Signieren Ihrer Azure Public DNS-Zone mit DNSSEC

In diesem Artikel erfahren Sie, wie Sie Ihre DNS-Zone mit DNSSEC (Domain Name System Security Extensions) signieren.

Informationen zum Entfernen der DNSSEC-Signatur aus einer Zone finden Sie unter So heben Sie die Zuweisung Ihrer Azure Public DNS-Zone auf (Vorschau).

Voraussetzungen

• Die DNS-Zone muss vom öffentlichen Azure-DNS gehostet werden. Weitere Informationen finden Sie unter Verwalten von DNS-Zonen.
• Die übergeordnete DNS-Zone muss mit DNSSEC signiert werden. Die meisten wichtigen Domänen der obersten Ebene (.com, .net, .org) sind bereits signiert.

Signieren einer Zone mit DNSSEC

Um Ihre DNS-Zone mit DNSSEC zu schützen, müssen Sie die Zone zuerst signieren. Beim Zonensignierungsprozess wird ein DS-Eintrag (Delegation Signer, Delegierungssignaturgeber) erstellt, der dann der übergeordneten Zone hinzugefügt werden muss.

Azure portal

So signieren Sie Ihre Zone mit DNSSEC mithilfe des Azure-Portals

1. Suchen Sie auf der Startseite des Azure-Portals nach DNS-Zonen, und wählen Sie die Option aus.

2. Wählen Sie Ihre DNS-Zone und dann auf der Seite Übersicht der Zone die Option DNSSEC aus. Sie können im Menü oben oder unter DNS-Verwaltung die Option DNSSEC auswählen.

   

3. Aktivieren Sie das Kontrollkästchen DNSSEC aktivieren.

   

4. Wenn Sie aufgefordert werden, die Aktivierung von DNSSEC zu bestätigen, wählen Sie OK aus.
   

   

5. Warten Sie, bis die Zonensignierung abgeschlossen ist. Überprüfen Sie nach dem Signieren der Zone die angezeigten DNSSEC-Delegierungsinformationen. Beachten Sie, dass der Status Signiert, aber nicht delegiert lautet.

   

   Hinweis

   Wenn Ihre Azure-Netzwerkkonfiguration keine Delegierungsprüfung zulässt, wird die hier gezeigte Delegierungsmeldung unterdrückt. In diesem Fall können Sie einen öffentlichen DNSSEC-Debugger verwenden, um den Delegierungsstatus zu überprüfen.

6. Kopieren Sie die Delegierungsinformationen, und verwenden Sie sie, um einen DS-Eintrag in der übergeordneten Zone zu erstellen.

   1. Wenn die übergeordnete Zone eine Domäne der obersten Ebene ist (z. B. .com), müssen Sie den DS-Eintrag bei Ihrer Registrierungsstelle hinzufügen. Jede Registrierungsstelle hat einen eigenen Prozess. Die Registrierungsstelle fragt möglicherweise nach Werten wie Schlüsseltag, Algorithmus, Digesttyp und Schlüsseldigest. Im hier gezeigten Beispiel lauten diese Werte wie folgt:

      Schlüsseltag: 4535
      Algorithmus: 13
      Digesttyp: 2
      Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Wenn Sie den DS-Eintrag bei Ihrer Registrierungsstelle angeben, fügt diese den DS-Eintrag zur übergeordneten Zone hinzu, z. B. zur Zone für die Domäne der obersten Ebene (Top-Level-Domain, TLD).

   2. Wenn Sie der Besitzer der übergeordneten Zone sind, können Sie dem übergeordneten Element direkt einen DS-Eintrag hinzufügen. Das folgende Beispiel zeigt, wie Sie der DNS-Zone adatum.com einen DS-Eintrag für die untergeordnete Zone secure.adatum.com hinzufügen, wenn beide Zonen mit einer öffentlichen Azure DNS-Instanz gehostet werden:

      

   3. Wenn Sie nicht der Besitzer der übergeordneten Zone sind, senden Sie den DS-Eintrag mit Anweisungen zum Hinzufügen zur Zone an den Besitzer der übergeordneten Zone.

7. Wenn der DS-Eintrag in die übergeordnete Zone hochgeladen wurde, wählen Sie die DNSSEC-Informationsseite für Ihre Zone aus, und vergewissern Sie sich, dass Signiert und Delegierung eingerichtet angezeigt wird. Ihre DNS-Zone ist jetzt vollständig mit DNSSEC signiert.

   

   Hinweis

   Wenn Ihre Azure-Netzwerkkonfiguration keine Delegierungsprüfung zulässt, wird die hier gezeigte Delegierungsmeldung unterdrückt. In diesem Fall können Sie einen öffentlichen DNSSEC-Debugger verwenden, um den Delegierungsstatus zu überprüfen.

Azure-Befehlszeilenschnittstelle

1. Signieren Sie eine Zone mithilfe der Azure CLI:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. Rufen Sie die Delegierungsinformationen ab, und verwenden Sie sie, um einen DS-Eintrag in der übergeordneten Zone zu erstellen.

Sie können den folgenden Azure CLI-Befehl verwenden, um die Informationen zum DS-Eintrag anzuzeigen:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Beispielausgabe:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Alternativ können Sie DS-Informationen auch mithilfe von „dig.exe“ in der Befehlszeile abrufen:

dig adatum.com DS +dnssec

Beispielausgabe:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

In diesen Beispielen lauten die DS-Werte wie folgt:

• Schlüsseltag: 26767
• Algorithmus: 13
• Digesttyp: 2
• Digest: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Wenn die übergeordnete Zone eine Domäne der obersten Ebene ist (z. B. .com), müssen Sie den DS-Eintrag bei Ihrer Registrierungsstelle hinzufügen. Jede Registrierungsstelle hat einen eigenen Prozess.

4. Wenn Sie der Besitzer der übergeordneten Zone sind, können Sie dem übergeordneten Element direkt einen DS-Eintrag hinzufügen. Das folgende Beispiel zeigt, wie Sie der DNS-Zone adatum.com einen DS-Eintrag für die untergeordnete Zone secure.adatum.com hinzufügen, wenn beide Zonen mit einer öffentlichen Azure DNS-Instanz signiert und gehostet werden:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. Wenn Sie nicht der Besitzer der übergeordneten Zone sind, senden Sie den DS-Eintrag mit Anweisungen zum Hinzufügen zur Zone an den Besitzer der übergeordneten Zone.

PowerShell

1. Signieren und überprüfen Sie Ihre Zone mithilfe von PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. Rufen Sie die Delegierungsinformationen ab, und verwenden Sie sie, um einen DS-Eintrag in der übergeordneten Zone zu erstellen.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Beispielausgabe:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

In diesen Beispielen lauten die DS-Werte wie folgt:

• Schlüsseltag: 26767
• Algorithmus: 13
• Digesttyp: 2
• Digest: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Wenn die übergeordnete Zone eine Domäne der obersten Ebene ist (z. B. .com), müssen Sie den DS-Eintrag bei Ihrer Registrierungsstelle hinzufügen. Jede Registrierungsstelle hat einen eigenen Prozess.

4. Wenn Sie der Besitzer der übergeordneten Zone sind, können Sie dem übergeordneten Element direkt einen DS-Eintrag hinzufügen. Das folgende Beispiel zeigt, wie Sie der DNS-Zone adatum.com einen DS-Eintrag für die untergeordnete Zone secure.adatum.com hinzufügen, wenn beide Zonen mit einer öffentlichen Azure DNS-Instanz signiert und gehostet werden. Ersetzen Sie <key-tag>, <algorithm>, <digest> und <digest-type> durch die entsprechenden Werte aus dem zuvor abgefragten DS-Eintrag.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. Wenn Sie nicht der Besitzer der übergeordneten Zone sind, senden Sie den DS-Eintrag mit Anweisungen zum Hinzufügen zur Zone an den Besitzer der übergeordneten Zone.

Nächste Schritte

• Erfahren Sie, wie Sie die Signierung einer DNS-Zone aufheben.
• Erfahren Sie, wie die Reverse-Lookupzone für Ihren vom ISP zugewiesenen IP-Adressbereich in Azure DNS gehostet wird.
• Erfahren Sie, wie Sie Reverse-DNS-Einträge für Ihre Azure-Dienste verwalten.