Visualizzazione delle chiavi DNSSEC

Questa pagina descrive come visualizzare le estensioni di sicurezza del DNS (Domain Name System) (DNSSEC).

Per una panoramica concettuale di DNSSEC, consulta la panoramica di DNSSEC.

DNSKEY è un tipo di record DNS che contiene una chiave di firma pubblica. Se stai eseguendo la migrazione di una zona firmata DNSSEC a un altro operatore DNS, potresti dover controllare i record DNSKEY. Il processo di migrazione RFC 6781 richiede l'importazione della chiave di firma della zona (ZSK) e della chiave di firma della chiave (KSK) DNSKEY dalla zona Cloud DNS alla zona dell'altro operatore.

Se hai abilitato DNSSEC per una zona, Cloud DNS gestisce automaticamente creazione e rotazione delle chiavi DNSSEC (record DNSKEY) e i dati di zona con record RRSIG (Resource Record Digital Signature). Cloud DNS non supporta la rotazione automatica delle chiavi KSK perché al momento richiede l'interazione manuale con il registrar del dominio. Tuttavia, Cloud DNS esegue rotazioni ZSK completamente automatiche. Puoi visualizzare le DNSKEY gestite automaticamente con Google Cloud CLI oppure l'API REST.

Prima di iniziare

Prima di poter visualizzare le chiavi DNSSEC, devi disporre ha creato una zona gestita e ha abilitato DNSSEC per la zona per creare i record DNSKEY.

Visualizza le DNSKEY correnti

Per visualizzare i record DNSKEY correnti per la tua zona, segui questi passaggi.

gcloud

Per i seguenti esempi della riga di comando gcloud, puoi specificare il valore --project per operare su un progetto specifico.

Per stampare tutte le DNSKEY in formato JSON, utilizza il metodo gcloud dns dns-keys list :

gcloud dns dns-keys list --zone ZONE_NAME

Sostituisci ZONE_NAME con il nome della zona gestita.

Per visualizzare i dettagli di una DNSKEY specificata in formato JSON, utilizza gcloud dns dns-keys describe :

gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME

Sostituisci quanto segue:

  • DNSKEY_ID: l'ID della chiave DNS per la quale vuoi visualizzare i dettagli
  • ZONE_NAME: il nome della zona gestita

API

Per stampare tutte le DNSKEY in una raccolta ResourceRecordSet, utilizza la Metodo dnsKeys.get con un campo vuoto corpo della richiesta:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys

Sostituisci quanto segue:

  • PROJECT: il nome o l'ID del progetto DNS
  • ZONE_NAME: il nome della zona gestita

L'output è simile al seguente:

{
  "kind": "dns#dnsKeysListResponse",
  "header": {
    "operationId": string
  },
  "dnsKeys": [
    dnsKeys Resource
  ],
  "nextPageToken": string
}

Per visualizzare i dettagli di un DNSKEY specificato in formato JSON, utilizza il metodo dnsKeys DNSKEY_ID.get con un corpo della richiesta vuoto:

GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID

Sostituisci quanto segue:

  • PROJECT: il nome o l'ID del progetto DNS
  • ZONE_NAME: il nome della zona gestita
  • DNSKEY_ID: l'ID della DNSKEY per cui vuoi visualizza dettagli

Python

  from apiclient import errors
  from apiclient.discovery import build

  PROJECT_NAME= 'PROJECT_NAME'
  ZONE_NAME= 'ZONE_NAME'

  try:
    service = build('dns', 'v1')
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

  try:
    response = service.dnskeys().list(project=PROJECT_NAME,
                                      managedZone=ZONE_NAME,
                                      keyId=KEY_ID).execute()
  except errors.HttpError, error:
    print 'An error occurred: %s' % error

Sostituisci quanto segue:

  • PROJECT_NAME: il nome o l'ID del progetto DNS
  • ZONE_NAME: il nome della zona gestita

Passaggi successivi