Documentation sur Oracle Cloud Infrastructure

Activation de DNSSEC dans une zone

Activer les extensions de sécurité DNS (DNSSEC) sur une zone publique.

Note

Vous ne pouvez pas activer DNSSEC sur une zone privée ou sur une zone avec des serveurs en aval configurés.

    1. Ouvrez le menu de navigation et sélectionnez Service de réseau. Sous Gestion du DNS, sélectionnez Zones.
    2. Sélectionnez le nom de la zone dans la liste pour ouvrir la page Détails.
    3. Dans Informations sur la zone, sous DNSSEC, sélectionnez Modifier.
    4. Sélectionnez le commutateur DNSSEC à Activé.
    5. Sélectionnez Enregistrer les modifications.
      Important

      Attendez que la demande de travail soit terminée avec succès avant de continuer.
    6. Pour que DNSSEC fonctionne correctement, vous devez ajouter les informations de clé de signature de clé (KSK) à la zone parent.
      La zone parent peut être un domaine de niveau supérieur tel que "com", il peut s'agir d'une zone OCI ou d'une zone que vous hébergez avec un autre fournisseur DNS. Si la zone parent est un domaine de premier niveau, le registraire de domaine dispose généralement d'un moyen pour vous de définir les informations KSK pour DNSSEC. Pour obtenir les informations KSK pour l'enregistrement DS :
      1. Dans la zone, sous Ressources, sélectionnez DNSSEC.
      2. Dans le bloc d'informations Promouvoir KSK, sélectionnez le type de données :
        • Structuré : Les champs les plus numériques sont copiés séparément. Sélectionnez cette option si le fournisseur DNS de la zone parent nécessite une entrée distincte pour chaque champ de l'enregistrement DS.
        • Non structuré : Les champs les plus numériques sont copiés dans une seule chaîne. Sélectionnez cette option si le fournisseur DNS de la zone parent prend en charge l'entrée du format de présentation pour l'enregistrement DS.
      3. Sélectionnez Copier pour copier les informations de condensé et les informations de durée de vie recommandées (durée de vie).
      4. Collez les informations de condensé de l'enregistrement DS dans un enregistrement DS pour la zone. Si la zone est une zone OCI, voir Ajout d'un enregistrement à une zone DNS pour obtenir des instructions. Voici un exemple d'enregistrement DS contenant des informations sur le condensé KSK : 
        20873 8 2 E2CEF72555BAF4978418FDB718F97F6421189B0862C456A5F75C25185EE61446
      5. Sélectionnez Promouvoir une nouvelle clé de signature de clé.

  • Utilisez la commande zone create et les paramètres requis pour créer une zone principale publique. Pour activer DNSSEC, réglez l'option dnssec-state à enabled :

    oci dns zone create --compartment-id compartment_id --name "zone_name" --zone-type PRIMARY --scope GLOBAL
--dnssec-state ENABLED... [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'interface de ligne de commande.

    Le système crée et publie la zone terminée, comportant les enregistrements SOA et de serveur de noms requis. Les détails de la zone s'affichent. Pour plus d'informations sur l'ajout d'un enregistrement à la zone, voir Ajout d'un enregistrement à une zone DNS.

  • Exécutez l'opération CreateZone pour créer une zone principale publique. Spécifiez le type de zone PRIMARY et la portée de zone GLOBAL. Pour activer DNSSEC, spécifiez dnssecState comme ENABLED.

    Le système crée et publie la zone terminée, comportant les enregistrements SOA et de serveur de noms requis. Les détails de la zone s'affichent. Pour plus d'informations sur l'ajout d'un enregistrement à la zone, voir Ajout d'un enregistrement à une zone DNS.