观看视频教程

DNSSEC 是 DNS 协议的扩展,允许签名 DNS 数据以保护域名解析过程的安全。欲了解有关 DNSSEC 和其用途的信息,请访问 ICANN 网站https://tools.ietf.org/html/rfc6781

注解: Plesk for Linux 中支持DNSSEC。 Plesk DNSSEC 扩展必须由主机提供商在Plesk中安装。

您可以执行以下操作通过DNSSEC保护域名的 DNS数据:

  • 依据 DNSSEC 规定签名和取消签名域名区域
  • (备选)指定用于密钥生成的自定义设置
  • 接收通知
  • 查看和复制 DS 资源记录
  • 查看和复制 DNSKEY 资源记录集。

签名域名区域

若要开始使用 DNSSEC 保护您DNS区域的安全,可签名该区域。Plesk 会通过自动生成的签名(该签名使用两对非对称密钥即密钥签名密钥(KSK) 和区域签名密钥(ZSK) 来生成签名)来签名区域。

如要签名域名区域,请如下操作:

  1. 网站与域名 中选择域名。

  2. 进入 DNSSEC 点击 签名DNS区域

  3. 如果域名区域在之前未被签名,Plesk 会提示您生成将用于创建签名的密钥。

    您可以使用默认的值或指定自定义值。请查看下面 推荐的值

    image 77026

  4. 如果之前已签名DNS区域,您则可以选择使用之前生成的密钥或生成新的密钥。如果您用于新密钥,可以使用默认的值或指定自定义值。请查看下面 推荐的值

    KSK 和 ZSK 生成设置的推荐值:

    • KSK 的长期密钥和长期滚动更新。

      每次更新密钥签名密钥,您都需要更新父级区域中的 DS 记录。推荐的值能够帮助您更新DS 记录以尽可能降低安全风险。

    • KSK 的短期密钥和短期滚动更新。

      会自动更新区域签名密钥。推荐的值会帮助节省系统资源,以降低安全风险。

      image 77028

  5. 签名流程结束时,Plesk 将会显示 DS 记录,该记录包含用于签名区域的密钥签名密钥的哈希项。

    复制 DS 资源记录到剪贴板,然后将其添加到父级域名区域。在下面查看 在父级区域中更新DS记录

    image 77027

更新父级区域中的 DS 记录

如果父级区域保护过时的DS 记录,DNS 服务将不再解析该域名。

DNSSEC密钥被更新时,不管什么情况下,都需要手动添加或更新父级域名区域中的 DS 记录,也就是:

  • 使用新生成的密钥签名域名区域。
  • 进行KSK(密钥签名密钥)滚动更新

Plesk会给您发送通知,给您一定时间更新DS记录 - 该时段等同于一个KSK滚动更新期。在该时段期间,之前的DS记录仍有效。

如果您取消签名域名区域,则需要手动删除父级域名区域中的 DS 记录。

若要更新父级区域中的DS 记录,请如下操作:

对于其父级区域在Plesk 外的Plesk中的域名,需在域名注册商处更新DS记录。

对于在Plesk中托管的域名的子域名且在 Plesk 中有 DNS 区域的,请如下操作:

  1. 进入父级域名的 DNS 设置( 网站与域名 > 进入父级域名 > DNS 设置 )。
  2. 添加 DS 类型的新记录( 添加记录 )并粘贴Plesk在子域名的DNSSEC设置中的 DS资源记录 框中显示的值。

取消签名域名区域

取消签名域名区域以关闭使用DNSSEC 对该区域的保护。如果密钥被损坏,则需要取消签名区域,然后使用新的密钥重新签名区域。

若要取消签名某个域名区域,请如下操作:

  1. 进入 网站与域名 > 选择一个域名> DNSSEC 点击 取消签名
  2. 从父级区域删除DS 资源记录。否则,将不会解析域名。

注解: 当您取消签名某个区域时,不会从Plesk删除密钥。您可以使用相同的密钥再次签名区域。

查看 DNSKEY 资源记录

您可能需要检索DNSKEY 资源记录,该记录包含某个域名使用的密钥签名密钥的公共部分。

若要显示DNSKEY 记录,请如下操在:

  1. 进入 网站与域名 > 选择一个域名> DNSSEC
  2. 点击 查看 DNSKEY 记录