Cara menandatangani zona DNS Publik Azure Anda dengan DNSSEC

Artikel
02/04/2025

Artikel ini memperlihatkan kepada Anda cara menandatangani zona DNS Anda dengan Ekstensi Keamanan Sistem Nama Domain (DNSSEC).

Untuk menghapus penandatanganan DNSSEC dari zona, lihat Cara membatalkan penetapan zona DNS Publik Azure Anda.

Prasyarat

Zona DNS harus dihosting oleh Azure Public DNS. Untuk informasi selengkapnya, lihat Mengelola zona DNS.
Zona DNS induk harus ditandatangani dengan DNSSEC. Sebagian besar domain tingkat atas utama (.com, .net, .org) sudah ditandatangani.

Menandatangani zona dengan DNSSEC

Untuk melindungi zona DNS Anda dengan DNSSEC, Anda harus terlebih dahulu menandatangani zona tersebut. Proses penandatanganan zona membuat rekaman penanda tangan delegasi (DS) yang kemudian harus ditambahkan ke zona induk.

Untuk menandatangani zona Anda dengan DNSSEC menggunakan portal Azure:

Pada halaman Beranda portal Azure, cari dan pilih Zona DNS.
Pilih zona DNS Anda, lalu dari halaman Gambaran Umum zona, pilih DNSSEC. Anda bisa memilih DNSSEC dari menu di bagian atas, atau di bawah Manajemen DNS.
Pilih kotak centang Aktifkan DNSSEC .
Ketika Anda diminta untuk mengonfirmasi bahwa Anda ingin mengaktifkan DNSSEC, pilih OK.
Tunggu hingga penandatanganan zona selesai. Setelah zona ditandatangani, tinjau informasi delegasi DNSSEC yang ditampilkan. Perhatikan bahwa statusnya adalah: Ditandatangani tetapi tidak didelegasikan.

Catatan

Jika konfigurasi jaringan Azure Anda tidak mengizinkan pemeriksaan delegasi, pesan delegasi yang ditampilkan di sini ditekan. Dalam hal ini, Anda dapat menggunakan debugger DNSSEC publik untuk memverifikasi status delegasi.
Salin informasi delegasi dan gunakan untuk membuat rekaman DS di zona induk.
1. Jika zona induk adalah domain tingkat atas (misalnya: .com), Anda harus menambahkan catatan DS di pencatat Anda. Setiap registrar memiliki prosesnya sendiri. Pencatat mungkin meminta nilai seperti Tag Kunci, Algoritma, Jenis Hash, dan Hash Kunci. Dalam contoh yang ditunjukkan di sini, nilai-nilai ini adalah:
  
  Tag Kunci: 4535
  Algoritma: 13
  Jenis Hash: 2
  Hash: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
  
  Saat Anda memberikan catatan DS ke pencatat Anda, pendafat menambahkan catatan DS ke zona induk, seperti zona Domain Tingkat Atas (TLD).
2. Jika Anda memiliki zona induk, Anda dapat menambahkan rekaman DS langsung ke induk sendiri. Contoh berikut menunjukkan cara menambahkan catatan DS ke zona DNS adatum.com untuk zona anak secure.adatum.com saat kedua zona dihosting menggunakan Azure Public DNS:
3. Jika Anda tidak memiliki zona induk, kirim catatan DS ke pemilik zona induk dengan instruksi untuk menambahkannya ke zona mereka.
Ketika catatan DS telah diunggah ke zona induk, pilih halaman informasi DNSSEC untuk zona Anda dan verifikasi bahwa Penandatanganan dan delegasi dibuat ditampilkan. Zona DNS Anda sekarang sepenuhnya ditandatangani DNSSEC.

Catatan

Jika konfigurasi jaringan Azure Anda tidak mengizinkan pemeriksaan delegasi, pesan delegasi yang ditampilkan di sini ditekan. Dalam hal ini, Anda dapat menggunakan debugger DNSSEC publik untuk memverifikasi status delegasi.

Menandatangani zona menggunakan Azure CLI:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

Dapatkan informasi delegasi dan gunakan untuk membuat rekaman DS di zona induk.

Anda bisa menggunakan perintah Azure CLI berikut untuk menampilkan informasi rekaman DS:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Contoh output:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Atau, Anda juga dapat memperoleh informasi DS dengan menggunakan dig.exe pada baris perintah:

dig adatum.com DS +dnssec

Contoh output:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

Dalam contoh ini, nilai DS adalah:

Tag Kunci: 26767
Algoritma: 13
Jenis Hash: 2
Hash: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Jika zona induk adalah domain tingkat atas (misalnya: .com), Anda harus menambahkan catatan DS di pencatat Anda. Setiap registrar memiliki prosesnya sendiri.
Jika Anda memiliki zona induk, Anda dapat menambahkan rekaman DS langsung ke induk sendiri. Contoh berikut menunjukkan cara menambahkan catatan DS ke zona DNS adatum.com untuk zona anak secure.adatum.com saat kedua zona ditandatangani dan dihosting menggunakan Azure Public DNS:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

Jika Anda tidak memiliki zona induk, kirim catatan DS ke pemilik zona induk dengan instruksi untuk menambahkannya ke zona mereka.

Tanda tangani dan verifikasi zona Anda menggunakan PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

Dapatkan informasi delegasi dan gunakan untuk membuat rekaman DS di zona induk.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Contoh output:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Dalam contoh ini, nilai DS adalah:

Tag Kunci: 26767
Algoritma: 13
Jenis Hash: 2
Hash: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Jika zona induk adalah domain tingkat atas (misalnya: .com), Anda harus menambahkan catatan DS di pencatat Anda. Setiap registrar memiliki prosesnya sendiri.
Jika Anda memiliki zona induk, Anda dapat menambahkan rekaman DS langsung ke induk sendiri. Contoh berikut menunjukkan cara menambahkan catatan DS ke zona DNS adatum.com untuk zona anak secure.adatum.com saat kedua zona ditandatangani dan dihosting menggunakan Azure Public DNS. Ganti <key-tag>, <algoritma>, <digest>, dan <digest-type> dengan nilai yang sesuai dari rekaman DS yang Anda kueri sebelumnya.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

Jika Anda tidak memiliki zona induk, kirim catatan DS ke pemilik zona induk dengan instruksi untuk menambahkannya ke zona mereka.

Langkah berikutnya

Pelajari cara membatalkan penetapan zona DNS.
Pelajari cara menghosting zona pencarian balik untuk rentang IP yang ditetapkan ISP Anda di Azure DNS.
Pelajari cara mengelola rekaman reverse DNS untuk layanan Azure Anda.

Bagikan melalui

Cara menandatangani zona DNS Publik Azure Anda dengan DNSSEC

Prasyarat

Menandatangani zona dengan DNSSEC

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: