為域名配置DNSSEC

觀看視頻教程

DNSSEC 是 DNS 協議的擴展,允許簽名 DNS 資料以保護域名解析過程的安全。欲瞭解有關 DNSSEC 和其用途的資訊,請連接 ICANN 網站https://tools.ietf.org/html/rfc6781

注意:Plesk for Linux 中支援DNSSEC。Plesk DNSSEC擴展必須由主機提供商在Plesk中安裝。

您可以執行以下操作通過DNSSEC保護域名的 DNS資料:

  • 依據 DNSSEC 規定簽名和取消簽名域名區域
  • (備選)指定用於金鑰生成的自訂設定
  • 接收通知
  • 查看和複製 DS 資源記錄
  • 查看和複製 DNSKEY 資源記錄集

簽名域名區域

若要開始使用 DNSSEC 保護您DNS區域的安全,可簽名該區域。Plesk 會通過自動生成的簽名(該簽名使用兩對非對稱金鑰即金鑰簽名金鑰(KSK) 和區域簽名金鑰(ZSK) 來生成簽名)來簽名區域。

如要簽名域名區域,請如下操作:

  1. 網站與域名中選擇域名。
  2. 進入DNSSEC 點按簽名DNS區域
  3. 如果域名區域在之前未被簽名,Plesk 會提示您生成將用於創建簽名的金鑰。

    您可以使用默認的值或指定自訂值。請查看下面推薦的值

    2016-09-09_181447

  4. 如果之前已簽名DNS區域,您則可以選擇使用之前生成的金鑰或生成新的金鑰。如果您用於新金鑰,可以使用默認的值或指定自訂值。請查看下面推薦的值

    KSK 和 ZSK 生成設定的推薦值:

    • KSK 的長期金鑰和長期滾動更新

      每次更新金鑰簽名金鑰,您都需要更新父級區域中的 DS 記錄。推薦的值能夠幫助您更新DS 記錄以盡可能降低安全風險。

    • KSK 的短期金鑰和短期滾動更新

      會自動更新區域簽名金鑰。推薦的值會幫助節省系統資源,以降低安全風險。

      DNSSEC_ask

  5. 簽名流程結束時,Plesk 將會顯示 DS 記錄,該記錄包含用於簽名區域的金鑰簽名金鑰的雜湊項。

    複製 DS 資源記錄到剪貼板,然後將其添加到父級域名區域。在下面查看在父級區域中更新DS記錄

    DNSSEC_copy_records

  

更新父級區域中的 DS 記錄

如果父級區域保護過時的DS 記錄,DNS 服務將不再解析該域名。

DNSSEC金鑰被更新時,不管什麼情況下,都需要手動添加或更新父級域名區域中的 DS 記錄,也就是:

  • 使用新生成的金鑰簽名域名區域。
  • 進行KSK(金鑰簽名金鑰)滾動更新

Plesk會給您發送通知,給您一定時間更新DS記錄 - 該時段等同於一個KSK滾動更新期。在該時段期間,之前的DS記錄仍有效。

如果您取消簽名域名區域,則需要手動刪除父級域名區域中的 DS 記錄。

若要更新父級區域中的DS 記錄,請如下操作:

對於其父級區域在Plesk 外的Plesk中的域名,需在域名註冊商處更新DS記錄。

對於在Plesk中託管的域名的子域名且在 Plesk 中有 DNS 區域的,請如下操作:

  1. 進入父級域名的 DNS 設定(網站與域名 > 進入父級域名 > DNS 設定)。
  2. 添加DS類型的新記錄(添加記錄)並貼上Plesk在子域名的DNSSEC設定中的DS資源記錄框中顯示的值。

取消簽名域名區域

取消簽名域名區域以關閉使用DNSSEC 對該區域的保護。如果金鑰被損壞,則需要取消簽名區域,然後使用新的金鑰重新簽名區域。

若要取消簽名某個域名區域,請如下操作:

  1. 進入網站與域名 > 選擇一個域名> DNSSEC 點按取消簽名
  2. 從父級區域刪除DS 資源記錄。否則,將不會解析域名。

注意:當您取消簽名某個區域時,不會從Plesk刪除金鑰。您可以使用相同的金鑰再次簽名區域。

查看 DNSKEY 資源記錄

您可能需要檢索DNSKEY 資源記錄,該記錄包含某個域名使用的金鑰簽名金鑰的公共部分。

若要顯示DNSKEY 記錄,請如下操在:

  1. 進入網站與域名> 選擇一個域名> DNSSEC
  2. 點按 查看 DNSKEY 記錄