DNSSEC-Schlüssel ansehen

Auf dieser Seite wird beschrieben, wie Sie DNSSEC-Schlüssel (Domain Name System Security Extensions) aufrufen.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

Ein DNSKEY ist ein DNS-Eintragstyp, der einen öffentlichen Signierschlüssel enthält. Wenn Sie eine DNSSEC-signierte Zone zu einem anderen DNS-Operator migrieren, müssen Sie möglicherweise die DNSKEY-Einträge ansehen. Der Migrationsprozess in RFC 6781 erfordert den Import der Zonenschlüssel (Zone Signing Key, ZSK) und Key Signing Key (KSK) aus der Cloud DNS-Zone in die Zone des anderen Operators.

Wenn Sie DNSSEC für eine Zone aktiviert haben, verwaltet Cloud DNS automatisch das Erstellen und Drehen von DNSSEC-Schlüsseln (DNSKEY-Datensätzen) und das Signieren von Zonendaten mit digitalen Signaturdatensätzen von Ressourceneinträgen (RRSIG). Cloud DNS unterstützt nicht das automatische Drehen von KSKs, da KSK-Rotationen derzeit eine manuelle Interaktion mit dem Domainregistrator erfordern. Cloud DNS führt jedoch vollautomatische ZSK-Rotationen durch. Die automatisch verwalteten DNSKEYs können Sie mit der Google Cloud CLI oder der REST API anzeigen.

Hinweis

Damit Sie sich die DNSSEC-Schlüssel ansehen können, müssen Sie eine verwaltete Zone erstellt und DNSSEC für die Zone aktiviert haben, sodass DNSKEY-Einträge erstellt werden.

Aktuelle DNSKEYs anzeigen

So rufen Sie die aktuellen DNSKEY-Einträge für Ihre Zone auf:

gcloud

In den folgenden gcloud-Befehlszeilenbeispielen können Sie den Parameter --project für ein bestimmtes Projekt angeben.

Verwenden Sie den Befehl gcloud dns dns-keys list, um alle DNSKEYs im JSON-Format zu drucken:

gcloud dns dns-keys list --zone ZONE_NAME

Ersetzen Sie ZONE_NAME durch den Namen der verwalteten Zone.

Verwenden Sie den Befehl gcloud dns dns-keys describe, um die Details eines bestimmten DNSKEY im JSON-Format aufzurufen:

gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME

Dabei gilt:

  • DNSKEY_ID: Die ID des DNSKEY, für den Sie Details aufrufen möchten.
  • ZONE_NAME: Der Name der verwalteten Zone

API

Verwenden Sie die Methode dnsKeys.get mit einem leeren Anfragetext, um alle DNSKEYs in einer ResourceRecordSet-Sammlung zu drucken:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys

Dabei gilt:

  • PROJECT: Name oder ID des DNS-Projekts
  • ZONE_NAME: Der Name der verwalteten Zone

Ihre Ausgabe sieht etwa so aus:

{
  "kind": "dns#dnsKeysListResponse",
  "header": {
    "operationId": string
  },
  "dnsKeys": [
    dnsKeys Resource
  ],
  "nextPageToken": string
}

Verwenden Sie die Methode dnsKeys DNSKEY_ID.get mit einem leeren Anfragetext, um die Details eines angegebenen DNSKEY im JSON-Format aufzurufen:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID

Dabei gilt:

  • PROJECT: Name oder ID des DNS-Projekts
  • ZONE_NAME: Der Name der verwalteten Zone
  • DNSKEY_ID: Die ID des DNSKEY, für den Sie Details aufrufen möchten.

Python

  from apiclient import errors
  from apiclient.discovery import build

  PROJECT_NAME= 'PROJECT_NAME'
  ZONE_NAME= 'ZONE_NAME'

  try:
    service = build('dns', 'v1')
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

  try:
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME,
                                      keyId=KEY_ID).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

Dabei gilt:

  • PROJECT_NAME: Name oder ID Ihres DNS-Projekts
  • ZONE_NAME: Der Name der verwalteten Zone

Nächste Schritte