Oracle Cloud Infrastructure - Dokumentation

DNSSEC in einer Zone aktivieren

Aktivieren Sie DNS-Sicherheitserweiterungen (DNSSEC) in einer öffentlichen Zone.

Hinweis

Sie können DNSSEC nicht in einer privaten Zone oder in einer Zone mit konfigurierten Downstreamservern aktivieren.

    1. Wählen Sie auf der Listenseite Öffentliche Zonen oder Private Zonen die Zone aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, lesen Sie DNS-Zonen auflisten.
    2. Wählen Sie unter Zoneninformationen unter DNSSEC die Option Bearbeiten aus.
    3. Wählen Sie den DNSSEC-Switch auf Aktiviert.
    4. Wählen Sie Änderungen speichern aus.
      Wichtig

      Warten Sie, bis die Arbeitsanforderung erfolgreich abgeschlossen wurde, bevor Sie fortfahren.
    5. Damit DNSSEC ordnungsgemäß funktioniert, müssen Sie der übergeordneten Zone die Schlüssel-Signaturschlüsselinformationen (KSK) hinzufügen.
      Die übergeordnete Zone könnte eine Top-Level-Domain (TLD) wie "com" sein, es könnte sich um eine OCI-Zone oder eine Zone handeln, die Sie mit einem anderen DNS-Provider hosten. Wenn es sich bei der übergeordneten Zone um eine Top-Level-Domain handelt, kann der Domainregistrar in der Regel die KSK-Informationen für DNSSEC festlegen. So rufen Sie die KSK-Informationen für den DS-Datensatz ab:
      1. Wählen Sie auf der Seite mit den Zonendetails die Registerkarte DNSSEC aus.
      2. Wählen Sie im Infoblock KSK befördern den Datentyp aus:
        • Strukturiert: Digestfelder werden separat kopiert. Wählen Sie diese Option aus, wenn der DNS-Provider der übergeordneten Zone eine separate Eingabe für jedes Feld im DS-Datensatz erfordert.
        • Unstrukturiert: Digestfelder werden in eine einzelne Zeichenfolge kopiert. Wählen Sie diese Option aus, wenn der DNS-Provider der übergeordneten Zone die Eingabe des Darstellungsformats für den DS-Datensatz unterstützt.
      3. Wählen Sie Kopieren aus, um die Digestinformationen und die empfohlenen TTL-Informationen (Time-to-Live) zu kopieren.
      4. Fügen Sie die DS-Datensatzdigestinformationen in einen DS-Datensatz für die Zone ein. Wenn die Zone eine OCI-Zone ist, finden Sie Anweisungen unter Hinzufügen eines Datensatzes zu einer DNS-Zone. Im Folgenden finden Sie ein Beispiel für einen DS-Datensatz mit KSK-Digestinformationen: 
        20873 8 2 E2CEF72555BAF4978418FDB718F97F6421189B0862C456A5F75C25185EE61446
      5. Wählen Sie Neuen Key Signing Key hochstufen aus.

  • Verwenden Sie den Befehl zone create und die erforderlichen Parameter, um eine öffentliche primäre Zone zu erstellen. Um DNSSEC zu aktivieren, setzen Sie die Option dnssec-state auf enabled:

    oci dns zone create --compartment-id compartment_id --name "zone_name" --zone-type PRIMARY --scope GLOBAL
--dnssec-state ENABLED... [OPTIONS]

    Eine vollständige Liste der Flags und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

    Das System erstellt und veröffentlicht die Zone vollständig mit den erforderlichen SOA- und NS-Datensätzen. Die Details für die Zone werden angezeigt. Informationen zum Hinzufügen eines Datensatzes zu einer Zone erhalten Sie unter Adding a Record to a DNS Zone.

  • Führen Sie den Vorgang CreateZone aus, um eine öffentliche primäre Zone zu erstellen. Geben Sie als Zonentyp PRIMARY und als Zonengeltungsbereich GLOBAL an. Um DNSSEC zu aktivieren, geben Sie dnssecState als ENABLED an.

    Das System erstellt und veröffentlicht die Zone vollständig mit den erforderlichen SOA- und NS-Datensätzen. Die Details für die Zone werden angezeigt. Informationen zum Hinzufügen eines Datensatzes zu einer Zone erhalten Sie unter Adding a Record to a DNS Zone.