觀看視頻教程

DNSSEC 是 DNS 協議的擴展，允許簽名 DNS 資料以保護域名解析過程的安全。欲瞭解有關 DNSSEC 和其用途的資訊，請連接 ICANN 網站 和 https://tools.ietf.org/html/rfc6781 。

Plesk 能夠讓您通過 DNSSEC 保護託管域名的 DNS 資料。您可執行以下操作：

• 配置金鑰生成和滾動更新的設定。
• 依據 DNSSEC 規定簽名和取消簽名域名區域
• 接收通知
• 查看和複製 DS 資源記錄
• 查看和複製 DNSKEY 資源記錄集

要求

• Plesk for Linux 與 Bind DNS 伺服器，自 Bind 9.9 版本起。
• DNSSEC 是一個付費擴展。而在 Plesk Web Host 和 Plesk Web Pro 版本中則免費提供該擴展。
• DNSSEC 可在 Debian 8、Debian 9、Ubuntu 18.04、CentOS 7、RedHat Enterprise Linux 7、CloudLinux 7、Virtuozzo Linux 7上使用。

啟用 DNSSEC 支援

若要啟用 DNSSEC 支援，請安裝 Plesk DNSSEC 擴展（ 擴展 > 擴展目錄 ）。

配置預設的 DNSSEC 設定

默認的DNSSEC設定位於 工具與設定 > 擴展 > DNSSEC 。您可以更改生成金鑰簽名金鑰 (KSK) 和區域簽名金鑰 (ZSK) 對的默認策略。

KSK 和 ZSK 的推薦策略 ：

• 使用KSK 的長期金鑰和長期滾動更新（金鑰簽名金鑰）

  每次更新金鑰簽名金鑰，區域所有者都需要更新父級域名區域中的 DS 記錄。該推薦的策略能夠幫助更新父級區域中的 DS 記錄，盡可能降低安全風險。

• 使用ZSK 的短期金鑰和短期滾動更新（區域簽名金鑰）

  會自動更新區域簽名金鑰。該推薦的策略會幫助節省系統資源，以降低安全風險。

當主機客戶在簽名其區域時，可使用預設的值或指定其它值。 詳情請參閱 在域名上使用 DNSSEC 。

使用DNSSEC保護DNS區域

如要使用DNSSEC，域名所有者必須簽名其DNS區域。 詳情請參閱 在域名上使用 DNSSEC 。

在 Plesk 中金鑰如何滾動更新

為了防止某個域名出現 DNS 中斷，Plesk會使用多個金鑰作為KSK以及使用多個金鑰作為ZSK。之前生成的存在於 parallel 中的金鑰會與新的金鑰一起保留一段時間，直到DNS區域中的所有更改生效。會自動移除過期的金鑰。

KSK 滾動更新

Plesk 通過 Double-RRset 方式的修改法來滾動更新金鑰簽名金鑰。區別是 Plesk 在每次滾動更新期間有兩個金鑰簽名金鑰。該方式能夠給域名區域所有者足夠的時間來更新父級區域中相應的DS記錄（例如，下面案例中滾動更新事件1和事件2之間的時段）。

用戶在 KSK 滾動更新時的操作

域名區域所有者會收到有關滾動更新和需要更新父級區域中 DS 記錄的通知。當最早的KSK到期而最新的KSK已生成時DS記錄則變成過時記錄（例如，在下面案例中滾動更新事件2時）。如果域名區域所有者沒有更新過父級區域的 DS 記錄，通知後一個滾動更新期結束時，域名會停止解析。

ZSK 滾動更新

為了允許足夠的時間讓輔助和緩存 DNS 伺服器與主要 DNS 伺服器同步，Plesk 會執行以下操作：

• 在滾動更新前某個特定時間添加新的金鑰到區域。
• 在滾動更新後同一特定時間移除舊的金鑰。

ZSK滾動更新之前或之後的某個時間在Plesk中稱為 過渡期 。過渡時間是 30 日或區域的 SOA TTL 和 SOA 到期值的總和（如果其總和超過 30 天）。但是，過渡時間不得超過 ZSK 滾動更新時間的一半，否則滾動更新功能將會被打亂而區域簽名則會無效。

因此，為了確保 ZSK 滾動更新正常執行，Plesk 對以下值設定了限制：

• 區域的 SOA TTL 和 SOA 到期的值。這兩個值的總和不得超過特定的計算值。
• ZSK 滾動更新期。該值不得低於特定的計算值。

用戶對 ZSK 滾動更新的操作

當滾動更新區域簽名金鑰時，域名DNS區域所有者不需要進行任何操作。