DNSSEC

DNSSEC简介

域名系统安全扩展（Domain Name System Security Extensions），简称DNSSEC，通过数字签名来保证DNS应答报文的真实性和完整性，能够保护用户不被重定向到非预期地址，防止DNS欺骗和缓存污染等攻击，保护用户核心业务。

约束与限制

• DNSSEC不支持配置子域名。
• 关闭DNSSEC前需要先在域名服务商处删除DS记录。
• 在DNS控制台跨账号转移DNS解析时，需要先在域名注册服务商处删除DS记录，然后在DNS控制台关闭DNSSEC，否则可能导致解析失败。
• 在域名注册控制台跨账号转移域名时，需要先删除DS记录，然后在DNS控制台关闭DNSSEC，否则可能导致解析失败。
• 使用DNSSEC时请不要为主域名配置CNAME类型的记录集，否则会导致解析失败。

操作流程

DNSSEC操作流程流程详细内容请参见图1。

图1 DNSSEC操作流程

操作步骤

1. 开启DNSSEC
   1. 进入公网域名列表页面。
   2. 单击待开启DNSSEC的公网域名的名称。

      默认进入“解析记录”页面。

   3. 在页面上方，选择进入“DNSSEC”页面。
   4. 在DNSSEC页面，单击“开启DNSSEC”。
      图2 开启DNSSEC
      
   5. 查看并记录页面下方的DNSSEC信息。
      记录密钥标签、摘要算法、摘要算法类型、摘要。

      图3 查看DNSSEC信息
      
   6. 根据获取到的DNSSEC信息，前往域名注册服务商处配置DS记录。

2. 配置DS记录

   以下非华为云域名注册服务商的DS记录配置指导仅供参考，具体以域名注册服务商官网操作指导为准。

   1. 登录域名管理控制台。
   2. 在域名列表中，在目标域名所在行的操作列选择“更多 ＞管理”。
   3. 在域名管理页面，单击“DNSSEC”。
   4. 在DNSSEC页面，单击“添加DS记录”。
   5. 根据界面提示配置参数信息，输入1.e中获取到的DNSSEC信息。
      • 密钥标签（Key Tag）：填写DNSSEC的“密钥标签”。
      • 加密算法（Algorithm）：填写DNSSEC的“签名算法类型”和“签名算法”。

        填写格式：签名算法类型-签名算法

      • 摘要类型（Digest Type）：填写DNSSEC的“摘要算法类型”和“摘要算法”。

        填写格式：摘要算法类型-摘要算法

      • 摘要（Digest）：填写DNSSEC的“摘要”。
   6. 单击“确定”，完成配置。

配置验证

配置验证后，请通过测试工具验证配置是否生效。