為域名配置DNSSEC

觀看視頻教程

DNSSEC 是 DNS 協議的擴展,允許簽名 DNS 資料以保護域名解析過程的安全。欲瞭解有關 DNSSEC 和其用途的資訊,請連接 ICANN 網站https://tools.ietf.org/html/rfc6781

注意:Plesk for Linux 中支援DNSSEC。Plesk DNSSEC擴展必須由主機提供商在Plesk中安裝。

您可以執行以下操作通過DNSSEC保護域名的 DNS資料:

  • 依據 DNSSEC 規定簽名和取消簽名域名區域
  • (備選)指定用於金鑰生成的自訂設定
  • 接收通知
  • 查看和複製 DS 資源記錄
  • 查看和複製 DNSKEY 資源記錄集
簽名域名區域

若要開始使用 DNSSEC 保護您DNS區域的安全,可簽名該區域。Plesk 會通過自動生成的簽名(該簽名使用兩對非對稱金鑰即金鑰簽名金鑰(KSK) 和區域簽名金鑰(ZSK) 來生成簽名)來簽名區域。

如要簽名域名區域,請如下操作:

  1. 網站與域名中選擇域名。
  2. 進入DNSSEC 點按簽名DNS區域
  3. 如果域名區域在之前未被簽名,Plesk 會提示您生成將用於創建簽名的金鑰。

    您可以使用默認的值或指定自訂值。請查看下面推薦的值

    2016-09-09_181447

  4. 如果之前已簽名DNS區域,您則可以選擇使用之前生成的金鑰或生成新的金鑰。如果您用於新金鑰,可以使用默認的值或指定自訂值。請查看下面推薦的值

    KSK 和 ZSK 生成設定的推薦值:

    • KSK 的長期金鑰和長期滾動更新

      每次更新金鑰簽名金鑰,您都需要更新父級區域中的 DS 記錄。推薦的值能夠幫助您更新DS 記錄以盡可能降低安全風險。

    • KSK 的短期金鑰和短期滾動更新

      會自動更新區域簽名金鑰。推薦的值會幫助節省系統資源,以降低安全風險。

      DNSSEC_ask

  5. 簽名流程結束時,Plesk 將會顯示 DS 記錄,該記錄包含用於簽名區域的金鑰簽名金鑰的雜湊項。

    複製 DS 資源記錄到剪貼板,然後將其添加到父級域名區域。在下面查看在父級區域中更新DS記錄

    DNSSEC_copy_records

  

更新父級區域中的 DS 記錄

如果父級區域保護過時的DS 記錄,DNS 服務將不再解析該域名。

DNSSEC金鑰被更新時,不管什麼情況下,都需要手動添加或更新父級域名區域中的 DS 記錄,也就是:

  • 使用新生成的金鑰簽名域名區域。
  • 進行KSK(金鑰簽名金鑰)滾動更新

Plesk會給您發送通知,給您一定時間更新DS記錄 - 該時段等同於一個KSK滾動更新期。在該時段期間,之前的DS記錄仍有效。

如果您取消簽名域名區域,則需要手動刪除父級域名區域中的 DS 記錄。

若要更新父級區域中的DS 記錄,請如下操作:

對於其父級區域在Plesk 外的Plesk中的域名,需在域名註冊商處更新DS記錄。

對於在Plesk中託管的域名的子域名且在 Plesk 中有 DNS 區域的,請如下操作:

  1. 進入父級域名的 DNS 設定(網站與域名 > 進入父級域名 > DNS 設定)。
  2. 添加DS類型的新記錄(添加記錄)並貼上Plesk在子域名的DNSSEC設定中的DS資源記錄框中顯示的值。
取消簽名域名區域

取消簽名域名區域以關閉使用DNSSEC 對該區域的保護。如果金鑰被損壞,則需要取消簽名區域,然後使用新的金鑰重新簽名區域。

若要取消簽名某個域名區域,請如下操作:

  1. 進入網站與域名 > 選擇一個域名> DNSSEC 點按取消簽名
  2. 從父級區域刪除DS 資源記錄。否則,將不會解析域名。

注意:當您取消簽名某個區域時,不會從Plesk刪除金鑰。您可以使用相同的金鑰再次簽名區域。

查看 DNSKEY 資源記錄

您可能需要檢索DNSKEY 資源記錄,該記錄包含某個域名使用的金鑰簽名金鑰的公共部分。

若要顯示DNSKEY 記錄,請如下操在:

  1. 進入網站與域名> 選擇一個域名> DNSSEC
  2. 點按 查看 DNSKEY 記錄

  

 

Leave your feedback on this topic here

If you have questions or need support, please visit the Plesk forum or contact your hosting provider.
The comments below are for feedback on the documentation only. No timely answers or help will be provided.