Esta página describe cómo ver las claves de extensiones de seguridad del sistema de nombres de dominio (DNSSEC).
Para obtener una descripción general conceptual de DNSSEC, consulte Descripción general de DNSSEC .
Una DNSKEY es un tipo de registro DNS que contiene una clave de firma pública. Si está migrando una zona firmada DNSSEC a otro operador DNS, podría necesitar ver los registros DNSKEY. El proceso de migración de RFC 6781 requiere importar las DNSKEY de la clave de firma de zona (ZSK) y la clave de firma de clave (KSK) de la zona DNS en la nube a la zona del otro operador.
Si ha habilitado DNSSEC para una zona, Cloud DNS gestiona automáticamente la creación y rotación de claves DNSSEC (registros DNSKEY) y la firma de los datos de la zona con registros de firma digital de registros de recursos (RRSIG). Cloud DNS no admite la rotación automática de claves KSK, ya que actualmente requieren interacción manual con el registrador de dominios. Sin embargo, Cloud DNS realiza rotaciones de claves ZSK totalmente automáticas. Puede ver las claves DNSKEY administradas automáticamente con la CLI de Google Cloud o la API REST.
Antes de empezar
Antes de poder ver las claves DNSSEC, debe haber creado una zona administrada y habilitado DNSSEC para la zona para que se creen registros DNSKEY.
Mostrar las DNSKEY actuales
Para mostrar los registros DNSKEY actuales de su zona, siga estos pasos.
nube g
Para los siguientes ejemplos de línea de comandos gcloud , puede especificar el parámetro --project para operar en un proyecto específico.
Para imprimir todas las DNSKEY en formato JSON, utilice el comando gcloud dns dns-keys list :
gcloud dns dns-keys list --zone ZONE_NAME
Reemplace ZONE_NAME con el nombre de la zona administrada.
Para mostrar los detalles de una DNSKEY específica en formato JSON, utilice el comando gcloud dns dns-keys describe :
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Reemplace lo siguiente:
-
DNSKEY_ID: el ID de la DNSKEY cuyos detalles desea ver -
ZONE_NAME: el nombre de la zona administrada
API
Para imprimir todas las DNSKEY en una colección ResourceRecordSet , utilice el método dnsKeys.get con un cuerpo de solicitud vacío:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Reemplace lo siguiente:
-
PROJECT: el nombre o ID del proyecto DNS -
ZONE_NAME: el nombre de la zona administrada
El resultado es similar al siguiente:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
Para mostrar los detalles de una DNSKEY específica en formato JSON, utilice el método dnsKeys DNSKEY_ID .get con un cuerpo de solicitud vacío:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Reemplace lo siguiente:
-
PROJECT: el nombre o ID del proyecto DNS -
ZONE_NAME: el nombre de la zona administrada -
DNSKEY_ID: el ID de la DNSKEY cuyos detalles desea ver
Pitón
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
Reemplace lo siguiente:
-
PROJECT_NAME: el nombre o ID de su proyecto DNS -
ZONE_NAME: el nombre de la zona administrada
¿Qué sigue?
- Para obtener información sobre configuraciones específicas de DNSSEC, consulte Usar DNSSEC avanzado .
- Para supervisar los cambios, consulte Supervisar la propagación de DNS .
- Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
- Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .