Visualizzazione delle chiavi DNSSEC

Questa pagina descrive come visualizzare le chiavi DNSSEC (Domain Name System Security Extensions).

Per una panoramica concettuale di DNSSEC, consulta la panoramica di DNSSEC.

Un DNSKEY è un tipo di record DNS che contiene una chiave di firma pubblica. Se stai eseguendo la migrazione di una zona firmata DNSSEC a un altro operatore DNS, potresti dover controllare i record DNSKEY. La procedura di migrazione descritta nel RFC 6781 richiede l'importazione delle chiavi DNSKEY ZSK (chiave di firma della zona) e KSK (chiave di firma della chiave) dalla zona Cloud DNS nella zona dell'altro operatore.

Se hai attivato le DNSSEC per una zona, Cloud DNS gestisce automaticamente la creazione e la rotazione delle chiavi DNSSEC (record DNSKEY) e la firma dei dati della zona con i record RRSIG (firma digitale del record di risorse). Cloud DNS non supporta la rotazione automatica delle KSK perché al momento richiedono l'interazione manuale con il registrar del dominio. Tuttavia, Cloud DNS esegue rotazioni ZSK completamente automatiche. Puoi visualizzare i DNSKEY gestiti automaticamente con Google Cloud CLI o con l'API REST.

Prima di iniziare

Prima di poter visualizzare le chiavi DNSSEC, devi aver creato una zona gestita e abilitato DNSSEC per la zona in modo che vengano creati i record DNSKEY.

Mostra le DNSKEY attuali

Per visualizzare i record DNSKEY attuali per la tua zona, segui questi passaggi.

gcloud

Per i seguenti esempi di riga di comando gcloud, puoi specificare il parametro --project per operare su un progetto specifico.

Per stampare tutti i DNSKEY in formato JSON, utilizza il comando gcloud dns dns-keys list:

gcloud dns dns-keys list --zone ZONE_NAME

Sostituisci ZONE_NAME con il nome della zona gestita.

Per visualizzare i dettagli di un DNSKEY specificato in formato JSON, utilizza il comando gcloud dns dns-keys describe:

gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME

Sostituisci quanto segue:

  • DNSKEY_ID: l'ID della chiave DNS per la quale vuoi visualizzare i dettagli
  • ZONE_NAME: il nome della zona gestita

API

Per stampare tutte le DNSKEY in una raccolta ResourceRecordSet, utilizza il metodo dnsKeys.get con un corpo della richiesta vuoto:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys

Sostituisci quanto segue:

  • PROJECT: il nome o l'ID del progetto DNS
  • ZONE_NAME: il nome della zona gestita

L'output è simile al seguente:

{
  "kind": "dns#dnsKeysListResponse",
  "header": {
    "operationId": string
  },
  "dnsKeys": [
    dnsKeys Resource
  ],
  "nextPageToken": string
}

Per visualizzare i dettagli di un DNSKEY specificato in formato JSON, utilizza il metodo dnsKeys DNSKEY_ID.get con un corpo della richiesta vuoto:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID

Sostituisci quanto segue:

  • PROJECT: il nome o l'ID del progetto DNS
  • ZONE_NAME: il nome della zona gestita
  • DNSKEY_ID: l'ID della chiave DNS per la quale vuoi visualizzare i dettagli

Python

  from apiclient import errors
  from apiclient.discovery import build

  PROJECT_NAME= 'PROJECT_NAME'
  ZONE_NAME= 'ZONE_NAME'

  try:
    service = build('dns', 'v1')
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

  try:
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME,
                                      keyId=KEY_ID).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

Sostituisci quanto segue:

  • PROJECT_NAME: il nome o l'ID del progetto DNS
  • ZONE_NAME: il nome della zona gestita

Passaggi successivi