys list --zone ZONE_NAME
Ersetzen Sie ZONE_NAME
durch den Namen der verwalteten Zone.
Verwenden Sie den Befehl gcloud dns dns-keys describe
, um die Details eines bestimmten DNSKEY im JSON-Format aufzurufen:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Dabei gilt:
DNSKEY_ID
: Die ID des DNSKEY, für den Sie Details aufrufen möchten.ZONE_NAME
: Der Name der verwalteten Zone
API
Verwenden Sie die Methode dnsKeys.get
mit einem leeren Anfragetext, um alle DNSKEYs in einer ResourceRecordSet
-Sammlung zu drucken:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Dabei gilt:
PROJECT
: Name oder ID des DNS-ProjektsZONE_NAME
: Der Name der verwalteten Zone
Ihre Ausgabe sieht etwa so aus:
{ "kind": "dns#dnsKeysListResponse", "header": { "operationId": string }, "dnsKeys": [ dnsKeys Resource ], "nextPageToken": string }
Verwenden Sie die Methode dnsKeys DNSKEY_ID.get
mit einem leeren Anfragetext, um die Details eines angegebenen DNSKEY im JSON-Format aufzurufen:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Dabei gilt:
PROJECT
: Name oder ID des DNS-ProjektsZONE_NAME
: Der Name der verwalteten ZoneDNSKEY_ID
: Die ID des DNSKEY, für den Sie Details aufrufen möchten.
Python
from apiclient import errors from apiclient.discovery import build PROJECT_NAME= 'PROJECT_NAME' ZONE_NAME= 'ZONE_NAME' try: service = build('dns', 'v1') response = service.dnskeys().list(project=PROJECT_NAME, managedZone=ZONE_NAME).execute() except errors.HttpError, error: print 'An error occurred: %s' % error try: response = service.dnskeys().list(project=PROJECT_NAME, managedZone=ZONE_NAME, keyId=KEY_ID).execute() except errors.HttpError, error: print 'An error occurred: %s' % error
Dabei gilt:
PROJECT_NAME
: Name oder ID Ihres DNS-ProjektsZONE_NAME
: Der Name der verwalteten Zone
Nächste Schritte
- Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
- Informationen zum Überwachen von Änderungen finden Sie unter DNS-Weitergabe überwachen.
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
- Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.