Ver chaves DNSSEC

Nesta página, você verá como visualizar as chaves de Extensões de segurança do Sistema de Nome de Domínio (DNSSEC, na sigla em inglês).

Consulte a visão geral das DNSSEC para ter uma visão geral conceitual das DNSSEC.

A DNSKEY é um tipo de registro DNS que contém uma chave de assinatura pública. Se você estiver migrando uma zona assinada da DNSSEC para outro operador de DNS, talvez seja necessário ver os registros DNSKEY. O processo de migração em RFC 6781 requer a importação das DNSKEYs da chave de assinatura de zona (ZSK) e da chave de assinatura de chave (KSK, na sigla em inglês) da zona do Cloud DNS para a zona do outro operador.

Se você tiver ativado a DNSSEC de uma zona, o Cloud DNS gerenciará automaticamente a criação e a rotação de chaves de DNSSEC (registros DNSKEY) e a assinatura dos dados da zona com registros de assinatura digital de registro de recurso (RRSIG, na sigla em inglês). O Cloud DNS não aceita rotação automática de KSKs porque, atualmente, as rotações de KSK exigem interação manual com o registrador de domínios. No entanto, o Cloud DNS executa rotações ZSK totalmente automáticas. É possível ver as DNSKEYs gerenciadas automaticamente com a CLI do Google Cloud ou a API REST.

Antes de começar

Antes de ver as chaves de DNSSEC, você precisa criar uma zona gerenciada e ativar o DNSSEC na zona para que os registros DNSKEY sejam gerados.

Exibir DNSKEYs atuais

Para exibir os registros DNSKEY atuais da sua zona, siga estas etapas:

gcloud

Para os exemplos de linha de comando gcloud a seguir, é possível especificar o parâmetro --project para operar em um projeto específico.

Para imprimir todas as DNSKEYs no formato JSON, use o comando gcloud dns dns-keys list:

gcloud dns dns-keys list --zone ZONE_NAME

Substitua ZONE_NAME pelo nome da zona gerenciada.

Para exibir os detalhes de um DNSKEY especificado no formato JSON, use o comando gcloud dns dns-keys describe:

gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME

Substitua:

  • DNSKEY_ID: o ID do DNSKEY do qual você quer ver os detalhes
  • ZONE_NAME: o nome da zona gerenciada

API

Para imprimir todas as DNSKEYs em uma coleção ResourceRecordSet, use o método dnsKeys.get com um corpo de solicitação vazio:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys

Substitua:

  • PROJECT: o nome ou o ID do projeto DNS
  • ZONE_NAME: o nome da zona gerenciada

O resultado será semelhante a este:

{
  "kind": "dns#dnsKeysListResponse",
  "header": {
    "operationId": string
  },
  "dnsKeys": [
    dnsKeys Resource
  ],
  "nextPageToken": string
}

Para exibir os detalhes de um DNSKEY especificado no formato JSON, use o método dnsKeys DNSKEY_ID.get com um corpo de solicitação vazio:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID

Substitua:

  • PROJECT: o nome ou o ID do projeto DNS
  • ZONE_NAME: o nome da zona gerenciada
  • DNSKEY_ID: o ID do DNSKEY do qual você quer ver os detalhes

Python

  from apiclient import errors
  from apiclient.discovery import build

  PROJECT_NAME= 'PROJECT_NAME'
  ZONE_NAME= 'ZONE_NAME'

  try:
    service = build('dns', 'v1')
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

  try:
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME,
                                      keyId=KEY_ID).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

Substitua:

  • PROJECT_NAME: o nome ou o ID do projeto DNS
  • ZONE_NAME: o nome da zona gerenciada

A seguir