本頁說明如何在網域註冊商處啟用及停用網域名稱系統安全性擴充功能 (DNSSEC)。
如要瞭解 DNSSEC,請參閱 DNSSEC 總覽。
在網域註冊商處啟用 DNSSEC
為現有的受管理公用區域啟用 DNSSEC 後,您必須在網域註冊商處啟用 DNSSEC。如要啟用 DNSSEC,您可以在父區域中為網域建立 DS 記錄,讓解析器能夠識別網域是否已啟用 DNSSEC,並驗證其資料。
每個註冊商的 DS 記錄建立程序都不同。許多註冊商會使用網站表單。詳情請參閱註冊商的說明文件。
啟用 DNSSEC 後,DS 記錄必須在整個 DNS 中傳播。這個程序可能需要 24 小時以上,具體取決於您為 DNS 記錄設定的存留時間 (TTL) 值,以及不同 DNS 解析器的快取行為。
在重要網域啟用 DNSSEC 之前,請先徹底測試 DNS 設定。
取得 DS 記錄
如要取得區域的 DS 記錄,請按照下列步驟操作:
主控台
前往 Google Cloud 控制台的「Create a DNS zone」頁面。
按一下要設定 DS 記錄的區域。
按一下「註冊機構設定」。
從對話方塊中複製 DS 記錄。DS 記錄會類似以下內容:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
使用 gcloud dns dns-keys list 指令。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
更改下列內容:
MANAGED_ZONE:代管可用區的名稱
輸出內容會與下列內容相似:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
在網域註冊商處停用 DNSSEC
在為您仍要使用的代管區域停用 DNSSEC 之前,您必須在網域註冊商處停用區域的 DNSSEC,確保 DNSSEC 驗證解析器仍可解析該區域中的名稱。
如要停用 DNSSEC,請從父區域中移除網域的所有 DS 記錄。這麼做可防止解析器使用 DNSSEC 驗證網域資料。
從註冊商移除 DS 記錄後,您必須等待 DS 記錄移除作業傳播至所有解析器,才能為該區域關閉 DNSSEC。這項程序可能需要 24 小時或更久的時間,具體取決於註冊商、註冊中心和解析器快取所造成的傳播延遲時間。
確認註冊商已移除 DS 記錄,且解析器無法再存取該記錄後,您就可以放心停用該區域的 DNSSEC。
後續步驟
- 如要瞭解特定 DNSSEC 設定的相關資訊,請參閱「使用進階 DNSSEC」。
- 如要找出使用 Cloud DNS 時可能遇到的常見問題解決方案,請參閱「疑難排解」。
- 如要瞭解 Cloud DNS 的總體概況,請參閱 Cloud DNS 總覽。