英語で読む

次の方法で共有


DNSSEC を使用して Azure パブリック DNS ゾーンに署名する方法 (プレビュー)

この記事では、ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC)を使用して DNS ゾーンに署名する方法について説明します。

ゾーンから DNSSEC 署名を削除するには、「Azure パブリック DNS ゾーンの署名を削除する方法」を参照してください。

注意

DNSSEC ゾーン署名は現在プレビュー段階です。
ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
この DNSSEC プレビューは、プレビューに登録する必要なく提供されます。 Azure PowerShell または Azure CLI を使用してゾーン署名または署名削除するために、Cloud Shell を使用できます。 Azure portal を使用したゾーンへの署名は、次回のポータル更新で利用できるようになります。

前提条件

  • DNS ゾーンは、Azure パブリック DNS によってホストされている必要があります。 詳細については、DNS ゾーンの管理に関するページを参照してください。
  • 親 DNS ゾーンは DNSSEC で署名されている必要があります。 ほとんどの主要な最上位レベルのドメイン (.com、.net、.org) は既に署名済みです。

DNSSEC でゾーンに署名する

DNSSEC で DNS ゾーンを保護するには、まずゾーンに署名する必要があります。 ゾーン署名プロセスは委任署名者 (DS) レコードを作成し、それを親ゾーンに追加する必要があります。

Azure portal を使用して DNSSEC でゾーンに署名するには、次の操作を行います。

  1. Azure portal のホーム ページで「DNS ゾーン」を検索して選択します。

  2. DNS ゾーンを選択し、ゾーンの [概要] ページから [DNSSEC] を選択します。 [DNSSEC] は、上部のメニューから選択するか、 [DNS 管理] の下で選択します。

    DNSSEC を選ぶ方法のスクリーンショット。

  3. [DNSSEC を有効にする] チェック ボックスをオンにします。

    DNSSEC チェックボックスをオンにしているスクリーンショット。

  4. DNSSEC を有効にするかどうかの確認を求められたら、[OK] を選択します。

    DNSSEC 署名を確認するスクリーンショット。

  5. ゾーン署名が完了するまで待ちます。 ゾーンが署名された後、表示される DNSSEC 委任情報を確認してください。 次の状態に注意してください: 署名されているが委任されていない

    DS レコードが見つからない署名済みゾーンのスクリーンショット。

  6. 委任情報をコピーし、それを使用して親ゾーンに DS レコードを作成します。

    1. 親ゾーンが最上位レベルのドメイン (.com など) である場合、レジストラーで DS レコードを追加する必要があります。 各レジストラーには独自のプロセスがあります。 レジストラーでは、Key Tag、Algorithm、Digest Type、Key Digest などの値が要求される場合があります。 こちらに示す例では、これらの値は次のようになります。

      Key Tag: 4535
      Algorithm: 13
      Digest Type: 2
      Digest: 7A1C9811A965C46319D94D1D4BC6321762B632133F196F876C65802EC5089001

      DS レコードをレジストラーに提供すると、レジストラーは DS レコードを最上位レベルのドメイン (TLD) ゾーンなどの親ゾーンに追加します。

    2. 親ゾーンを所有している場合は、親ゾーンに直接 DS レコードを追加できます。 次の例は、両方のゾーンが Azure パブリック DNS を使用してホストされている場合に、子ゾーン secure.adatum.com の DS レコードを DNS ゾーン adatum.com に追加する方法を示しています。

      親ゾーンに DS レコードを追加するスクリーンショット。親ゾーンの DS レコードのスクリーンショット。

    3. 親ゾーンを所有していない場合は、DS レコードを親ゾーンの所有者に送信し、そのゾーンに追加するように指示してください。

  7. DS レコードが親ゾーンにアップロードされたら、ゾーンの [DNSSEC 情報] ページを選択し、[署名済みかつ委任確立済み] と表示されていることを確認します。 これで DNS ゾーンは完全に DNSSEC 署名されました。

    完全に署名され、委任されたゾーンのスクリーンショット。

次のステップ