DNSSEC 및 등록기관 사용

이 페이지에서는 도메인 등록기관에서 도메인 이름 시스템 보안 확장 프로그램(DNSSEC)을 활성화 및 비활성화하는 방법을 설명합니다.

DNSSEC의 개념 개요는 DNSSEC 개요를 참조하세요.

도메인 등록기관에서 DNSSEC 활성화

해당 영역에 DNSSEC를 사용 설정한 후에는 등록기관에서 DNSSEC를 활성화해야 합니다. DNSSEC를 활성화하려면 리졸버가 도메인에 DNSSEC가 사용 설정된 것을 인식하고 해당 데이터를 검사할 수 있도록 상위 영역에 도메인에 대해 DS 레코드를 만듭니다. 각 등록기관마다 이 DS 레코드를 만드는 절차가 다릅니다. 많은 등록기관에서 웹사이트 양식을 사용합니다.

Google Cloud 커뮤니티 튜토리얼 Cloud DNS 도메인에 대해 DNSSEC 활성화에서는 여러 등록기관에 대한 도메인 등록기관별 안내를 찾아볼 수 있습니다.

중요한 도메인에서 DNSSEC를 활성화하기 전에 DNS 구성을 철저하게 테스트해야 합니다. DNSSEC를 활성화한 후 전파 지연 및 리졸버 캐싱으로 인해 필요한 경우 비활성화하는 데 24시간 이상 걸릴 수 있습니다.

DS 레코드 가져오기

영역의 DS 레코드를 가져오려면 다음 단계를 따르세요.

콘솔

  1. Google Cloud 콘솔에서 DNS 영역 만들기 페이지로 이동합니다.

    DNS 영역 만들기로 이동

  2. DS 레코드가 필요한 영역을 클릭합니다.

  3. 등록기관 설정을 클릭합니다.

  4. 대화상자에서 DS 레코드를 복사합니다. DS 레코드는 다음과 비슷합니다.

    18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
    

gcloud

gcloud dns dns-keys list 명령어를 사용합니다.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

다음을 바꿉니다.

  • MANAGED_ZONE: 관리형 영역의 이름입니다.

출력은 다음과 비슷합니다.

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

도메인 등록기관에서 DNSSEC 비활성화

여전히 사용할 관리형 영역에 대해 DNSSEC를 중지하기 전에 DNSSEC 유효성 검사 리졸버가 해당 영역의 이름을 계속 확인할 수 있도록 도메인 등록기관에서 영역에 대한 DNSSEC를 중지해야 합니다.

DNSSEC를 비활성화하려면 리졸버가 더 이상 도메인 데이터 검사를 위해 DNSSEC를 사용하도록 시도하지 않도록 상위 영역에서 도메인에 대해 모든 DS 레코드를 삭제합니다. 각 등록기관에는 해당 DS 레코드 삭제를 위해 서로 다른 절차가 있습니다. 많은 등록기관에서는 웹사이트 양식이 사용됩니다.

Google Cloud 커뮤니티 튜토리얼 Cloud DNS 도메인에 대해 DNSSEC 활성화에서는 여러 등록기관에 대한 도메인 등록기관별 안내를 찾아볼 수 있습니다.

등록기관에서 DS 레코드를 삭제한 후에는 영역에 대해 DNSSEC를 해제하기 전 DS 레코드 삭제가 모든 리졸버에 전파될 때까지 기다려야 합니다. 이 작업은 등록기관 또는 레지스트리 및 리졸버 캐싱으로 인한 전파 지연 시간에 따라 24시간 이상 걸릴 수 있습니다.

DS 레코드가 더 이상 리졸버에 표시되지 않으면 안전하게 해당 영역에 대해 DNSSEC를 사용 중지할 수 있습니다.

다음 단계

  • 특정 DNSSEC 구성에 대한 자세한 내용은 고급 DNSSEC 사용을 참조하세요.
  • Cloud DNS를 사용할 때 발생할 수 있는 일반적인 문제에 대한 해결책을 찾으려면 문제 해결을 참조하세요.
  • Cloud DNS 개요는 Cloud DNS 개요를 참조하세요.