本页面介绍如何在域名注册商处激活和停用域名系统安全扩展 (DNSSEC)。
如需 DNSSEC 的概念性概览,请参阅 DNSSEC 概览。
在您的网域注册商处激活 DNSSEC
为您的可用区启用 DNSSEC 后,您必须在注册商处激活 DNSSEC。如需激活 DNSSEC,请在父可用区中为您的网域创建 DS 记录,以便让解析器知道您的网域已启用 DNSSEC,并能够验证网域数据。创建此 DS 记录的过程因注册商而异;许多注册商都会使用网站表单。
您可以在 Google Cloud 社区教程为 Cloud DNS 网域激活 DNSSEC 中找到许多不同注册商的域名注册商专用说明。
请务必全面测试您的 DNS 配置,然后再在重要网域上激活 DNSSEC。激活 DNSSEC 后,由于传播延迟和解析器缓存等原因,可能需要等待 24 小时或更长时间才能停用。
获取 DS 记录
如需获取您的区域的 DS 记录,请按照以下步骤操作:
控制台
在 Google Cloud Console 中,转到创建 DNS 可用区页面。
点击需要其 DS 记录的区域。
点击注册商设置。
从对话框中复制 DS 记录。DS 记录类似于以下内容:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
使用 gcloud dns dns-keys list 命令。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
替换以下内容:
MANAGED_ZONE:代管可用区的名称
您的输出类似于以下内容:
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
在您的网域注册商处停用 DNSSEC
在对仍需要使用的代管可用区停用 DNSSEC 之前,您必须在域名注册商处停用您的可用区的 DNSSEC,以确保 DNSSEC 验证解析器仍然能够解析该可用区中的域名。
如需停用 DNSSEC,您需要从父区域中移除与您的网域相关的所有 DS 记录,以使解析器不再尝试使用 DNSSEC 验证您的网域数据。移除这些 DS 记录的过程因注册商而异;许多注册商会使用网站表单。
您可以在 Google Cloud 社区教程为 Cloud DNS 网域激活 DNSSEC 中找到许多不同注册商的域名注册商专用说明。
从注册商处移除 DS 记录后,您必须等待移除 DS 记录的操作传播到所有解析器,然后才能为该可用区关闭 DNSSEC。这可能需要 24 小时或更长时间,具体取决于注册商或注册数据库中发生的传播延迟时间以及解析器缓存。
一旦 DS 记录不再对任何解析器可见,您就可以安全地为该可用区停用 DNSSEC。
后续步骤
- 如需获取有关特定 DNSSEC 配置的信息,请参阅使用高级 DNSSEC。
- 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查。
- 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览。