为域名配置DNSSEC

观看视频教程

DNSSEC 是 DNS 协议的扩展,允许签名 DNS 数据以保护域名解析过程的安全。欲了解有关 DNSSEC 和其用途的信息,请访问 ICANN 网站https://tools.ietf.org/html/rfc6781

注意:Plesk for Linux 中支持DNSSEC。Plesk DNSSEC扩展必须由主机提供商在Plesk中安装。

您可以执行以下操作通过DNSSEC保护域名的 DNS数据:

  • 依据 DNSSEC 规定签名和取消签名域名区域
  • (备选)指定用于密钥生成的自定义设置
  • 接收通知
  • 查看和复制 DS 资源记录
  • 查看和复制 DNSKEY 资源记录集

签名域名区域

若要开始使用 DNSSEC 保护您DNS区域的安全,可签名该区域。Plesk 会通过自动生成的签名(该签名使用两对非对称密钥即密钥签名密钥(KSK) 和区域签名密钥(ZSK) 来生成签名)来签名区域。

如要签名域名区域,请如下操作:

  1. 网站与域名中选择域名。
  2. 进入DNSSEC 点击签名DNS区域
  3. 如果域名区域在之前未被签名,Plesk 会提示您生成将用于创建签名的密钥。

    您可以使用默认的值或指定自定义值。请查看下面推荐的值

    2016-09-09_181447

  4. 如果之前已签名DNS区域,您则可以选择使用之前生成的密钥或生成新的密钥。如果您用于新密钥,可以使用默认的值或指定自定义值。请查看下面推荐的值

    KSK 和 ZSK 生成设置的推荐值:

    • KSK 的长期密钥和长期滚动更新

      每次更新密钥签名密钥,您都需要更新父级区域中的 DS 记录。推荐的值能够帮助您更新DS 记录以尽可能降低安全风险。

    • KSK 的短期密钥和短期滚动更新

      会自动更新区域签名密钥。推荐的值会帮助节省系统资源,以降低安全风险。

      DNSSEC_ask

  5. 签名流程结束时,Plesk 将会显示 DS 记录,该记录包含用于签名区域的密钥签名密钥的哈希项。

    复制 DS 资源记录到剪贴板,然后将其添加到父级域名区域。在下面查看在父级区域中更新DS记录

    DNSSEC_copy_records

  

更新父级区域中的 DS 记录

如果父级区域保护过时的DS 记录,DNS 服务将不再解析该域名。

DNSSEC密钥被更新时,不管什么情况下,都需要手动添加或更新父级域名区域中的 DS 记录,也就是:

  • 使用新生成的密钥签名域名区域。
  • 进行KSK(密钥签名密钥)滚动更新

Plesk会给您发送通知,给您一定时间更新DS记录 - 该时段等同于一个KSK滚动更新期。在该时段期间,之前的DS记录仍有效。

如果您取消签名域名区域,则需要手动删除父级域名区域中的 DS 记录。

若要更新父级区域中的DS 记录,请如下操作:

对于其父级区域在Plesk 外的Plesk中的域名,需在域名注册商处更新DS记录。

对于在Plesk中托管的域名的子域名且在 Plesk 中有 DNS 区域的,请如下操作:

  1. 进入父级域名的 DNS 设置(网站与域名 > 进入父级域名 > DNS 设置)。
  2. 添加DS类型的新记录(添加记录)并粘贴Plesk在子域名的DNSSEC设置中的DS资源记录框中显示的值。

取消签名域名区域

取消签名域名区域以关闭使用DNSSEC 对该区域的保护。如果密钥被损坏,则需要取消签名区域,然后使用新的密钥重新签名区域。

若要取消签名某个域名区域,请如下操作:

  1. 进入网站与域名 > 选择一个域名> DNSSEC 点击取消签名
  2. 从父级区域删除DS 资源记录。否则,将不会解析域名。

注意:当您取消签名某个区域时,不会从Plesk删除密钥。您可以使用相同的密钥再次签名区域。

查看 DNSKEY 资源记录

您可能需要检索DNSKEY 资源记录,该记录包含某个域名使用的密钥签名密钥的公共部分。

若要显示DNSKEY 记录,请如下操在:

  1. 进入网站与域名> 选择一个域名> DNSSEC
  2. 点击 查看 DNSKEY 记录