Azure Genel DNS bölgenizi DNSSEC ile imzalama

Makale
02/04/2025

Bu makalede, DNS bölgenizi Etki Alanı Adı Sistem Güvenlik Uzantıları (DNSSEC) ile imzalama adımları gösterilmektedir.

Bir bölgeden DNSSEC imzalamayı kaldırmak için bkz . Azure Genel DNS bölgenizin imzasını kaldırma.

Önkoşullar

DNS bölgesi Azure Genel DNS tarafından barındırılmalıdır. Daha fazla bilgi için bkz . DNS bölgelerini yönetme.
Üst DNS bölgesi DNSSEC ile imzalanmalıdır. Çoğu ana üst düzey etki alanı (.com, .net, .org) zaten imzalı.

DNSSEC ile bölge imzalama

DNS bölgenizi DNSSEC ile korumak için önce bölgeyi imzalamanız gerekir. Bölge imzalama işlemi, daha sonra üst bölgeye eklenmesi gereken bir temsilci imzalayan (DS) kaydı oluşturur.

Azure portalını kullanarak bölgenizi DNSSEC ile imzalamak için:

Azure portalı Giriş sayfasında DNS bölgelerini arayın ve seçin.
DNS bölgenizi seçin ve ardından bölgenin Genel Bakış sayfasında DNSSEC'i seçin. Üstteki menüden veya DNS Yönetimi'nin altında DNSSEC'i seçebilirsiniz.
DNSSEC'i Etkinleştir onay kutusunu seçin.
DNSSEC'i etkinleştirmek istediğinizi onaylamanız istendiğinde Tamam'ı seçin.
Bölge imzalamanın tamamlanmasını bekleyin. Bölge imzalandıktan sonra, görüntülenen DNSSEC temsilci bilgilerini gözden geçirin. Durumun şu olduğuna dikkat edin: İmzalı ancak temsilci olarak atanmamış.

Not

Azure ağ yapılandırmanız temsilci denetimine izin vermiyorsa, burada gösterilen temsilci iletisi gösterilmez. Bu durumda, temsilci durumunu doğrulamak için bir genel DNSSEC hata ayıklayıcısı kullanabilirsiniz.
Temsilci bilgilerini kopyalayın ve üst bölgede bir DS kaydı oluşturmak için kullanın.
1. Üst bölge bir üst düzey etki alanıysa (örneğin: .com), kayıt şirketinize DS kaydını eklemeniz gerekir. Her kayıt şirketinin kendi süreci vardır. Kayıt şirketi Anahtar Etiketi, Algoritma, Özet Türü ve Anahtar Özeti gibi değerleri isteyebilir. Burada gösterilen örnekte bu değerler şunlardır:
  
  Anahtar Etiketi: 4535
  Algoritma: 13
  Özet Türü: 2
  Özet: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001
  
  Kayıt şirketinize DS kaydını sağladığınızda, kayıt şirketi DS kaydını Üst Düzey Etki Alanı (TLD) bölgesi gibi üst bölgeye ekler.
2. Üst bölgenin sahibiyseniz, doğrudan üst bölgeye bir DS kaydı ekleyebilirsiniz. Aşağıdaki örnekte, her iki bölge de Azure Genel DNS kullanılarak barındırıldığında alt bölge secure.adatum.com için DNS bölgesi adatum.com DS kaydının nasıl ekleneceği gösterilmektedir:
3. Üst bölgenin sahibi değilseniz, DS kaydını bölgelerine ekleme yönergeleriyle birlikte üst bölgenin sahibine gönderin.
DS kaydı üst bölgeye yüklendiğinde, bölgenizin DNSSEC bilgileri sayfasını seçin ve İmzalı ve temsilci oluşturma işleminin görüntülendiğini doğrulayın. DNS bölgeniz artık tamamen DNSSEC imzalı.

Not

Azure ağ yapılandırmanız temsilci denetimine izin vermiyorsa, burada gösterilen temsilci iletisi gösterilmez. Bu durumda, temsilci durumunu doğrulamak için bir genel DNSSEC hata ayıklayıcısı kullanabilirsiniz.

Azure CLI kullanarak bölge imzalama:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

Temsilci bilgilerini alın ve üst bölgede bir DS kaydı oluşturmak için kullanın.

DS kayıt bilgilerini görüntülemek için aşağıdaki Azure CLI komutunu kullanabilirsiniz:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Örnek çıkış:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Alternatif olarak, komut satırındaki dig.exe kullanarak da DS bilgilerini alabilirsiniz:

dig adatum.com DS +dnssec

Örnek çıkış:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

Bu örneklerde DS değerleri şunlardır:

Anahtar Etiketi: 26767
Algoritma: 13
Özet Türü: 2
Özet: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Üst bölge bir üst düzey etki alanıysa (örneğin: .com), kayıt şirketinize DS kaydını eklemeniz gerekir. Her kayıt şirketinin kendi süreci vardır.
Üst bölgenin sahibiyseniz, doğrudan üst bölgeye bir DS kaydı ekleyebilirsiniz. Aşağıdaki örnekte, her iki bölge de Azure Genel DNS kullanılarak imzalandığında ve barındırıldığında alt bölge secure.adatum.com için DNS bölgesi adatum.com DS kaydının nasıl ekleneceği gösterilmektedir:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

Üst bölgenin sahibi değilseniz, DS kaydını bölgelerine ekleme yönergeleriyle birlikte üst bölgenin sahibine gönderin.

PowerShell kullanarak bölgenizi imzalayın ve doğrulayın:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

Temsilci bilgilerini alın ve üst bölgede bir DS kaydı oluşturmak için kullanın.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Örnek çıkış:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Bu örneklerde DS değerleri şunlardır:

Anahtar Etiketi: 26767
Algoritma: 13
Özet Türü: 2
Özet: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

Üst bölge bir üst düzey etki alanıysa (örneğin: .com), kayıt şirketinize DS kaydını eklemeniz gerekir. Her kayıt şirketinin kendi süreci vardır.
Üst bölgenin sahibiyseniz, doğrudan üst bölgeye bir DS kaydı ekleyebilirsiniz. Aşağıdaki örnekte, her iki bölge de Azure Genel DNS kullanılarak imzalandığında ve barındırıldığında alt bölge secure.adatum.com için DNS bölgesi adatum.com DS kaydının nasıl ekleneceği gösterilmektedir. Anahtar etiketi>, algoritma>, <<özet ve <özet> türünü> daha önce sorguladığınız DS kaydındaki uygun değerlerle değiştirin<.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

Üst bölgenin sahibi değilseniz, DS kaydını bölgelerine ekleme yönergeleriyle birlikte üst bölgenin sahibine gönderin.

Sonraki adımlar

DNS bölgesinin imzasını kaldırmayı öğrenin.
ISS tarafından atanan IP aralığınız için geriye doğru arama bölgesini Azure DNS'de barındırmayı öğrenin.
Azure hizmetleriniz için ters DNS kayıtlarını yönetmeyi öğrenin.

Aracılığıyla paylaş

Azure Genel DNS bölgenizi DNSSEC ile imzalama

Önkoşullar

DNSSEC ile bölge imzalama

Sonraki adımlar

Geri Bildirim

Ek kaynaklar