このページでは、ドメイン登録事業者で Domain Name System Security Extensions(DNSSEC)を有効または無効にする方法について説明します。
DNSSEC の詳細については、DNSSEC の概要をご覧ください。
ドメイン登録事業者で DNSSEC を有効にする
既存の一般公開マネージド ゾーンで DNSSEC を有効にしたら、ドメイン登録事業者で DNSSEC を有効にする必要があります。DNSSEC を有効にするには、ドメインの DS レコードを親ゾーンに作成します。これにより、ドメインが DNSSEC 対応であることをリゾルバが認識し、そのデータを検証できます。
この DS レコードの作成手順は、登録事業者によって異なります。多くの登録事業者ではウェブサイト フォームが使用されています。詳細については、登録事業者のドキュメントをご覧ください。
DNSSEC を有効にしたら、DS レコードを DNS 全体に伝播する必要があります。DNS レコードに設定した有効期間(TTL)値と、さまざまな DNS リゾルバのキャッシュ保存動作によっては、このプロセスは 24 時間以上かかることがあります。
重要なドメインで DNSSEC を有効にする前に、DNS 構成を十分にテストしてください。
DS レコードを取得する
ゾーンの DS レコードを取得する手順は次のとおりです。
コンソール
Google Cloud Console で、[DNS ゾーンの作成] ページに移動します。
DS レコードを取得するゾーンをクリックします。
[登録事業者の設定] をクリックします。
ダイアログから DS レコードをコピーします。DS レコードは次のようになります。
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
gcloud dns dns-keys list
コマンドを使用します。
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
以下を置き換えます。
MANAGED_ZONE
: マネージド ゾーンの名前
出力は次のようになります。
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
ドメイン登録事業者で DNSSEC を無効にする
今後も使用するマネージド ゾーンで DNSSEC を無効にする前に、DNSSEC 検証リゾルバがそのゾーンのネームを引き続き解決できるようにするために、ドメイン登録事業者でそのゾーンの DNSSEC を無効にする必要があります。
DNSSEC を無効にするには、ドメインの DS レコードをすべて親ゾーンから削除します。これにより、リゾルバは DNSSEC を使用してドメインデータを検証しなくなります。
レジストラから DS レコードを削除したら、DS レコードの削除がすべてのリゾルバに伝播されるまで待ってから、ゾーンの DNSSEC を無効にする必要があります。レジストラ、レジストリ、リゾルバ キャッシュによって発生する伝播レイテンシによっては、24 時間以上かかる場合があります。
DS レコードがレジストラから削除され、リゾルバからアクセスできなくなったことを確認したら、ゾーンの DNSSEC を安全に無効にできます。
次のステップ
- 特定の DNSSEC 構成に関する情報を取得するには、高度な DNSSEC の使用をご覧ください。
- Cloud DNS の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。
- Cloud DNS の概要については、Cloud DNS の概要をご覧ください。