Oracle Cloud Infrastructure - Dokumentation

DNSSEC in einer Zone aktivieren

Aktivieren Sie DNS-Sicherheitserweiterungen (DNSSEC) in einer öffentlichen Zone.

Hinweis

Sie können DNSSEC nicht in einer privaten Zone oder in einer Zone mit konfigurierten Downstreamservern aktivieren.

    1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie unter DNS-Verwaltung die Option Zonen aus.
    2. Wählen Sie den Zonennamen in der Liste aus, um die Detailseite zu öffnen.
    3. Wählen Sie unter Zoneninformationen unter DNSSEC die Option Bearbeiten aus.
    4. Wählen Sie den DNSSEC-Switch auf Aktiviert.
    5. Wählen Sie Änderungen speichern aus.
      Wichtig

      Warten Sie, bis die Arbeitsanforderung erfolgreich abgeschlossen wurde, bevor Sie fortfahren.
    6. Damit DNSSEC ordnungsgemäß funktioniert, müssen Sie der übergeordneten Zone die Schlüssel-Signaturschlüsselinformationen (KSK) hinzufügen.
      Die übergeordnete Zone könnte eine Top-Level-Domain (TLD) wie "com" sein, es könnte sich um eine OCI-Zone oder eine Zone handeln, die Sie mit einem anderen DNS-Provider hosten. Wenn es sich bei der übergeordneten Zone um eine Top-Level-Domain handelt, kann der Domainregistrar in der Regel die KSK-Informationen für DNSSEC festlegen. So rufen Sie die KSK-Informationen für den DS-Datensatz ab:
      1. Wählen Sie in der Zone unter Ressourcen die Option DNSSEC aus.
      2. Wählen Sie im Infoblock KSK befördern den Datentyp aus:
        • Strukturiert: Digestfelder werden separat kopiert. Wählen Sie diese Option aus, wenn der DNS-Provider der übergeordneten Zone eine separate Eingabe für jedes Feld im DS-Datensatz erfordert.
        • Unstrukturiert: Digestfelder werden in eine einzelne Zeichenfolge kopiert. Wählen Sie diese Option aus, wenn der DNS-Provider der übergeordneten Zone die Eingabe des Darstellungsformats für den DS-Datensatz unterstützt.
      3. Wählen Sie Kopieren aus, um die Digestinformationen und die empfohlenen TTL-Informationen (Time-to-Live) zu kopieren.
      4. Fügen Sie die DS-Record-Digestinformationen in einen DS-Datensatz für die Zone ein. Wenn die Zone eine OCI-Zone ist, finden Sie die entsprechenden Anweisungen unter Hinzufügen eines Datensatzes zu einer DNS-Zone. Im Folgenden finden Sie ein Beispiel für einen DS-Datensatz mit KSK-Digestinformationen: 
        20873 8 2 E2CEF72555BAF4978418FDB718F97F6421189B0862C456A5F75C25185EE61446
      5. Wählen Sie Neuen Key Signing Key hochstufen aus.

  • Verwenden Sie den Befehl zone create und die erforderlichen Parameter, um eine öffentliche primäre Zone zu erstellen. Um DNSSEC zu aktivieren, setzen Sie die Option dnssec-state auf enabled:

    oci dns zone create --compartment-id compartment_id --name "zone_name" --zone-type PRIMARY --scope GLOBAL
--dnssec-state ENABLED... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

    Das System erstellt und veröffentlicht die Zone vollständig mit den erforderlichen SOA- und NS-Datensätzen. Die Details für die Zone werden angezeigt. Informationen zum Hinzufügen eines Datensatzes zur Zone finden Sie unter Hinzufügen eines Datensatzes zu einer DNS-Zone.

  • Führen Sie den Vorgang CreateZone aus, um eine öffentliche primäre Zone zu erstellen. Geben Sie als Zonentyp PRIMARY und als Zonengeltungsbereich GLOBAL an. Um DNSSEC zu aktivieren, geben Sie dnssecState als ENABLED an.

    Das System erstellt und veröffentlicht die Zone vollständig mit den erforderlichen SOA- und NS-Datensätzen. Die Details für die Zone werden angezeigt. Informationen zum Hinzufügen eines Datensatzes zur Zone finden Sie unter Hinzufügen eines Datensatzes zu einer DNS-Zone.