En esta página se describe cómo ver las claves de las extensiones de seguridad del sistema de nombres de dominio (DNSSEC).
Para obtener una descripción general conceptual de DNSSEC, consulta la información general sobre DNSSEC.
DNSKEY es un tipo de registro DNS que contiene una clave de firma pública. Si vas a migrar una zona firmada con DNSSEC a otro operador de DNS, es posible que necesites ver los registros DNSKEY. El proceso de migración de RFC 6781 requiere importar los registros DNSKEY de la clave de firma de zona (ZSK) y de la clave de firma (KSK) de la zona de Cloud DNS a la zona del otro operador.
Si has habilitado DNSSEC en una zona, Cloud DNS gestiona automáticamente la creación y la rotación de las claves DNSSEC (registros DNSKEY) y la firma de los datos de la zona con registros de firma digital de registros de recursos (RRSIG). Cloud DNS no admite la rotación automática de KSKs porque actualmente las rotaciones de KSK requieren la interacción manual con el registrador de dominios. Sin embargo, Cloud DNS sí realiza rotaciones de ZSK totalmente automáticas. Puedes ver las DNSKEYs gestionadas automáticamente con la CLI de Google Cloud o la API REST.
Antes de empezar
Para poder ver las claves DNSSEC, debes haber creado una zona gestionada y habilitado DNSSEC en la zona para que se creen registros DNSKEY.
Mostrar los DNSKEYs actuales
Para mostrar los registros DNSKEY actuales de tu zona, sigue estos pasos.
gcloud
En los siguientes ejemplos de línea de comandos de gcloud, puede especificar el parámetro --project para trabajar en un proyecto concreto.
Para imprimir todas las DNSKEYs en formato JSON, usa el comando
gcloud dns dns-keys list:
gcloud dns dns-keys list --zone ZONE_NAME
Sustituye ZONE_NAME por el nombre de la zona gestionada.
Para mostrar los detalles de una DNSKEY específica en formato JSON, usa el comando
gcloud dns dns-keys describe:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Haz los cambios siguientes:
DNSKEY_ID: el ID de la DNSKEY de la que quieres ver los detalles.ZONE_NAME: el nombre de la zona gestionada
API
Para imprimir todos los DNSKEYs en una colección ResourceRecordSet, usa el método dnsKeys.get con un cuerpo de solicitud vacío:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Haz los cambios siguientes:
PROJECT: el nombre o el ID del proyecto de DNSZONE_NAME: el nombre de la zona gestionada
El resultado es similar al siguiente:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
Para mostrar los detalles de una DNSKEY específica en formato JSON, usa el método dnsKeys DNSKEY_ID.get con un cuerpo de solicitud vacío:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Haz los cambios siguientes:
PROJECT: el nombre o el ID del proyecto de DNSZONE_NAME: el nombre de la zona gestionadaDNSKEY_ID: el ID de la DNSKEY de la que quieres ver los detalles.
Python
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
Haz los cambios siguientes:
PROJECT_NAME: el nombre o el ID de tu proyecto de DNSZONE_NAME: el nombre de la zona gestionada
Siguientes pasos
- Para obtener información sobre configuraciones de DNSSEC específicas, consulta Usar DNSSEC avanzadas.
- Para monitorizar los cambios, consulta Monitorizar la propagación del DNS.
- Para encontrar soluciones a problemas habituales que pueden surgir al usar Cloud DNS, consulta la sección Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta el artículo Información general sobre Cloud DNS.