Firma de la zona DNS pública de Azure con DNSSEC

En este artículo se muestra cómo firmar la zona DNS con Extensiones de seguridad del sistema de nombres de dominio (DNSSEC).

Para quitar la firma DNSSEC de una zona, consulte Cómo anular la firma de la zona DNS pública de Azure.

Requisitos previos

• La zona DNS debe estar hospedada por DNS público de Azure. Para obtener más información, consulte Administración de zonas DNS.
• La zona DNS primaria debe estar firmada con DNSSEC. La mayoría de los dominios de nivel superior principales (.com, .net, .org) ya están firmados.

Firmar una zona con DNSSEC

Para proteger la zona DNS con DNSSEC, primero debe firmar la zona. El proceso de firma de zona crea un registro de firmante de delegación (DS) que se debe agregar a la zona primaria.

Azure Portal

Para firmar la zona con DNSSEC mediante Azure Portal:

1. En la página principal de Azure Portal, busque y seleccione zonas DNS.

2. Seleccione la zona DNS y, después, en la página Información general de la zona, seleccione DNSSEC. Puede seleccionar DNSSEC en el menú de la parte superior o en Administración de DNS.

   

3. Active la casilla Habilitar DNSSEC.

   

4. Cuando se le pida que confirme que desea habilitar DNSSEC, seleccione Aceptar.
   

   

5. Espere a que se complete la firma de zona. Una vez firmada la zona, revise la Información de delegación DNSSEC que se muestra. Observe que el estado es: Firmado pero no delegado.

   

   Nota:

   Si la configuración de red de Azure no permite la comprobación de la delegación, se suprime el mensaje de delegación que se muestra aquí. En este caso, puede usar un depurador DNSSEC público para comprobar el estado de delegación.

6. Copie la información de delegación y úsela para crear un registro DS en la zona primaria.

   1. Si la zona primaria es un dominio de nivel superior (por ejemplo, .com), debe agregar el registro DS en el registrador. Cada registrador tiene su propio proceso. El registrador puede solicitar valores como la etiqueta de clave, el algoritmo, el tipo de resumen y la síntesis de clave. En el ejemplo que se muestra aquí, estos valores son:

      Etiqueta de clave: 4535
      Algoritmo: 13
      Tipo de resumen: 2
      Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      Al proporcionar el registro DS al registrador, el registrador agrega el registro DS a la zona primaria, como la zona dominio de nivel superior (TLD).

   2. Si posee la zona primaria, puede agregar un registro DS directamente al elemento primario. En el ejemplo siguiente se muestra cómo agregar un registro DS a la zona DNS adatum.com para la zona secundaria secure.adatum.com cuando ambas zonas se hospedan mediante DNS público de Azure:

      

   3. Si no posee la zona primaria, envíe el registro DS al propietario de la zona primaria con instrucciones para agregarlo a su zona.

7. Cuando se haya cargado el registro DS en la zona primaria, seleccione la página de información de DNSSEC de la zona y compruebe que se muestra Establecida con signo y delegación. La zona DNS ahora está totalmente firmada por DNSSEC.

   

   Nota:

   Si la configuración de red de Azure no permite la comprobación de la delegación, se suprime el mensaje de delegación que se muestra aquí. En este caso, puede usar un depurador DNSSEC público para comprobar el estado de delegación.

CLI de Azure

1. Firma de una zona mediante la CLI de Azure:

# Ensure you are logged in to your Azure account
az login

# Select the appropriate subscription
az account set --subscription "your-subscription-id"

# Enable DNSSEC for the DNS zone
az network dns dnssec-config create --resource-group "your-resource-group" --zone-name "adatum.com"

# Verify the DNSSEC configuration
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"

2. Obtenga la información de delegación y úsela para crear un registro DS en la zona primaria.

Puede usar el siguiente comando de la CLI de Azure para mostrar la información del registro DS:

az network dns zone show --name "adatum.com" --resource-group "your-resource-group" | jq '.signingKeys[] | select(.delegationSignerInfo != null) | .delegationSignerInfo'

Salida del ejemplo:

  {
    "digestAlgorithmType": 2,
    "digestValue": "0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C",
    "record": "26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C"
  }

Como alternativa, también puede obtener información de DS mediante dig.exe en la línea de comandos:

dig adatum.com DS +dnssec

Salida del ejemplo:

;; ANSWER SECTION:
adatum.com.        86400   IN      DS      26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C71 00EA776C

En estos ejemplos, los valores de DS son:

• Etiqueta de clave: 26767
• Algoritmo: 13
• Tipo de resumen: 2
• Digest: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Si la zona primaria es un dominio de nivel superior (por ejemplo, .com), debe agregar el registro DS en el registrador. Cada registrador tiene su propio proceso.

4. Si posee la zona primaria, puede agregar un registro DS directamente al elemento primario. En el ejemplo siguiente se muestra cómo agregar un registro DS a la zona DNS adatum.com para la zona secundaria secure.adatum.com cuando ambas zonas están firmadas y hospedadas mediante DNS público de Azure:

az network dns record-set ds add-record --resource-group "your-resource-group" --zone-name "adatum.com" --record-set-name "secure" --key-tag <key-tag> --algorithm <algorithm> --digest <digest> --digest-type <digest-type>

5. Si no posee la zona primaria, envíe el registro DS al propietario de la zona primaria con instrucciones para agregarlo a su zona.

PowerShell

1. Firma y comprobación de la zona mediante PowerShell:

# Connect to your Azure account (if not already connected)
Connect-AzAccount

# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"

# Enable DNSSEC for the DNS zone
New-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

# Verify the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"

2. Obtenga la información de delegación y úsela para crear un registro DS en la zona primaria.

Get-AzDnsDnssecConfig -ResourceGroupName "dns-rg" -ZoneName "adatum.com" | Select-Object -ExpandProperty SigningKey | Select-Object -ExpandProperty delegationSignerInfo

Ejemplo:

DigestAlgorithmType DigestValue                                                      Record
------------------- -----------                                                      ------
                  2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C 26767 13 2 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

En estos ejemplos, los valores de DS son:

• Etiqueta de clave: 26767
• Algoritmo: 13
• Tipo de resumen: 2
• Digest: 0B9E68FC1711B4AC4EC0FCE5E673EDB0AFDC18F27EA94861CDF08C7100EA776C

3. Si la zona primaria es un dominio de nivel superior (por ejemplo, .com), debe agregar el registro DS en el registrador. Cada registrador tiene su propio proceso.

4. Si posee la zona primaria, puede agregar un registro DS directamente al elemento primario. En el ejemplo siguiente se muestra cómo agregar un registro DS a la zona DNS adatum.com para la zona secundaria secure.adatum.com cuando ambas zonas están firmadas y hospedadas mediante DNS público de Azure. Reemplace la <etiqueta de clave>, <algoritmo>, <resumen> y <tipo de resumen> por los valores adecuados del registro DS que ha consultado anteriormente.

$dsRecord = New-AzDnsRecordConfig -DnsRecordType DS -KeyTag <key-tag> -Algorithm <algorithm> -Digest <digest> -DigestType <digest-type>
New-AzDnsRecordSet -ResourceGroupName "dns-rg" -ZoneName "adatum.com" -Name "secure" -RecordType DS -Ttl 3600 -DnsRecords $dsRecord

5. Si no posee la zona primaria, envíe el registro DS al propietario de la zona primaria con instrucciones para agregarlo a su zona.

Pasos siguientes

• Obtenga información sobre cómo anular la firma de una zona DNS.
• Aprenda cómo hospedar la zona de búsqueda inversa para el intervalo IP asignado por el ISP en DNS de Azure.
• Aprenda a administrar registros de DNS inversos para servicios de Azure.