域名系统安全扩展（DNSSEC）配置

操作场景

域名系统安全扩展（DNS Security Extensions，简称DNSSEC）是用于确定源域名可靠性的数字签名 ，在域名中添加DNSSEC记录可以增强对DNS域名服务器的身份认证，有效防止DNS缓存污染等攻击。 本文为您介绍如何在华为云域名注册控制台添加及同步 DNSSEC 记录。

约束与限制

• 使用DNSSEC需要域名注册服务商和域名DNS服务商同时支持DNSSEC能力。
• 华为云域名注册服务还未全面支持所有域名后缀进行DNSSEC设置。
  

  您可以查看域名证书，如您注册的域名为西数资质域名，则全部后缀支持DNSSEC设置；如您注册的域名为新网资质域名，支持DNSSEC设置的后缀如下：.com、.net、.cc、.cn、.pro、.mobi、.asia、.xyz、.website、.space、.site、.tech、.online、.host、.store、.wiki、.ink、.design、.love、.fun、.press、.info、.red、.blue、.pink、.poker、.中国、.移动。

• 在域名注册控制台操作域名账号间转移时，需要先删除DS记录，然后在DNS控制台关闭DNSSEC，否则可能导致解析失败。
• 每个域名最多添加8条DNSSEC记录。

操作步骤

1. 登录域名注册控制台。进入“域名列表”页面。
2. 在“域名列表”中，单击待操作的域名名称，进入“域名详情”页面。
3. 单击“DNSSEC设置”
   图1 DNSSEC设置
   
4. 在“DNSSEC设置”页面，单击“添加DS记录”按钮，进入“身份认证”环节。根据界面提示完成身份认证。
   

   如果您的域名添加和同步按钮置灰，说明您的域名不支持DNSSEC设置。

   图2 身份认证
   
5. 在弹出的“添加DS记录”窗口，填写以下参数信息。如下图所示。
   图3 添加DS记录
   
   

   参数信息您可以在您的域名解析商处获得。如您使用华为云DNS进行解析，参数信息可参考DNSSEC操作指导获取。

   表1 配置项说明

   配置项	说明
   密钥标签	用于标识域名的DNSSEC记录，需填写一个小于65536的整数值。
   加密算法	在下拉框中选择生成签名的加密算法。
   摘要类型	在下拉框中选择构建摘要的算法类型。
   摘要	填写从域名解析商处获取到的摘要内容。

6. 如您的域名是从其他域名注册商转入华为云，且在原注册商处添加过 DS 记录，单击“同步DS记录”按钮，可将之前添加的 DS记录同步至华为云。
   图4 同步DS记录