이 페이지에서는 도메인 등록기관에서 도메인 이름 시스템 보안 확장 프로그램(DNSSEC)을 활성화 및 비활성화하는 방법을 설명합니다.
DNSSEC에 대해 알아보려면 DNSSEC 개요를 참조하세요.
도메인 등록기관에서 DNSSEC 활성화
기존 관리형 공개 영역에 대해 DNSSEC를 사용 설정한 후에는 도메인 등록기관에서 DNSSEC를 활성화해야 합니다. DNSSEC를 활성화하려면 리졸버가 도메인에 DNSSEC가 사용 설정된 것을 인식하고 해당 데이터를 검사할 수 있도록 상위 영역에 도메인에 대해 DS 레코드를 만듭니다.
각 등록기관마다 이 DS 레코드를 만드는 절차가 다릅니다. 많은 등록기관에서 웹사이트 양식을 사용합니다. 자세한 내용은 해당 등록기관의 문서를 참조하세요.
DNSSEC를 활성화한 후에는 DS 레코드가 전체 DNS에 전파되어야 합니다. 이 프로세스는 DNS 레코드에 설정한 TTL(수명) 값과 여러 다른 DNS 리졸버의 캐싱 동작에 따라 24시간 이상 걸릴 수 있습니다.
중요한 도메인에서 DNSSEC를 활성화하기 전에 DNS 구성을 철저하게 테스트하세요.
DS 레코드 가져오기
영역의 DS 레코드를 가져오려면 다음 단계를 따르세요.
콘솔
Google Cloud 콘솔에서 DNS 영역 만들기 페이지로 이동합니다.
DS 레코드가 필요한 영역을 클릭합니다.
등록기관 설정을 클릭합니다.
대화상자에서 DS 레코드를 복사합니다. DS 레코드는 다음과 비슷합니다.
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
gcloud
gcloud dns dns-keys list 명령어를 사용합니다.
gcloud dns dns-keys list \ --filter='type=keySigning' --format='value(ds_record())' \ --zone=MANAGED_ZONE_NAME
다음을 바꿉니다.
MANAGED_ZONE: 관리형 영역의 이름입니다.
출력은 다음과 비슷합니다.
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
도메인 등록기관에서 DNSSEC 비활성화
여전히 사용할 관리형 영역에 대해 DNSSEC를 중지하기 전에 DNSSEC 유효성 검사 리졸버가 해당 영역의 이름을 계속 확인할 수 있도록 도메인 등록기관에서 영역에 대한 DNSSEC를 중지해야 합니다.
DNSSEC를 비활성화하려면 상위 영역에서 도메인의 모든 DS 레코드를 삭제합니다. 이렇게 하면 리졸버가 도메인 데이터를 검증하기 위해 DNSSEC를 사용하지 않도록 방지됩니다.
등록기관에서 DS 레코드를 삭제한 후에는 DS 레코드 삭제가 모든 리졸버에 전파될 때까지 기다린 후에만 해당 영역에 대해 DNSSEC를 해제할 수 있습니다. 이 프로세스는 등록기관, 레지스트리, 리졸버 캐싱에서 발생하는 전파 지연 시간에 따라 24시간 이상 걸릴 수 있습니다.
DS 레코드가 등록기관에서 삭제되었고 더 이상 리졸버가 액세스할 수 없는지 확인한 후에는 해당 영역에 대해 DNSSEC를 안전하게 사용 중지할 수 있습니다.
다음 단계
- 특정 DNSSEC 구성에 대한 자세한 내용은 고급 DNSSEC 사용을 참조하세요.
- Cloud DNS를 사용할 때 발생할 수 있는 일반적인 문제에 대한 해결책을 찾으려면 문제 해결을 참조하세요.
- Cloud DNS 개요는 Cloud DNS 개요 참조하기