DNSSEC 구성 관리

이 페이지에서는 도메인 이름 시스템 보안 확장 프로그램(DNSSEC)을 사용 설정 및 사용 중지하고 DNSSEC 배포를 확인하는 방법을 설명합니다.

DNSSEC의 개념 개요는 DNSSEC 개요를 참조하세요.

기존 관리형 공개 영역에 대해 DNSSEC 사용 설정

기존 관리형 공개 영역에 대해 DNSSEC를 사용 설정하려면 다음 단계를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 Cloud DNS 페이지로 이동합니다.

    Cloud DNS로 이동

  2. DNSSEC를 사용 설정할 영역 이름을 클릭합니다.

  3. 영역 세부정보 페이지에서 수정을 클릭합니다.

  4. DNS 영역 수정 페이지에서 DNSSEC를 클릭합니다.

  5. DNSSEC에서 On을 선택합니다.

  6. 저장을 클릭합니다.

영역에 대해 선택한 DNSSEC 상태가 Cloud DNS 페이지의 DNSSEC 열에 표시됩니다.

gcloud

다음 명령어를 실행합니다.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

EXAMPLE_ZONE을 영역 ID로 바꿉니다.

Terraform 

resource "google_dns_managed_zone" "example" {
  name        = "example-zone-name"
  dns_name    = "example.com."
  description = "Example Signed Zone"
  dnssec_config {
    state = "on"
  }
}

영역 생성 시 DNSSEC 사용 설정

영역을 만들 때 DNSSEC를 사용 설정하려면 다음 단계를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 Cloud DNS 페이지로 이동합니다.

    Cloud DNS로 이동

  2. 영역 만들기를 클릭합니다.

  3. 영역 이름 필드에 이름을 입력합니다.

  4. DNS 이름 필드에 이름을 입력합니다.

  5. DNSSEC에서 On을 선택합니다.

  6. 선택사항: 설명을 추가합니다.

  7. 만들기를 클릭합니다.

    DNSSEC 서명된 영역 만들기

gcloud

다음 명령어를 실행합니다.

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

EXAMPLE_ZONE을 영역 ID로 바꿉니다.

DNSSEC 배포 확인

DNSSEC가 사용 설정된 영역이 올바르게 배포되었는지 확인하기 위해 상위 영역에 DS 레코드가 올바르게 배치되었는지 확인합니다. 다음 중 하나에 해당하면 DNSSEC 확인이 실패할 수 있습니다.

  • 구성이 잘못되었거나 입력한 철자가 잘못되었습니다.
  • 상위 영역에 잘못된 DS 레코드를 배치했습니다.

구성이 올바른지 확인하고 DS 레코드를 상위 영역에 배치하기 전에 다시 확인하려면 다음 도구를 사용합니다.

Verisign DNSSEC 디버거 및 Zonemaster 사이트를 사용하면 Cloud DNS 네임서버 또는 DS 레코드로 등록기관을 업데이트하기 전에 DNSSEC 구성을 검사할 수 있습니다. DNSSEC에 대해 올바르게 구성된 도메인은 example.com이며, DNSViz를 사용하여 확인할 수 있습니다.

DNSSEC 서명된 영역의 권장 TTL 설정

TTL은 DNSSEC 서명 영역의 수명(초)입니다.

네임서버가 쿼리에 대한 응답을 전송하는 시점과 관련이 있는 TTL 만료와 달리 DNSSEC 서명은 고정된 절대 시간에 만료됩니다. 서명 수명보다 긴 TTL을 구성한 경우, DNSSEC 서명이 만료되면 여러 클라이언트가 동시에 레코드를 요청할 수 있습니다. TTL을 짧게 구성하면 DNSSEC 검사 리졸버에 문제가 발생할 수 있습니다.

TTL 선택에 대한 권장사항은 RFC 6781 Section 4.4.1 Time ConsiderationsRFC 6781 Figure 11을 참조하세요.

RFC 6781 Section 4.4.1을 읽을 때는 여러 서명 시간 매개변수가 Cloud DNS에 의해 고정되어 있으며 이를 변경할 수 없다는 점에 유의하세요. 다음 매개변수는 변경할 수 없습니다(고지 없이 변경되거나 이 문서에 대한 업데이트가 있을 수 있음).

  • 시작 오프셋 = 1일
  • 유효 기간 = 21일
  • 재서명 기간 = 3일
  • 새로고침 기간 = 18일
  • 지터 간격 = ½일(또는 ±6시간)
  • 최소 서명 유효 기간 = 새로고침 - 지터 = 17.75일 = 1533600

최소 서명 유효 기간보다 긴 TTL을 절대 사용하지 마세요.

관리형 영역에 대해 DNSSEC 중지

DS 레코드를 삭제하고 캐시에서 만료될 때까지 기다린 후, 다음 gcloud 명령어를 사용하여 DNSSEC를 해제할 수 있습니다.

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

EXAMPLE_ZONE을 영역 ID로 바꿉니다.

다음 단계