このページでは、ドメイン登録事業者で Domain Name System Security Extensions(DNSSEC)を有効または無効にする方法について説明します。
DNSSEC のコンセプトの概要については、DNSSEC の概要をご覧ください。
ドメイン登録事業者で DNSSEC を有効にする
ゾーンに対して DNSSEC を有効にしたら、登録事業者で DNSSEC を有効にする必要があります。DNSSEC を有効にするには、ドメインの DS レコードを親ゾーンに作成します。これにより、ドメインが DNSSEC 対応であることをリゾルバが認識し、そのデータを検証できます。この DS レコードの作成手順は、登録事業者によって異なります。多くの登録事業者でウェブサイト フォームが使用されています。
ドメイン登録事業者固有の手順については、Google Cloud コミュニティ チュートリアルの Cloud DNS ドメインの DNSSEC の有効化をご覧ください。
重要なドメインで DNSSEC を有効にする前に、DNS 構成を十分にテストしてください。DNSSEC を有効にした後、伝播の遅延とリゾルバ キャッシュのため、無効化に 24 時間以上かかることがあります。
DS レコードを取得する
ゾーンの DS レコードを取得する手順は次のとおりです。
コンソール
Google Cloud コンソールで、[DNS ゾーンの作成] ページに移動します。
DS レコードを取得するゾーンをクリックします。
[レジストラの設定] をクリックします。
ダイアログから DS レコードをコピーします。DS レコードは次のようになります。
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
gcloud dns dns-keys list コマンドを使用します。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
次のように置き換えます。
MANAGED_ZONE: マネージド ゾーンの名前
出力は次のようになります。
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
ドメイン登録事業者で DNSSEC を無効にする
今後も使用するマネージド ゾーンで DNSSEC を無効にする前に、DNSSEC 検証リゾルバがそのゾーンのネームを引き続き解決できるようにするために、ドメイン登録事業者でそのゾーンの DNSSEC を無効にする必要があります。
DNSSEC を無効にするには、ドメインの DS レコードすべてを親ゾーンから削除します。これにより、リゾルバは DNSSEC を使用してドメインデータを検証しなくなります。これらの DS レコードを削除する手順は、登録事業者によって異なります。多くの登録事業者ではウェブサイト フォームが使用されています。
ドメイン登録事業者固有の手順については、Google Cloud コミュニティ チュートリアルの Cloud DNS ドメインの DNSSEC の有効化をご覧ください。
DS レコードがレジストラから削除されたら、DS レコードの削除がすべてのリゾルバに伝播されるまで待ってから、ゾーンの DNSSEC を無効にする必要があります。レジストラまたはレジストリ、リゾルバ キャッシュによって発生する伝播レイテンシによっては、24 時間以上かかる場合があります。
リゾルバから DS レコードが認識されなくなったら、ゾーンで安全に DNSSEC を無効にできます。
次のステップ
- 特定の DNSSEC 構成に関する情報を取得するには、高度な DNSSEC の使用をご覧ください。
- Cloud DNS の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。
- Cloud DNS の概要については、Cloud DNS の概要をご覧ください。