为域名配置DNSSEC
观看视频教程
DNSSEC 是 DNS 协议的扩展,允许签名 DNS 数据以保护域名解析过程的安全。欲了解有关 DNSSEC 和其用途的信息,请访问 ICANN 网站 和 https://tools.ietf.org/html/rfc6781 。
注解: Plesk for Linux 中支持DNSSEC。 Plesk DNSSEC 扩展必须由主机提供商在Plesk中安装。
您可以执行以下操作通过DNSSEC保护域名的 DNS数据:
- 依据 DNSSEC 规定签名和取消签名域名区域
- (备选)指定用于密钥生成的自定义设置
- 接收通知
- 查看和复制 DS 资源记录
- 查看和复制 DNSKEY 资源记录集。
签名域名区域
若要开始使用 DNSSEC 保护您DNS区域的安全,可签名该区域。Plesk 会通过自动生成的签名(该签名使用两对非对称密钥即密钥签名密钥(KSK) 和区域签名密钥(ZSK) 来生成签名)来签名区域。
如要签名域名区域,请如下操作:
-
在 网站与域名 中选择域名。
-
进入 DNSSEC 点击 签名DNS区域 。
-
如果域名区域在之前未被签名,Plesk 会提示您生成将用于创建签名的密钥。
您可以使用默认的值或指定自定义值。请查看下面 推荐的值 。
-
如果之前已签名DNS区域,您则可以选择使用之前生成的密钥或生成新的密钥。如果您用于新密钥,可以使用默认的值或指定自定义值。请查看下面 推荐的值 。
KSK 和 ZSK 生成设置的推荐值:
-
KSK 的长期密钥和长期滚动更新。
每次更新密钥签名密钥,您都需要更新父级区域中的 DS 记录。推荐的值能够帮助您更新DS 记录以尽可能降低安全风险。
-
KSK 的短期密钥和短期滚动更新。
会自动更新区域签名密钥。推荐的值会帮助节省系统资源,以降低安全风险。
-
-
签名流程结束时,Plesk 将会显示 DS 记录,该记录包含用于签名区域的密钥签名密钥的哈希项。
复制 DS 资源记录到剪贴板,然后将其添加到父级域名区域。在下面查看 在父级区域中更新DS记录 。
更新父级区域中的 DS 记录
如果父级区域保护过时的DS 记录,DNS 服务将不再解析该域名。
DNSSEC密钥被更新时,不管什么情况下,都需要手动添加或更新父级域名区域中的 DS 记录,也就是:
- 使用新生成的密钥签名域名区域。
- 进行KSK(密钥签名密钥)滚动更新
Plesk会给您发送通知,给您一定时间更新DS记录 - 该时段等同于一个KSK滚动更新期。在该时段期间,之前的DS记录仍有效。
如果您取消签名域名区域,则需要手动删除父级域名区域中的 DS 记录。
若要更新父级区域中的DS 记录,请如下操作:
对于其父级区域在Plesk 外的Plesk中的域名,需在域名注册商处更新DS记录。
对于在Plesk中托管的域名的子域名且在 Plesk 中有 DNS 区域的,请如下操作:
- 进入父级域名的 DNS 设置( 网站与域名 > 进入父级域名 > DNS 设置 )。
- 添加 DS 类型的新记录( 添加记录 )并粘贴Plesk在子域名的DNSSEC设置中的 DS资源记录 框中显示的值。
取消签名域名区域
取消签名域名区域以关闭使用DNSSEC 对该区域的保护。如果密钥被损坏,则需要取消签名区域,然后使用新的密钥重新签名区域。
若要取消签名某个域名区域,请如下操作:
- 进入 网站与域名 > 选择一个域名> DNSSEC 点击 取消签名 。
- 从父级区域删除DS 资源记录。否则,将不会解析域名。
注解: 当您取消签名某个区域时,不会从Plesk删除密钥。您可以使用相同的密钥再次签名区域。
查看 DNSKEY 资源记录
您可能需要检索DNSKEY 资源记录,该记录包含某个域名使用的密钥签名密钥的公共部分。
若要显示DNSKEY 记录,请如下操在:
- 进入 网站与域名 > 选择一个域名> DNSSEC 。
- 点击 查看 DNSKEY 记录 。