观看视频教程

DNSSEC is the extension of the DNS protocol that allows signing DNS data in order to secure the domain name resolving process. For general information about DNSSEC and its usage, see the ICANN website and DNSSEC Operational Practices.

注解: The Plesk DNSSEC extension must be installed in Plesk.

您可以执行以下操作通过DNSSEC保护域名的 DNS数据:

  • Sign and unsign domain zones according to DNSSEC specifications.
  • (备选)指定用于密钥生成的自定义设置
  • 接收通知
  • 查看和复制 DS 资源记录
  • 查看和复制 DNSKEY 资源记录集。

签名域名区域

若要开始使用 DNSSEC 保护您DNS区域的安全,可签名该区域。Plesk 会通过自动生成的签名(该签名使用两对非对称密钥即密钥签名密钥(KSK) 和区域签名密钥(ZSK) 来生成签名)来签名区域。

如要签名域名区域,请如下操作:

  1. 网站与域名 中选择域名。

  2. 进入 DNSSEC 点击 签名DNS区域

  3. 如果域名区域在之前未被签名,Plesk 会提示您生成将用于创建签名的密钥。

    您可以使用默认的值或指定自定义值。请查看下面 推荐的值

    image DNSSEC signing

  4. 如果之前已签名DNS区域,您则可以选择使用之前生成的密钥或生成新的密钥。如果您用于新密钥,可以使用默认的值或指定自定义值。请查看下面 推荐的值

    KSK 和 ZSK 生成设置的推荐值:

    • KSK 的长期密钥和长期滚动更新。

      每次更新密钥签名密钥,您都需要更新父级区域中的 DS 记录。推荐的值能够帮助您更新DS 记录以尽可能降低安全风险。

    • KSK 的短期密钥和短期滚动更新。

      会自动更新区域签名密钥。推荐的值会帮助节省系统资源,以降低安全风险。

      image DNSSEC existing keys

  5. 签名流程结束时,Plesk 将会显示 DS 记录,该记录包含用于签名区域的密钥签名密钥的哈希项。

    复制 DS 资源记录到剪贴板,然后将其添加到父级域名区域。在下面查看 在父级区域中更新DS记录

    image 76433 DNSSEC signing end

更新父级区域中的 DS 记录

如果父级区域保护过时的DS 记录,DNS 服务将不再解析该域名。

DNSSEC密钥被更新时,不管什么情况下,都需要手动添加或更新父级域名区域中的 DS 记录,也就是:

  • 使用新生成的密钥签名域名区域。
  • 进行KSK(密钥签名密钥)滚动更新

Plesk会给您发送通知,给您一定时间更新DS记录 - 该时段等同于一个KSK滚动更新期。在该时段期间,之前的DS记录仍有效。

如果您取消签名域名区域,则需要手动删除父级域名区域中的 DS 记录。

若要更新父级区域中的DS 记录,请如下操作:

对于其父级区域在Plesk 外的Plesk中的域名,需在域名注册商处更新DS记录。

对于在Plesk中托管的域名的子域名且在 Plesk 中有 DNS 区域的,请如下操作:

  1. 进入父级域名的 DNS 设置( 网站与域名 > 进入父级域名 > DNS 设置 )。
  2. 添加 DS 类型的新记录( 添加记录 )并粘贴Plesk在子域名的DNSSEC设置中的 DS资源记录 框中显示的值。

取消签名域名区域

取消签名域名区域以关闭使用DNSSEC 对该区域的保护。如果密钥被损坏,则需要取消签名区域,然后使用新的密钥重新签名区域。

若要取消签名某个域名区域,请如下操作:

  1. 进入 网站与域名 > 选择一个域名> DNSSEC 点击 取消签名
  2. 从父级区域删除DS 资源记录。否则,将不会解析域名。

注解: 当您取消签名某个区域时,不会从Plesk删除密钥。您可以使用相同的密钥再次签名区域。

查看 DNSKEY 资源记录

您可能需要检索DNSKEY 资源记录,该记录包含某个域名使用的密钥签名密钥的公共部分。

若要显示DNSKEY 记录,请如下操在:

  1. 进入 网站与域名 > 选择一个域名> DNSSEC
  2. 点击 查看 DNSKEY 记录