このページでは、ドメイン登録事業者で Domain Name System Security Extensions(DNSSEC)を有効または無効にする方法について説明します。
DNSSEC について詳しくは、DNSSEC の概要をご覧ください。
ドメイン登録事業者で DNSSEC を有効にする
既存のマネージド パブリック ゾーンで DNSSEC を有効にしたら、ドメイン登録事業者で DNSSEC を有効にする必要があります。DNSSEC を有効にするには、ドメインの DS レコードを親ゾーンに作成します。これにより、ドメインが DNSSEC 対応であることをリゾルバが認識し、そのデータを検証できます。
この DS レコードの作成手順は、登録事業者によって異なります。多くの登録事業者がウェブサイト フォームを使用しています。詳細については、登録事業者のドキュメントをご覧ください。
DNSSEC を有効にすると、DS レコードが DNS 全体に伝播されます。DNS レコードに設定した有効期間(TTL)値と、さまざまな DNS リゾルバのキャッシュ保存動作によっては、このプロセスは 24 時間以上かかることがあります。
重要なドメインで DNSSEC を有効にする前に、DNS 構成を十分にテストしてください。
DS レコードを取得する
ゾーンの DS レコードを取得する手順は次のとおりです。
コンソール
Google Cloud コンソールで、[DNS ゾーンの作成] ページに移動します。
DS レコードを取得するゾーンをクリックします。
[レジストラの設定] をクリックします。
ダイアログから DS レコードをコピーします。DS レコードは次のようになります。
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
gcloud dns dns-keys list コマンドを使用します。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
次のように置き換えます。
MANAGED_ZONE: マネージド ゾーンの名前
出力は次のようになります。
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
ドメイン登録事業者で DNSSEC を無効にする
今後も使用するマネージド ゾーンで DNSSEC を無効にする前に、DNSSEC 検証リゾルバがそのゾーンのネームを引き続き解決できるようにするために、ドメイン登録事業者でそのゾーンの DNSSEC を無効にする必要があります。
DNSSEC を無効にするには、ドメインの DS レコードすべてを親ゾーンから削除します。これにより、リゾルバは DNSSEC を使用してドメインデータを検証しなくなります。
DS レコードを登録事業者から削除したら、DS レコードの削除がすべてのリゾルバに伝播されるまで待ってから、ゾーンの DNSSEC を無効にする必要があります。登録事業者、レジストリ、リゾルバ キャッシュによって発生する伝播レイテンシによっては、このプロセスに 24 時間以上かかることがあります。
DS レコードが登録事業者から削除され、リゾルバからアクセスできなくなったことを確認したら、安全にゾーンに対して DNSSEC を無効にできます。
次のステップ
- 特定の DNSSEC 構成に関する情報を取得するには、高度な DNSSEC の使用をご覧ください。
- Cloud DNS の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。
- Cloud DNS の概要については、Cloud DNS の概要をご覧ください。