觀看視頻教程

DNSSEC is the extension of the DNS protocol that allows signing DNS data in order to secure the domain name resolving process. For general information about DNSSEC and its usage, see the ICANN website and DNSSEC Operational Practices.

您可以執行以下操作通過DNSSEC保護域名的 DNS資料：

• Sign and unsign domain zones according to DNSSEC specifications.
• (Optional) Specify custom settings to be used for generation of keys.
• 接收通知
• 查看和複製 DS 資源記錄
• 查看和複製 DNSKEY 資源記錄集

簽名域名區域

若要開始使用 DNSSEC 保護您DNS區域的安全，可簽名該區域。Plesk 會通過自動生成的簽名（該簽名使用兩對非對稱金鑰即金鑰簽名金鑰(KSK) 和區域簽名金鑰(ZSK) 來生成簽名）來簽名區域。

如要簽名域名區域，請如下操作：

1. 在 網站與域名 中選擇域名。

2. 進入 DNSSEC 點按 簽名DNS區域 。

3. 如果域名區域在之前未被簽名，Plesk 會提示您生成將用於創建簽名的金鑰。

   您可以使用默認的值或指定自訂值。請查看下面 推薦的值 。

   

4. 如果之前已簽名DNS區域，您則可以選擇使用之前生成的金鑰或生成新的金鑰。如果您用於新金鑰，可以使用默認的值或指定自訂值。請查看下面 推薦的值 。

   KSK 和 ZSK 生成設定的推薦值：

   • KSK 的長期金鑰和長期滾動更新

     每次更新金鑰簽名金鑰，您都需要更新父級區域中的 DS 記錄。推薦的值能夠幫助您更新DS 記錄以盡可能降低安全風險。

   • KSK 的短期金鑰和短期滾動更新

     會自動更新區域簽名金鑰。推薦的值會幫助節省系統資源，以降低安全風險。

     

5. 簽名流程結束時，Plesk 將會顯示 DS 記錄，該記錄包含用於簽名區域的金鑰簽名金鑰的雜湊項。

   複製 DS 資源記錄到剪貼板，然後將其添加到父級域名區域。在下面查看 在父級區域中更新DS記錄 。

   

更新父級區域中的 DS 記錄

如果父級區域保護過時的DS 記錄，DNS 服務將不再解析該域名。

DNSSEC金鑰被更新時，不管什麼情況下，都需要手動添加或更新父級域名區域中的 DS 記錄，也就是：

• 使用新生成的金鑰簽名域名區域。
• 進行KSK（金鑰簽名金鑰）滾動更新

Plesk會給您發送通知，給您一定時間更新DS記錄 - 該時段等同於一個KSK滾動更新期。在該時段期間，之前的DS記錄仍有效。

如果您取消簽名域名區域，則需要手動刪除父級域名區域中的 DS 記錄。

若要更新父級區域中的DS 記錄，請如下操作：

對於其父級區域在Plesk 外的Plesk中的域名，需在域名註冊商處更新DS記錄。

對於在Plesk中託管的域名的子域名且在 Plesk 中有 DNS 區域的，請如下操作：

1. 進入父級域名的 DNS 設定（ 網站與域名 > 進入父級域名 > DNS 設定 ）。
2. 添加 DS 類型的新記錄（ 添加記錄 ）並貼上Plesk在子域名的DNSSEC設定中的 DS資源記錄 框中顯示的值。

取消簽名域名區域

取消簽名域名區域以關閉使用DNSSEC 對該區域的保護。如果金鑰被損壞，則需要取消簽名區域，然後使用新的金鑰重新簽名區域。

若要取消簽名某個域名區域，請如下操作：

1. 進入 網站與域名 > 選擇一個域名> DNSSEC 點按 取消簽名 。
2. 從父級區域刪除DS 資源記錄。否則，將不會解析域名。

查看 DNSKEY 資源記錄

您可能需要檢索DNSKEY 資源記錄，該記錄包含某個域名使用的金鑰簽名金鑰的公共部分。

若要顯示DNSKEY 記錄，請如下操在：

1. 進入 網站與域名 > 選擇一個域名> DNSSEC 。
2. 點按 查看 DNSKEY 記錄 。