Halaman ini menjelaskan cara mengaktifkan dan menonaktifkan Domain Name System Security Extensions (DNSSEC) di registrar domain Anda.
Untuk mempelajari DNSSEC, lihat ringkasan DNSSEC.
Mengaktifkan DNSSEC di registrar domain
Setelah mengaktifkan DNSSEC untuk zona publik terkelola yang ada, Anda harus mengaktifkan DNSSEC di registrar domain Anda. Untuk mengaktifkan DNSSEC, Anda membuat data DS untuk domain di zona induk sehingga resolver dapat mengidentifikasi bahwa domain Anda mengaktifkan DNSSEC dan dapat memvalidasi datanya.
Setiap registrar memiliki prosedur yang berbeda untuk membuat data DS ini. Banyak pendaftar menggunakan formulir situs. Untuk informasi selengkapnya, lihat dokumentasi registrar Anda.
Setelah Anda mengaktifkan DNSSEC, data DS harus di-propagate di seluruh DNS. Proses ini dapat memerlukan waktu 24 jam atau lebih, bergantung pada nilai time to live (TTL) yang Anda tetapkan untuk data DNS dan perilaku penyimpanan dalam cache dari berbagai resolver DNS.
Sebelum mengaktifkan DNSSEC di domain penting, uji konfigurasi DNS Anda secara menyeluruh.
Mendapatkan data DS
Untuk mendapatkan data DS untuk zona Anda, ikuti langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Create a DNS zone.
Klik zona yang data DS-nya Anda inginkan.
Klik Penyiapan pendaftar.
Salin data DS dari dialog. Data DS mirip dengan hal berikut:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Gunakan perintah gcloud dns dns-keys list
.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Ganti kode berikut:
MANAGED_ZONE
: nama zona terkelola
Output anda mirip dengan hal berikut ini:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Menonaktifkan DNSSEC di registrar domain Anda
Sebelum menonaktifkan DNSSEC untuk zona terkelola yang masih ingin Anda gunakan, Anda harus menonaktifkan DNSSEC untuk zona Anda di registrar domain Anda untuk membantu memastikan bahwa resolver yang memvalidasi DNSSEC masih dapat me-resolve nama di zona.
Untuk menonaktifkan DNSSEC, hapus semua data DS untuk domain Anda dari zona induk; tindakan ini mencegah resolver menggunakan DNSSEC untuk memvalidasi data domain Anda.
Setelah menghapus data DS dari registrar, Anda harus menunggu penghapusan data DS diterapkan ke semua resolver sebelum dapat menonaktifkan DNSSEC untuk zona tersebut. Proses ini mungkin memerlukan waktu 24 jam atau lebih, bergantung pada latensi penyebaran yang ditimbulkan oleh penyimpanan dalam cache registrar, registry, dan resolver.
Setelah mengonfirmasi bahwa data DS dihapus dari registrar dan tidak lagi dapat diakses oleh resolver, Anda dapat dengan aman menonaktifkan DNSSEC untuk zona tersebut.
Langkah selanjutnya
- Untuk mendapatkan informasi tentang konfigurasi DNSSEC tertentu, lihat Menggunakan DNSSEC lanjutan.
- Untuk menemukan solusi atas masalah umum yang mungkin Anda alami saat menggunakan Cloud DNS, lihat Pemecahan masalah.
- Untuk mendapatkan ringkasan Cloud DNS, lihat Ringkasan Cloud DNS.