Diese Seite wurde von der Cloud Translation API übersetzt.

DNSSEC aktivieren

Auf dieser Seite wird beschrieben, wie Sie DNSSEC (Domain Name System Security Extensions) bei Ihrem Domain-Registrator aktivieren und deaktivieren.

Weitere Informationen zu DNSSEC finden Sie in der DNSSEC-Übersicht.

DNSSEC bei Ihrem Domainregistrator aktivieren

Nachdem Sie DNSSEC für vorhandene verwaltete öffentliche Zonen aktiviert haben, müssen Sie DNSSEC bei Ihrem Domain-Registrator aktivieren. Zur Aktivierung von DNSSEC erstellen Sie in der übergeordneten Zone für Ihre Domain einen DS-Eintrag, damit Resolver erkennen können, dass Ihre Domain DNSSEC-aktiviert ist und deren Daten überprüft werden können.

Registratoren haben für das Erstellen dieses DS-Eintrags unterschiedliche Verfahren. Viele Registrare verwenden ein Websiteformular. Weitere Informationen finden Sie in der Dokumentation Ihres Registrars.

Nachdem Sie DNSSEC aktiviert haben, muss der DS-Eintrag im gesamten DNS übernommen werden. Je nach den TTL-Werten (Time to Live), die Sie für Ihre DNS-Einträge festgelegt haben, und dem Caching-Verhalten verschiedener DNS-Resolver kann dieser Vorgang 24 Stunden oder länger dauern.

Testen Sie die DNS-Konfiguration gründlich, bevor Sie DNSSEC für wichtige Domains aktivieren.

DS-Einträge abrufen

So rufen Sie DS-Einträge für Ihre Zone ab:

Console

Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

Zur Seite „DNS-Zone erstellen“
Klicken Sie auf die Zone, für die Sie die DS-Einträge benötigen.
Klicken Sie auf Registrar-Einrichtung.
Kopieren Sie die DS-Einträge aus dem Dialogfeld. Die DS-Einträge sehen in etwa so aus:
```
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
```

gcloud

Führen Sie den Befehl gcloud dns dns-keys list aus.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Dabei gilt:

MANAGED_ZONE: Der Name der verwalteten Zone

Ihre Ausgabe sieht etwa so aus:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

DNSSEC bei Ihrem Domainregistrator deaktivieren

Bevor Sie DNSSEC für eine verwaltete Zone deaktivieren, die Sie weiterhin verwenden möchten, muss DNSSEC für Ihre Zone bei Ihrem Domain-Registrator deaktiviert werden. Dies ist erforderlich, damit DNSSEC-validierende Resolver weiterhin Namen in der Zone auflösen können.

Wenn Sie DNSSEC deaktivieren möchten, entfernen Sie alle DS-Einträge für Ihre Domain aus der übergeordneten Zone. Dadurch wird verhindert, dass Resolver Ihre Domaindaten mit DNSSEC validieren.

Nachdem Sie die DS-Einträge vom Registrar entfernt haben, müssen Sie warten, bis der DS-Eintrag an alle Resolver weitergegeben wurde, bevor Sie DNSSEC für die Zone deaktivieren können. Dies kann je nach der vom Registrar, der Registry und dem Resolver-Caching verursachten Latenz 24 Stunden oder länger dauern.

Nachdem Sie bestätigt haben, dass der DS-Eintrag aus Ihrem Registrar entfernt wurde und nicht mehr für die Resolver zugänglich ist, können Sie DNSSEC für die Zone deaktivieren.

Nächste Schritte

Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.