DNSSEC und Registratoren verwenden

Auf dieser Seite wird beschrieben, wie Sie DNSSEC (Domain Name System Security Extensions) bei Ihrem Domain-Registrator aktivieren und deaktivieren.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

DNSSEC bei Ihrem Domainregistrator aktivieren

Nach der Aktivierung von DNSSEC für Ihre Zone muss DNSSEC bei Ihrem Registrator aktiviert werden. Zur Aktivierung von DNSSEC erstellen Sie in der übergeordneten Zone für Ihre Domain einen DS-Eintrag, damit Resolver wissen, dass Ihre Domain DNSSEC-aktiviert ist und deren Daten überprüft werden können. Registratoren haben für das Erstellen dieses DS-Eintrags unterschiedliche Verfahren. Viele Registratoren verwenden ein Websiteformular.

Anleitungen für Domain-Registratoren finden Sie in der Google Cloud Community-Anleitung unter DNSSEC für Cloud DNS-Domains aktivieren.

Testen Sie die DNS-Konfiguration gründlich, bevor Sie DNSSEC für wichtige Domains aktivieren. Nachdem Sie DNSSEC aktiviert haben, kann es 24 Stunden oder länger dauern, es zu deaktivieren, wenn dies aufgrund von Übertragungsverzögerungen und des Resolver-Cachings nötig wird.

DS-Einträge abrufen

So rufen Sie DS-Einträge für Ihre Zone ab:

Console

  1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

    Zur Seite „DNS-Zone erstellen“

  2. Klicken Sie auf die Zone, für die Sie die DS-Einträge speichern möchten.

  3. Klicken Sie auf Einrichtung des Registrators.

  4. Kopieren Sie die DS-Einträge aus dem Dialogfeld. Die DS-Einträge ähneln den Folgendes:

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

Führen Sie den Befehl gcloud dns dns-keys list aus.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Dabei gilt:

  • MANAGED_ZONE: Der Name der verwalteten Zone

Ihre Ausgabe sieht etwa so aus:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

DNSSEC bei Ihrem Domainregistrator deaktivieren

Bevor Sie DNSSEC für eine verwaltete Zone deaktivieren, die Sie weiterhin verwenden möchten, muss DNSSEC für Ihre Zone bei Ihrem Domain-Registrator deaktiviert werden. Dies ist erforderlich, damit DNSSEC-validierende Resolver weiterhin Namen in der Zone auflösen können.

Zum Deaktivieren von DNSSEC entfernen Sie alle DS-Einträge für Ihre Domain aus der übergeordneten Zone, sodass Resolver nicht mehr versuchen, Ihre Domaindaten mit DNSSEC zu validieren. Registratoren haben für das Entfernen dieser DS-Datensätze ein anderes Verfahren. Viele Registratoren verwenden ein Websiteformular.

Anleitungen für Domain-Registratoren finden Sie in der Google Cloud Community-Anleitung unter DNSSEC für Cloud DNS-Domains aktivieren.

Nachdem die DS-Einträge vom Registrator entfernt wurden, müssen Sie warten, bis der DS-Eintrag an alle Resolver weitergegeben wurde, bevor Sie DNSSEC für die Zone deaktivieren. Dies kann je nach der vom Registrator oder von der Registry verursachten Latenz oder dem Resolver-Caching 24 Stunden oder länger dauern.

Sobald DS-Einträge für Resolver nicht mehr sichtbar sind, können Sie DNSSEC für die Zone deaktivieren.

Nächste Schritte

  • Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
  • Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.