كيفية توقيع منطقة Azure Public DNS باستخدام DNSSEC

لتوقيع منطقتك باستخدام DNSSEC باستخدام مدخل Microsoft Azure:

1. في الصفحة الرئيسية لمدخل Microsoft Azure، ابحث عن مناطق DNS وحددها.

2. حدد منطقة DNS الخاصة بك، ثم من صفحة نظرة عامة على المنطقة، حدد DNSSEC. يمكنك تحديد DNSSEC من القائمة في الأعلى، أو ضمن إدارة DNS.

   

3. حدد خانة الاختيار Enable DNSSEC .

   

4. عند مطالبتك بتأكيد رغبتك في تمكين DNSSEC، حدد موافق.
   

   

5. انتظر حتى يكتمل توقيع المنطقة. بعد توقيع المنطقة، راجع معلومات تفويض DNSSEC التي يتم عرضها. لاحظ أن الحالة هي: موقعة ولكن غير مفوضة.

   

   إشعار

   إذا لم يسمح تكوين شبكة Azure بالتحقق من التفويض، يتم منع رسالة التفويض الموضحة هنا. في هذه الحالة، يمكنك استخدام مصحح أخطاء DNSSEC عام للتحقق من حالة التفويض.

6. انسخ معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.

   1. إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به. قد يطلب المسجل قيما مثل علامة المفتاح والخوارزمية ونوع الملخص وملخص المفاتيح. في المثال الموضح هنا، هذه القيم هي:

      علامة المفتاح: 4535
      الخوارزمية: 13
      نوع الملخص: 2
      ملخص: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      عند توفير سجل DS إلى المسجل، يضيف المسجل سجل DS إلى المنطقة الأصل، مثل منطقة مجال المستوى الأعلى (TLD).

   2. إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند استضافة كلتا المنطقتين باستخدام Azure Public DNS:

      

   3. إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.

7. عند تحميل سجل DS إلى المنطقة الأصل، حدد صفحة معلومات DNSSEC لمنطقتك وتحقق من عرض الموقع والتفويض الذي تم تأسيسه . منطقة DNS الخاصة بك الآن موقعة بالكامل DNSSEC.

   

   إشعار

   إذا لم يسمح تكوين شبكة Azure بالتحقق من التفويض، يتم منع رسالة التفويض الموضحة هنا. في هذه الحالة، يمكنك استخدام مصحح أخطاء DNSSEC عام للتحقق من حالة التفويض.

1. توقيع منطقة باستخدام Azure CLI:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. احصل على معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.

يمكنك استخدام أمر Azure CLI التالي لعرض معلومات سجل DS:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

عينة الإخراج:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

بدلا من ذلك، يمكنك أيضا الحصول على معلومات DS باستخدام dig.exe على سطر الأوامر:

dig adatum.com DS +dnssec

عينة الإخراج:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

في هذه الأمثلة، تكون قيم DS هي:

• علامة المفتاح: 26767
• الخوارزمية: 13
• نوع الملخص: 2
• ملخص: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به.

4. إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند توقيع كلتا المنطقتين واستضافتها باستخدام Azure Public DNS:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.

1. قم بالتوقيع والتحقق من منطقتك باستخدام PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. احصل على معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

مثال على الإخراج:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

في هذه الأمثلة، تكون قيم DS هي:

• علامة المفتاح: 26767
• الخوارزمية: 13
• نوع الملخص: 2
• ملخص: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به.

4. إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند توقيع كلتا المنطقتين واستضافتها باستخدام Azure Public DNS. استبدل <علامة> المفتاح والخوارزمية <>والملخص <>ونوع <> الملخص بالقيم المناسبة من سجل DS الذي استعلمت عنه مسبقا.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.