Documentazione dell'infrastruttura Oracle Cloud

Abilitazione di DNSSEC in una zona

Abilita le estensioni di sicurezza DNS (DNSSEC) in una zona pubblica.

Nota

Non è possibile abilitare DNSSEC in una zona privata o in una zona con server a valle configurati.

    1. Aprire il menu di navigazione e selezionare Networking. In Gestione DNS, selezionare Zone.
    2. Selezionare il nome della zona nell'elenco per aprire la relativa pagina Dettagli.
    3. In Informazioni area, in DNSSEC, selezionare Modifica.
    4. Selezionare lo switch DNSSEC in Abilitato.
    5. Selezionare Salva modifiche.
      Importante

      Attendere il completamento della richiesta di lavoro prima di procedere.
    6. Affinché DNSSEC funzioni correttamente, è necessario aggiungere le informazioni chiave di firma (KSK) alla zona padre.
      La zona padre potrebbe essere un dominio di primo livello (TLD), ad esempio "com", potrebbe essere una zona OCI o una zona che si ospita con un altro provider DNS. Se la zona padre è un dominio di primo livello, il registrar di domini ha in genere un modo per impostare le informazioni KSK per DNSSEC. Per ottenere le informazioni KSK per il record DS:
      1. Nella zona, in Risorse, selezionare DNSSEC.
      2. Nel blocco informazioni Promuovi KSK, selezionare il tipo di dati indicato di seguito.
        • Strutturati: i campi di digestione vengono copiati separatamente. Selezionare questa opzione se il provider DNS della zona padre richiede un input separato per ogni campo nel record DS.
        • Non strutturato: i campi di testo vengono copiati in una singola stringa. Selezionare questa opzione se il provider DNS della zona padre supporta l'input del formato di presentazione per il record DS.
      3. Selezionare Copia per copiare le informazioni digest e le informazioni TTL (time to live) consigliate.
      4. Incollare le informazioni digest dei record DS in un record DS per la zona. Se la zona è una zona OCI, vedere Aggiunta di un record a una zona DNS per istruzioni. Di seguito è riportato un esempio di record DS contenente le informazioni digest KSK. 
        20873 8 2 E2CEF72555BAF4978418FDB718F97F6421189B0862C456A5F75C25185EE61446
      5. Selezionare Promuovi nuova chiave di firma della chiave.

  • Utilizzare il comando zone create e i parametri richiesti per creare una zona primaria pubblica. Per abilitare DNSSEC, impostare l'opzione dnssec-state su enabled:

    oci dns zone create --compartment-id compartment_id --name "zone_name" --zone-type PRIMARY --scope GLOBAL
--dnssec-state ENABLED... [OPTIONS]

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

    Il sistema crea e pubblica la zona, con i record SOA e NS necessari. Vengono visualizzati i dettagli della zona. Per informazioni sull'aggiunta di un record alla zona, vedere Aggiunta di un record a una zona DNS.

  • Eseguire l'operazione CreateZone per creare una zona primaria pubblica. Specificare il tipo di zona come PRIMARY e l'ambito di zona come GLOBAL. Per abilitare DNSSEC, specificare dnssecState come ENABLED.

    Il sistema crea e pubblica la zona, con i record SOA e NS necessari. Vengono visualizzati i dettagli della zona. Per informazioni sull'aggiunta di un record alla zona, vedere Aggiunta di un record a una zona DNS.