In questa pagina viene descritto come attivare e disattivare le estensioni DNSSEC (Domain Name System Security Extensions) nel registrar di domini.
Per una panoramica concettuale delle DNSSEC, consulta la panoramica di DNSSEC.
Attivare le DNSSEC nel registrar del dominio
Dopo aver abilitato le DNSSEC per la zona, devi attivarle nel registrar. Per attivare le DNSSEC, crea un record DS per il tuo dominio nella zona padre, in modo che i resolver sappiano che il dominio è abilitato per DNSSEC e possono convalidare i relativi dati. Ogni registrar prevede una procedura diversa per creare questo record DS; molti registrar utilizzano un modulo per il sito web.
Puoi trovare istruzioni specifiche per i diversi registrar di domini nel tutorial della community di Google Cloud Attivare DNSSEC per i domini Cloud DNS.
Assicurati di testare a fondo la configurazione DNS prima di attivare DNSSEC sui domini importanti. Dopo aver attivato le DNSSEC, potrebbero essere necessarie 24 ore o più per la disattivazione, se necessario, a causa di ritardi di propagazione e memorizzazione nella cache del resolver.
Recupero dei record DS
Per recuperare i record DS per la zona, segui questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Crea una zona DNS.
Fai clic sulla zona per la quale desideri creare i record DS.
Fai clic su Configurazione registrar.
Copia i record DS dalla finestra di dialogo. I record DS sono simili ai seguenti:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
Utilizza il comando gcloud dns dns-keys list.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
Sostituisci quanto segue:
MANAGED_ZONE: il nome della zona gestita
L'output è simile al seguente:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
Disattivare le DNSSEC nel registrar del dominio
Prima di disabilitare DNSSEC per una zona gestita che vuoi ancora utilizzare, devi disattivare DNSSEC per la zona presso il registrar del dominio per assicurarti che i resolver che convalidano le DNSSEC possano comunque risolvere i nomi nella zona.
Per disattivare le DNSSEC, rimuovi tutti i record DS per il tuo dominio dalla zona padre in modo che i resolver non provino più a utilizzare le DNSSEC per convalidare i dati del dominio. Ogni registrar prevede una procedura diversa per la rimozione di questi record DS; molti registrar utilizzano un modulo per il sito web.
Puoi trovare istruzioni specifiche per i diversi registrar di domini nel tutorial della community di Google Cloud Attivare DNSSEC per i domini Cloud DNS.
Dopo che i record DS sono stati rimossi dal registrar, devi attendere che la rimozione del record DS si propaghi a tutti i resolver prima di disattivare le DNSSEC per la zona. Questa operazione potrebbe richiedere 24 ore o più, a seconda della latenza di propagazione richiesta dal registrar o dal registry e dal resolver.
Quando i record DS non sono più visibili ai resolver, puoi tranquillamente disattivare le DNSSEC per la zona.
Passaggi successivi
- Per ottenere informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare la configurazione avanzata DNSSEC.
- Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
- Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.