Configuração de DNSSEC
O que é DNSSEC?
O DNS Security Extensions (DNSSEC) fornece assinaturas digitais para garantir a integridade dos dados e a autenticidade das solicitações e respostas de DNS e para se defender contra ataques comuns, como falsificação de DNS. Isso evita que você seja redirecionado para endereços inesperados e protege seus serviços principais.
Restrições
- DNSSEC não oferece suporte a subdomínios.
- Antes de desativar o DNSSEC, você precisa excluir o registro DS do sistema do provedor de serviços de nome de domínio.
- Antes de transferir os conjuntos de registros entre contas no console do DNS, você precisa excluir o registro DS do registrador de nomes de domínio e, em seguida, desativar o DNSSEC no console do DNS, ou a resolução do DNS poderá falhar.
- Antes de transferir um nome de domínio entre contas no console de Domains, você precisa excluir o registro DS e, em seguida, desativar o DNSSEC no console do DNS, ou a resolução de DNS poderá falhar.
- Os conjuntos de registros CNAME não podem ser configurados para o nome de domínio de segundo nível ou o nome de domínio não pode ser resolvido normalmente.
Fluxo do processo
Figura 1 mostra o processo de configuração do DNSSEC para uma zona pública
Procedimento
- Ative o DNSSEC.
- Go to the Public Zones page.
- Localize a zona pública para a qual deseja ativar o DNSSEC e clique no nome de domínio.
- Clique na guia DNSSEC.
- Clique em Enable DNSSEC.
Figura 2 Ativação do DNSSEC
- Exiba e anote as seguintes informações de DNSSEC:
- Vá para o registrador de nome de domínio para configurar um registro DS.
- Configure um registro DS.
As seguintes são operações para nomes de domínio não registrados na Huawei Cloud e são apenas para referência. Para obter detalhes, consulte o guia de operação no site oficial do registrador de nomes de domínio.
- Faça logon no console de gerenciamento.
- Na lista de zonas públicas, localize a zona pública e clique em More > Manage na coluna Operation.
- Clique em DNSSEC.
- Clique em Add DS Record.
- Configure os parâmetros conforme solicitado e insira as informações do DNSSEC registradas em 1.e.
- Key Tag: insira a tag de chave registrada.
- Algorithm: insira o tipo de algoritmo de assinatura registrado e o algoritmo de assinatura.
Formato: tipo de algoritmo de assinatura-Algoritmo de assinatura
- Digest Type: insira o tipo de algoritmo de resumo registrado e o algoritmo de resumo.
Formato: tipo de algoritmo de resumo-Algoritmo de resumo
- Digest: insira o resumo registrado.
- Clique em OK.
Verificação
Use a ferramenta de teste para verificar se a configuração entrou em vigor.