En esta página, se describe cómo ver las claves de las extensiones de seguridad del sistema de nombres de dominio (DNSSEC).
Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.
Un DNSKEY es un tipo de registro DNS que contiene una clave de firma pública. Si migras una zona con firma de DNSSEC a otro operador de DNS, es posible que debas ver los registros DNSKEY. El proceso de migración en RFC 6781 requiere importar los DNSKEY de la clave de firma de claves (KSK) y la clave de firma de claves (KSK) desde la zona de Cloud DNS a la zona del otro operador.
Si habilitaste DNSSEC en una zona, Cloud DNS administra automáticamente la creación y rotación de las claves DNSSEC (registros DNSKEY) y la firma de datos de zona con registros de firma digital del registro de recursos (RRSIG). Cloud DNS no admite la rotación automática de KSK porque estas rotaciones requieren interacción manual con el registrador de dominios. Sin embargo, Cloud DNS realiza rotaciones ZSK completamente automáticas. Puedes ver los DNSKEY administrados automáticamente con Google Cloud CLI o la API de REST.
Antes de comenzar
Para ver las claves DNSSEC, debes crear una zona administrada y habilitar DNSSEC en la zona a fin de que se creen los registros DNSKEY.
Mostrar DNSKEY actuales
Para mostrar los registros DNSKEY actuales de tu zona, sigue estos pasos.
gcloud
En los siguientes ejemplos de la línea de comandos de gcloud, puedes especificar el parámetro --project para que opere en un proyecto específico.
Para imprimir todos los DNSKEY en formato JSON, usa el comando gcloud dns dns-keys list:
gcloud dns dns-keys list --zone ZONE_NAME
Reemplaza ZONE_NAME por el nombre de la zona administrada.
Para mostrar los detalles de un DNSKEY especificado en formato JSON, usa el comando gcloud dns dns-keys describe:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Reemplaza lo siguiente:
DNSKEY_ID: El ID del DNSKEY del que deseas ver los detallesZONE_NAME: El nombre de la zona administrada
API
Para imprimir todos los DNSKEY en una colección de ResourceRecordSet, usa el método dnsKeys.get con un cuerpo de solicitud vacío:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Reemplaza lo siguiente:
PROJECT: El nombre o ID del proyecto de DNSZONE_NAME: El nombre de la zona administrada
El resultado es similar al siguiente:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
Para mostrar los detalles de un DNSKEY especificado en formato JSON, usa el método dnsKeys DNSKEY_ID.get con un cuerpo de solicitud vacío:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Reemplaza lo siguiente:
PROJECT: El nombre o ID del proyecto de DNSZONE_NAME: El nombre de la zona administradaDNSKEY_ID: El ID del DNSKEY del que deseas ver los detalles
Python
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
Reemplaza lo siguiente:
PROJECT_NAME: El nombre o ID del proyecto de DNSZONE_NAME: El nombre de la zona administrada
¿Qué sigue?
- Para obtener información sobre parámetros de configuración específicas de DNSSEC, consulta Usa DNSSEC avanzadas.
- Para supervisar los cambios, consulta Supervisa la propagación de DNS.
- Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
- Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.