观看视频教程

DNSSEC 是 DNS 协议的扩展,允许签名 DNS 数据以保护域名解析过程的安全。欲了解有关 DNSSEC 和其用途的信息,请访问 ICANN 网站https://tools.ietf.org/html/rfc6781

Plesk 能够让您通过 DNSSEC 保护托管域名的 DNS 数据。您可执行以下操作:

  • 配置密钥生成和滚动更新的设置。
  • 依据 DNSSEC 规定签名和取消签名域名区域。
  • 接收通知
  • 查看和复制 DS 资源记录
  • 查看和复制 DNSKEY 资源记录集

要求

  • Plesk for Linux 与 Bind DNS 服务器,自 Bind 9.9 版本起。
  • DNSSEC 是一个付费扩展。而在 Plesk Web Host 和 Plesk Web Pro 版本中则免费提供该扩展。
  • DNSSEC is available on Debian 8, Debian 9, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 18.04, CentOS 7, RedHat Enterprise Linux 7, CloudLinux 7, Virtuozzo Linux 7.

启用 DNSSEC 支持

若要启用 DNSSEC 支持,请安装 Plesk DNSSEC 扩展( 扩展 > 扩展目录 )。

image 76900

配置默认的 DNSSEC 设置

默认的DNSSEC设置位于 工具与设置 > 扩展 > DNSSEC 。您可以更改生成密钥签名密钥 (KSK) 和区域签名密钥 (ZSK) 对的默认策略。

KSK 和 ZSK 的推荐策略

  • 使用KSK 的长期密钥和长期滚动更新(密钥签名密钥)。

    每次更新密钥签名密钥,区域所有者都需要更新父级域名区域中的 DS 记录。该推荐的策略能够帮助更新父级区域中的 DS 记录,尽可能降低安全风险。

  • 使用ZSK 的短期密钥和短期滚动更新(区域签名密钥)。

    会自动更新区域签名密钥。该推荐的策略会帮助节省系统资源,以降低安全风险。

当主机客户在签名其区域时,可使用默认的值或指定其它值。 详情请参阅 在域名上使用 DNSSEC

image 76901

使用DNSSEC保护DNS区域

如要使用DNSSEC,域名所有者必须签名其DNS区域。 详情请参阅 在域名上使用 DNSSEC

在 Plesk 中密钥如何滚动更新

为了防止某个域名出现 DNS 中断,Plesk会使用多个密钥作为KSK以及使用多个密钥作为ZSK。之前生成的存在于 parallel 中的密钥会与新的密钥一起保留一段时间,直到DNS区域中的所有更改生效。会自动移除过期的密钥。

KSK 滚动更新

Plesk 通过 Double-RRset 方式的修改法来滚动更新密钥签名密钥。区别是 Plesk 在每次滚动更新期间有两个密钥签名密钥。该方式能够给域名区域所有者足够的时间来更新父级区域中相应的DS记录(例如,下面案例中滚动更新事件1和事件2之间的时段)。

用户在 KSK 滚动更新时的操作

域名区域所有者会收到有关滚动更新和需要更新父级区域中 DS 记录的通知。当最早的KSK到期而最新的KSK已生成时DS记录则变成过时记录(例如,在下面案例中滚动更新事件2时)。如果域名区域所有者没有更新过父级区域的 DS 记录,通知后一个滚动更新期结束时,域名会停止解析。

注解: 此时,无法自定义域名区域所有者的通知文本。

image 76537

ZSK 滚动更新

为了允许足够的时间让从属和缓存 DNS 服务器与主控 DNS 服务器同步,Plesk 会执行以下操作:

  • 在滚动更新前某个特定时间添加新的密钥到区域。
  • 在滚动更新后同一特定时间移除旧的密钥。

ZSK滚动更新之前或之后的某个时间在Plesk中称为 过渡期 。过渡时间是 30 日或区域的 SOA TTL 和 SOA 到期值的总和(如果其总和超过 30 天)。但是,过渡时间不得超过 ZSK 滚动更新时间的一半,否则滚动更新功能将会被打乱而区域签名则会无效。

因此,为了确保 ZSK 滚动更新正常执行,Plesk 对以下值设定了限制:

  • 区域的 SOA TTL 和 SOA 到期的值。这两个值的总和不得超过特定的计算值。
  • ZSK 滚动更新期。该值不得低于特定的计算值。

用户对 ZSK 滚动更新的操作

当滚动更新区域签名密钥时,域名DNS区域所有者不需要进行任何操作。

image 76538