观看视频教程

DNSSEC 是 DNS 协议的扩展,允许签名 DNS 数据以保护域名解析过程的安全。欲了解有关 DNSSEC 和其用途的信息,请访问 ICANN 网站https://tools.ietf.org/html/rfc6781

Plesk 能够让您通过 DNSSEC 保护托管域名的 DNS 数据。您可执行以下操作:

  • 配置密钥生成和滚动更新的设置。
  • 依据 DNSSEC 规定签名和取消签名域名区域。
  • 接收通知
  • 查看和复制 DS 资源记录
  • 查看和复制 DNSKEY 资源记录集

要求

  • Plesk for Linux 与 Bind DNS 服务器,自 Bind 9.9 版本起。
  • DNSSEC 是一个付费扩展。而在 Plesk Web Host 和 Plesk Web Pro 版本中则免费提供该扩展。
  • DNSSEC 可在Debian 8、Debian 9、Ubuntu 18.04、CentOS 7、RedHat Enterprise Linux 7、CloudLinux 7、Virtuozzo Linux 7上使用。

启用 DNSSEC 支持

若要启用 DNSSEC 支持,请安装 Plesk DNSSEC 扩展( 扩展 > 扩展目录 )。

配置默认的 DNSSEC 设置

默认的DNSSEC设置位于 工具与设置 > 扩展 > DNSSEC 。您可以更改生成密钥签名密钥 (KSK) 和区域签名密钥 (ZSK) 对的默认策略。

KSK 和 ZSK 的推荐策略

  • 使用KSK 的长期密钥和长期滚动更新(密钥签名密钥)。

    每次更新密钥签名密钥,区域所有者都需要更新父级域名区域中的 DS 记录。该推荐的策略能够帮助更新父级区域中的 DS 记录,尽可能降低安全风险。

  • 使用ZSK 的短期密钥和短期滚动更新(区域签名密钥)。

    会自动更新区域签名密钥。该推荐的策略会帮助节省系统资源,以降低安全风险。

当主机客户在签名其区域时,可使用默认的值或指定其它值。 详情请参阅 在域名上使用 DNSSEC

image 76901

使用DNSSEC保护DNS区域

如要使用DNSSEC,域名所有者必须签名其DNS区域。 详情请参阅 在域名上使用 DNSSEC

在 Plesk 中密钥如何滚动更新

为了防止某个域名出现 DNS 中断,Plesk会使用多个密钥作为KSK以及使用多个密钥作为ZSK。之前生成的存在于 parallel 中的密钥会与新的密钥一起保留一段时间,直到DNS区域中的所有更改生效。会自动移除过期的密钥。

KSK 滚动更新

Plesk 通过 Double-RRset 方式的修改法来滚动更新密钥签名密钥。区别是 Plesk 在每次滚动更新期间有两个密钥签名密钥。该方式能够给域名区域所有者足够的时间来更新父级区域中相应的DS记录(例如,下面案例中滚动更新事件1和事件2之间的时段)。

用户在 KSK 滚动更新时的操作

域名区域所有者会收到有关滚动更新和需要更新父级区域中 DS 记录的通知。当最早的KSK到期而最新的KSK已生成时DS记录则变成过时记录(例如,在下面案例中滚动更新事件2时)。如果域名区域所有者没有更新过父级区域的 DS 记录,通知后一个滚动更新期结束时,域名会停止解析。

注解: 此时,无法自定义域名区域所有者的通知文本。

image 76537

ZSK 滚动更新

为了允许足够的时间让辅助和缓存 DNS 服务器与主要 DNS 服务器同步,Plesk 会执行以下操作:

  • 在滚动更新前某个特定时间添加新的密钥到区域。
  • 在滚动更新后同一特定时间移除旧的密钥。

ZSK滚动更新之前或之后的某个时间在Plesk中称为 过渡期 。过渡时间是 30 日或区域的 SOA TTL 和 SOA 到期值的总和(如果其总和超过 30 天)。但是,过渡时间不得超过 ZSK 滚动更新时间的一半,否则滚动更新功能将会被打乱而区域签名则会无效。

因此,为了确保 ZSK 滚动更新正常执行,Plesk 对以下值设定了限制:

  • 区域的 SOA TTL 和 SOA 到期的值。这两个值的总和不得超过特定的计算值。
  • ZSK 滚动更新期。该值不得低于特定的计算值。

用户对 ZSK 滚动更新的操作

当滚动更新区域签名密钥时,域名DNS区域所有者不需要进行任何操作。

image 76538