Auf dieser Seite wird beschrieben, wie Sie DNSSEC-Schlüssel (Domain Name System Security Extensions) aufrufen.
Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.
Ein DNSKEY ist ein DNS-Eintragstyp, der einen öffentlichen Signierschlüssel enthält. Wenn Sie eine DNSSEC-signierte Zone zu einem anderen DNS-Operator migrieren, müssen Sie möglicherweise die DNSKEY-Einträge ansehen. Der Migrationsprozess in RFC 6781 erfordert den Import der Zonenschlüssel (Zone Signing Key, ZSK) und Key Signing Key (KSK) aus der Cloud DNS-Zone in die Zone des anderen Operators.
Wenn Sie DNSSEC für eine Zone aktiviert haben, verwaltet Cloud DNS automatisch das Erstellen und Drehen von DNSSEC-Schlüsseln (DNSKEY-Datensätzen) und das Signieren von Zonendaten mit digitalen Signaturdatensätzen von Ressourceneinträgen (RRSIG). Cloud DNS unterstützt nicht das automatische Drehen von KSKs, da KSK-Rotationen derzeit eine manuelle Interaktion mit dem Domainregistrator erfordern. Cloud DNS führt jedoch vollautomatische ZSK-Rotationen durch. Die automatisch verwalteten DNSKEYs können Sie mit der Google Cloud CLI oder der REST API anzeigen.
Hinweise
Damit Sie sich die DNSSEC-Schlüssel ansehen können, müssen Sie eine verwaltete Zone erstellt und DNSSEC für die Zone aktiviert haben, sodass DNSKEY-Einträge erstellt werden.
Aktuelle DNSKEYs anzeigen
So rufen Sie die aktuellen DNSKEY-Einträge für Ihre Zone auf:
gcloud
In den folgenden gcloud-Befehlszeilenbeispielen können Sie den Parameter --project für ein bestimmtes Projekt angeben.
Verwenden Sie den Befehl gcloud dns dns-keys list, um alle DNSKEYs im JSON-Format zu drucken:
gcloud dns dns-keys list --zone ZONE_NAME
Ersetzen Sie ZONE_NAME durch den Namen der verwalteten Zone.
Verwenden Sie den Befehl gcloud dns dns-keys describe, um die Details eines bestimmten DNSKEY im JSON-Format aufzurufen:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Ersetzen Sie Folgendes:
DNSKEY_ID: Die ID des DNSKEY, für den Sie Details aufrufen möchten.ZONE_NAME: Der Name der verwalteten Zone
API
Verwenden Sie die Methode dnsKeys.get mit einem leeren Anfragetext, um alle DNSKEYs in einer ResourceRecordSet-Sammlung zu drucken:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Ersetzen Sie Folgendes:
PROJECT: Name oder ID des DNS-ProjektsZONE_NAME: Der Name der verwalteten Zone
Ihre Ausgabe sieht etwa so aus:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
Verwenden Sie die Methode dnsKeys DNSKEY_ID.get mit einem leeren Anfragetext, um die Details eines angegebenen DNSKEY im JSON-Format aufzurufen:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Ersetzen Sie Folgendes:
PROJECT: Name oder ID des DNS-ProjektsZONE_NAME: Der Name der verwalteten ZoneDNSKEY_ID: Die ID des DNSKEY, für den Sie Details aufrufen möchten.
Python
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
Ersetzen Sie Folgendes:
PROJECT_NAME: Name oder ID Ihres DNS-ProjektsZONE_NAME: Der Name der verwalteten Zone
Nächste Schritte
- Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
- Informationen zum Überwachen von Änderungen finden Sie unter DNS-Weitergabe überwachen.
- Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
- Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.