使用 DNSSEC 和注册商

本页面介绍如何在域名注册商处激活和停用域名系统安全扩展 (DNSSEC)。

如需 DNSSEC 的概念性概览,请参阅 DNSSEC 概览

在您的网域注册商处激活 DNSSEC

为您的可用区启用 DNSSEC 后,您必须在注册商处激活 DNSSEC。如需激活 DNSSEC,请在父可用区中为您的网域创建 DS 记录,以便让解析器知道您的网域已启用 DNSSEC,并能够验证网域数据。创建此 DS 记录的过程因注册商而异;许多注册商都会使用网站表单。

您可以在 Google Cloud 社区教程为 Cloud DNS 网域激活 DNSSEC 中找到许多不同注册商的域名注册商专用说明。

请务必全面测试您的 DNS 配置,然后再在重要网域上激活 DNSSEC。激活 DNSSEC 后,由于传播延迟和解析器缓存等原因,可能需要等待 24 小时或更长时间才能停用。

在您的网域注册商处停用 DNSSEC

在对仍需要使用的代管可用区停用 DNSSEC 之前,您必须在域名注册商处停用您的可用区的 DNSSEC,以确保 DNSSEC 验证解析器仍然能够解析该可用区中的域名。

如需停用 DNSSEC,您需要从父区域中移除与您的网域相关的所有 DS 记录,以使解析器不再尝试使用 DNSSEC 验证您的网域数据。移除这些 DS 记录的过程因注册商而异;许多注册商会使用网站表单。

您可以在 Google Cloud 社区教程为 Cloud DNS 网域激活 DNSSEC 中找到许多不同注册商的域名注册商专用说明。

从注册商处移除 DS 记录后,您必须等待移除 DS 记录的操作传播到所有解析器,然后才能为该可用区关闭 DNSSEC。这可能需要 24 小时或更长时间,具体取决于注册商或注册数据库中发生的传播延迟时间以及解析器缓存。

一旦 DS 记录不再对任何解析器可见,您就可以安全地为该可用区停用 DNSSEC

后续步骤

  • 如需获取有关特定 DNSSEC 配置的信息,请参阅使用高级 DNSSEC
  • 如需了解您在使用 Cloud DNS 时可能会遇到的常见问题的解决方案,请参阅问题排查
  • 如需大致了解 Cloud DNS,请参阅 Cloud DNS 概览