本文介绍如何从 Azure 公共 DNS 区域移除域名系统安全扩展 (DNSSEC)。
若要使用 DNSSEC 对区域进行签名,请参阅如何使用 DNSSEC 对 Azure 公共 DNS 区域进行签名。
先决条件
- DNS 区域必须由 Azure 公共 DNS 托管。 有关详细信息,请参阅管理 DNS 区域。
- 必须具有从父 DNS 区域删除 DS 记录的权限。 大多数顶级域(.com、.net、.org)允许使用注册机构执行此操作。
取消区域签名
重要
要从 DNS 区域中删除 DNSSEC,首先需要从父区域中删除委派签名者 (DS) 记录,然后等待 DS 记录的生存时间 (TTL) 到期。 DS 记录 TTL 过期后,可以安全地取消区域签名。
若要使用 Azure 门户取消区域签名,请执行以下操作:
在 Azure 门户主页上,搜索并选择“DNS 区域”。
选择你的 DNS 区域,然后从该区域的“概述”页中选择“DNSSEC”。 可从顶部菜单或“DNS 管理”下选择“DNSSEC”。
如果已成功删除注册机构处此区域的 DS 记录,则会看到 DNSSEC 状态为“已签名但未委派”。 请在看到此状态之后继续。
取消选中“启用 DNSSEC”复选框并在弹出对话框中选择“确定”,确认你希望禁用 DNSSEC。
在“禁用 DNSSEC”窗格中,键入域的名称,然后选择“禁用”。
区域现在已取消签名。
使用 Azure CLI 对 DNSSEC 签名的区域取消签名:
- 若要对已签名的区域取消签名,请发出以下命令。 将订阅 ID、资源组和区域名称的值替换为值。
# Ensure you are logged in to your Azure account
az login
# Select the appropriate subscription
az account set --subscription "your-subscription-id"
# Disable DNSSEC for the DNS zone
az network dns dnssec-config delete --resource-group "your-resource-group" --zone-name "adatum.com"
# Verify the DNSSEC configuration has been removed
az network dns dnssec-config show --resource-group "your-resource-group" --zone-name "adatum.com"
- 确认最后一个命令后显示 (NotFound) DNS 区域“adatum.com”未启用 DNSSEC。 区域现在已取消签名。
- 使用以下命令从区域中删除 DNSSEC 签名并使用 PowerShell 查看区域状态。 将订阅 ID、资源组和区域名称的值替换为值。
# Connect to your Azure account (if not already connected)
Connect-AzAccount
# Select the appropriate subscription
Select-AzSubscription -SubscriptionId "your-subscription-id"
# Disable DNSSEC for the DNS zone
Remove-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
# View the DNSSEC configuration
Get-AzDnsDnssecConfig -ResourceGroupName "your-resource-group" -ZoneName "adatum.com"
- 确认最后一个命令后显示 DNS 区域“adatum.com”未启用 DNSSEC。 区域现在已取消签名。
后续步骤