يجب استضافة منطقة DNS بواسطة Azure Public DNS. لمزيد من المعلومات، راجع إدارة مناطق DNS.
يجب توقيع منطقة DNS الأصل باستخدام DNSSEC. تم بالفعل توقيع معظم مجالات المستوى الأعلى الرئيسية (.com و.net و.org).
توقيع منطقة باستخدام DNSSEC
لحماية منطقة DNS الخاصة بك باستخدام DNSSEC، يجب أولا توقيع المنطقة. تنشئ عملية توقيع المنطقة سجل توقيع التفويض (DS) الذي يجب إضافته بعد ذلك إلى المنطقة الأصل.
لتوقيع منطقتك باستخدام DNSSEC باستخدام مدخل Microsoft Azure:
في الصفحة الرئيسية لمدخل Microsoft Azure، ابحث عن مناطق DNS وحددها.
حدد منطقة DNS الخاصة بك، ثم من صفحة نظرة عامة على المنطقة، حدد DNSSEC. يمكنك تحديد DNSSEC من القائمة في الأعلى، أو ضمن إدارة DNS.
حدد خانة الاختيار Enable DNSSEC .
عند مطالبتك بتأكيد رغبتك في تمكين DNSSEC، حدد موافق.
انتظر حتى يكتمل توقيع المنطقة. بعد توقيع المنطقة، راجع معلومات تفويض DNSSEC التي يتم عرضها. لاحظ أن الحالة هي: موقعة ولكن غير مفوضة.
إشعار
إذا لم يسمح تكوين شبكة Azure بالتحقق من التفويض، يتم منع رسالة التفويض الموضحة هنا. في هذه الحالة، يمكنك استخدام مصحح أخطاء DNSSEC عام للتحقق من حالة التفويض.
انسخ معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.
إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به. قد يطلب المسجل قيما مثل علامة المفتاح والخوارزمية ونوع الملخص وملخص المفاتيح. في المثال الموضح هنا، هذه القيم هي:
علامة المفتاح: 4535 الخوارزمية: 13 نوع الملخص: 2 ملخص: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
عند توفير سجل DS إلى المسجل، يضيف المسجل سجل DS إلى المنطقة الأصل، مثل منطقة مجال المستوى الأعلى (TLD).
إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند استضافة كلتا المنطقتين باستخدام Azure Public DNS:
إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.
عند تحميل سجل DS إلى المنطقة الأصل، حدد صفحة معلومات DNSSEC لمنطقتك وتحقق من عرض الموقع والتفويض الذي تم تأسيسه . منطقة DNS الخاصة بك الآن موقعة بالكامل DNSSEC.
إشعار
إذا لم يسمح تكوين شبكة Azure بالتحقق من التفويض، يتم منع رسالة التفويض الموضحة هنا. في هذه الحالة، يمكنك استخدام مصحح أخطاء DNSSEC عام للتحقق من حالة التفويض.
توقيع منطقة باستخدام Azure CLI:
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
احصل على معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.
يمكنك استخدام أمر Azure CLI التالي لعرض معلومات سجل DS:
az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'
إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به.
إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند توقيع كلتا المنطقتين واستضافتها باستخدام Azure Public DNS:
az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>
إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.
قم بالتوقيع والتحقق من منطقتك باستخدام PowerShell:
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
احصل على معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.
إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به.
إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند توقيع كلتا المنطقتين واستضافتها باستخدام Azure Public DNS. استبدل <علامة> المفتاح والخوارزمية <>والملخص <>ونوع <> الملخص بالقيم المناسبة من سجل DS الذي استعلمت عنه مسبقا.