كيفية توقيع منطقة Azure Public DNS باستخدام DNSSEC

توضح لك هذه المقالة كيفية توقيع منطقة DNS الخاصة بك باستخدام ملحقات أمان نظام أسماء المجالات (DNSSEC).

لإزالة توقيع DNSSEC من منطقة، راجع كيفية إلغاء توقيع منطقة Azure Public DNS.

المتطلبات الأساسية

• يجب استضافة منطقة DNS بواسطة Azure Public DNS. لمزيد من المعلومات، راجع إدارة مناطق DNS.
• يجب توقيع منطقة DNS الأصل باستخدام DNSSEC. تم بالفعل توقيع معظم مجالات المستوى الأعلى الرئيسية (.com و.net و.org).

توقيع منطقة باستخدام DNSSEC

لحماية منطقة DNS الخاصة بك باستخدام DNSSEC، يجب أولا توقيع المنطقة. تنشئ عملية توقيع المنطقة سجل توقيع التفويض (DS) الذي يجب إضافته بعد ذلك إلى المنطقة الأصل.

مدخل Microsoft Azure

لتوقيع منطقتك باستخدام DNSSEC باستخدام مدخل Microsoft Azure:

1. في الصفحة الرئيسية لمدخل Microsoft Azure، ابحث عن مناطق DNS وحددها.

2. حدد منطقة DNS الخاصة بك، ثم من صفحة نظرة عامة على المنطقة، حدد DNSSEC. يمكنك تحديد DNSSEC من القائمة في الأعلى، أو ضمن إدارة DNS.

   

3. حدد خانة الاختيار Enable DNSSEC .

   

4. عند مطالبتك بتأكيد رغبتك في تمكين DNSSEC، حدد موافق.
   

   

5. انتظر حتى يكتمل توقيع المنطقة. بعد توقيع المنطقة، راجع معلومات تفويض DNSSEC التي يتم عرضها. لاحظ أن الحالة هي: موقعة ولكن غير مفوضة.

   

   Note

   إذا كان تكوين شبكة Azure لا يسمح بالتحقق من التفويض، منع رسالة التفويض الموضحة هنا. في هذه الحالة، يمكنك استخدام مصحح أخطاء DNSSEC عام للتحقق من حالة التفويض.

6. انسخ معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.

   1. إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به. قد يطلب المسجل قيما مثل علامة المفتاح والخوارزمية ونوع الملخص وملخص المفاتيح. في المثال الموضح هنا، هذه القيم هي:

      علامة المفتاح: 4535
      الخوارزمية: 13
      نوع الملخص: 2
      ملخص: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      عند توفير سجل DS إلى المسجل، يضيف المسجل سجل DS إلى المنطقة الأصل، مثل منطقة مجال المستوى الأعلى (TLD).

   2. إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند استضافة كلتا المنطقتين باستخدام Azure Public DNS:

      

   3. إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.

7. عند تحميل سجل DS إلى المنطقة الأصل، حدد صفحة معلومات DNSSEC لمنطقتك وتحقق من عرض الموقع والتفويض الذي تم تأسيسه . منطقة DNS الخاصة بك الآن موقعة بالكامل DNSSEC.

   

   Note

   إذا كان تكوين شبكة Azure لا يسمح بالتحقق من التفويض، منع رسالة التفويض الموضحة هنا. في هذه الحالة، يمكنك استخدام مصحح أخطاء DNSSEC عام للتحقق من حالة التفويض.

1. توقيع منطقة باستخدام Azure CLI:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. احصل على معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.

يمكنك استخدام أمر Azure CLI التالي لعرض معلومات سجل DS:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

عينة الإخراج:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

بدلا من ذلك، يمكنك أيضا الحصول على معلومات DS باستخدام dig.exe على سطر الأوامر:

dig adatum.com DS +dnssec

عينة الإخراج:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

في هذه الأمثلة، تكون قيم DS هي:

• علامة المفتاح: 26767
• الخوارزمية: 13
• نوع الملخص: 2
• ملخص: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به.

4. إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند توقيع كلتا المنطقتين واستضافتها باستخدام Azure Public DNS:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.

بوويرشيل

1. قم بالتوقيع والتحقق من منطقتك باستخدام PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. احصل على معلومات التفويض واستخدمها لإنشاء سجل DS في المنطقة الأصل.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

مثال على الإخراج:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

في هذه الأمثلة، تكون قيم DS هي:

• علامة المفتاح: 26767
• الخوارزمية: 13
• نوع الملخص: 2
• ملخص: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. إذا كانت المنطقة الأصل مجالا من المستوى الأعلى (على سبيل المثال: .com)، فيجب عليك إضافة سجل DS لدى جهة التسجيل. كل مسجل لديه عملية خاصة به.

4. إذا كنت تملك المنطقة الأصل، يمكنك إضافة سجل DS مباشرة إلى الأصل بنفسك. يوضح المثال التالي كيفية إضافة سجل DS إلى adatum.com منطقة DNS للمنطقة الفرعية secure.adatum.com عند توقيع كلتا المنطقتين واستضافتها باستخدام Azure Public DNS. استبدل <علامة> المفتاح والخوارزمية <>والملخص <>ونوع <> الملخص بالقيم المناسبة من سجل DS الذي استعلمت عنه مسبقا.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. إذا لم تكن تملك المنطقة الأصل، أرسل سجل DS إلى مالك المنطقة الأصل مع إرشادات لإضافته إلى منطقته.

مهم

لا يدعم App Service Domain DNSSEC. إذا قمت بتسجيل مجالك عبر App Service Domain، فلا يمكنك تمكين DNSSEC نظرا لأنه لا يمكنك تسجيل سجل DS مع منطقة أصلية.

الخطوات التالية

• تعرف على كيفية إلغاء توقيع منطقة DNS.
• تعرف على كيفية استضافة منطقة البحث العكسي لنطاق IP المعين من قِبل مزود خدمة الإنترنت في Azure DNS.
• تعرف على كيفية إدارة سجلات DNS العكسية لخدمات Azure الخاصة بك.