DNSSEC
DNSSEC简介
域名系统安全扩展(Domain Name System Security Extensions),简称DNSSEC,通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址,防止DNS欺骗和缓存污染等攻击,保护用户核心业务。
约束与限制
- 使用DNSSEC需要域名注册服务商和域名DNS服务商同时支持DNSSEC能力,当前华为云域名注册服务暂不支持DNSSEC,请提交工单联系域名注册服务配置。
- DNSSEC不支持配置子域名。
- 关闭DNSSEC前需要先在域名服务商处删除DS记录。
- 在DNS控制台跨账号转移DNS解析时,需要先在域名注册服务商处删除DS记录,然后在DNS控制台关闭DNSSEC,否则可能导致解析失败。
- 在域名注册控制台跨账号转移域名时,需要先删除DS记录,然后在DNS控制台关闭DNSSEC,否则可能导致解析失败。
- 使用DNSSEC时请不要为主域名配置CNAME类型的记录集,否则会导致解析失败。
操作步骤
- 开启DNSSEC
- 进入公网域名列表页面。
- 单击待开启DNSSEC的公网域名的名称。
- 在页面上方,选择进入“DNSSEC”页面。
- 在DNSSEC页面,单击“开启DNSSEC”。
图2 开启DNSSEC
- 查看并记录页面下方的DNSSEC信息。
- 根据获取到的DNSSEC信息,前往域名注册服务商处配置DS记录。
- 配置DS记录
以下非华为云域名注册服务商的DS记录配置指导仅供参考,具体以域名注册服务商官网操作指导为准。
- 登录域名管理控制台。
- 在域名列表中,在目标域名所在行的操作列选择“更多 >管理”。
- 在域名管理页面,单击“DNSSEC”。
- 在DNSSEC页面,单击“添加DS记录”。
- 根据界面提示配置参数信息,输入1.e中获取到的DNSSEC信息。
- 密钥标签(Key Tag):填写DNSSEC的“密钥标签”。
- 加密算法(Algorithm):填写DNSSEC的“签名算法类型”和“签名算法”。
填写格式:签名算法类型-签名算法
- 摘要类型(Digest Type):填写DNSSEC的“摘要算法类型”和“摘要算法”。
填写格式:摘要算法类型-摘要算法
- 摘要(Digest):填写DNSSEC的“摘要”。
- 单击“确定”,完成配置。
配置验证
配置验证后,请通过测试工具验证配置是否生效。