本页面介绍如何在域名注册商处激活和停用域名系统安全扩展 (DNSSEC)。
如需了解 DNSSEC,请参阅 DNSSEC 概览。
在您的网域注册商处激活 DNSSEC
为现有代管式公共可用区启用 DNSSEC 后,您必须在域名注册商处激活 DNSSEC。如需激活 DNSSEC,请在父可用区中为您的网域创建 DS 记录,以便让解析器能够识别您的网域已启用 DNSSEC,并能够验证网域数据。
创建此 DS 记录的过程因注册商而异。许多注册商会使用网站表单。如需了解详情,请参阅注册商的文档。
激活 DNSSEC 后,DS 记录必须传播到整个 DNS。此过程可能需要 24 小时或更长时间,具体取决于您为 DNS 记录设置的存留时间 (TTL) 值以及不同 DNS 解析器的缓存行为。
在重要网域上激活 DNSSEC 之前,请全面测试您的 DNS 配置。
获取 DS 记录
如需获取您的区域的 DS 记录,请按照以下步骤操作:
控制台
在 Google Cloud Console 中,转到创建 DNS 可用区页面。
点击需要其 DS 记录的区域。
点击注册商设置。
从对话框中复制 DS 记录。DS 记录类似于以下内容:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
使用 gcloud dns dns-keys list
命令。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
替换以下内容:
MANAGED_ZONE
:代管可用区的名称
您的输出类似于以下内容:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
在您的网域注册商处停用 DNSSEC
在对仍需要使用的托管可用区停用 DNSSEC 之前,您必须在域名注册商处停用您的可用区的 DNSSEC,以确保 DNSSEC 验证解析器仍然能够解析该可用区中的域名。
如需停用 DNSSEC,请从父区域中移除与您的网域相关的所有 DS 记录;此操作可阻止解析器使用 DNSSEC 验证您的网域数据。
从注册商处移除 DS 记录后,您必须等待移除 DS 记录的操作传播到所有解析器,然后才能为该可用区关闭 DNSSEC。此过程可能需要 24 小时或更长时间,具体取决于注册商、注册数据库和解析器缓存中发生的传播延迟时间。
确认 DS 记录已从注册商处移除且解析器无法再访问该记录后,您就可以安全地为该可用区停用 DNSSEC。
后续步骤
- 如需获取有关特定 DNSSEC 配置的信息,请参阅使用高级 DNSSEC。
- 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查。
- 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览。