觀看視頻教程

DNSSEC 是 DNS 協議的擴展,允許簽名 DNS 資料以保護域名解析過程的安全。欲瞭解有關 DNSSEC 和其用途的資訊,請連接 ICANN 網站https://tools.ietf.org/html/rfc6781

Plesk 能夠讓您通過 DNSSEC 保護託管域名的 DNS 資料。您可執行以下操作:

  • 配置金鑰生成和滾動更新的設定。
  • 依據 DNSSEC 規定簽名和取消簽名域名區域
  • 接收通知
  • 查看和複製 DS 資源記錄
  • 查看和複製 DNSKEY 資源記錄集

要求

  • Plesk for Linux 與 Bind DNS 伺服器,自 Bind 9.9 版本起。
  • DNSSEC 是一個付費擴展。而在 Plesk Web Host 和 Plesk Web Pro 版本中則免費提供該擴展。
  • DNSSEC is available on Debian 8, Debian 9, Ubuntu 14.04, Ubuntu 16.04, Ubuntu 18.04, CentOS 7, RedHat Enterprise Linux 7, CloudLinux 7, Virtuozzo Linux 7.

啟用 DNSSEC 支援

若要啟用 DNSSEC 支援,請安裝 Plesk DNSSEC 擴展( 擴展 > 擴展目錄 )。

image 76900

配置預設的 DNSSEC 設定

默認的DNSSEC設定位於 工具與設定 > 擴展 > DNSSEC 。您可以更改生成金鑰簽名金鑰 (KSK) 和區域簽名金鑰 (ZSK) 對的默認策略。

KSK 和 ZSK 的推薦策略

  • 使用KSK 的長期金鑰和長期滾動更新(金鑰簽名金鑰)

    每次更新金鑰簽名金鑰,區域所有者都需要更新父級域名區域中的 DS 記錄。該推薦的策略能夠幫助更新父級區域中的 DS 記錄,盡可能降低安全風險。

  • 使用ZSK 的短期金鑰和短期滾動更新(區域簽名金鑰)

    會自動更新區域簽名金鑰。該推薦的策略會幫助節省系統資源,以降低安全風險。

當主機客戶在簽名其區域時,可使用預設的值或指定其它值。 詳情請參閱 在域名上使用 DNSSEC

image 76901

使用DNSSEC保護DNS區域

如要使用DNSSEC,域名所有者必須簽名其DNS區域。 詳情請參閱 在域名上使用 DNSSEC

在 Plesk 中金鑰如何滾動更新

為了防止某個域名出現 DNS 中斷,Plesk會使用多個金鑰作為KSK以及使用多個金鑰作為ZSK。之前生成的存在於 parallel 中的金鑰會與新的金鑰一起保留一段時間,直到DNS區域中的所有更改生效。會自動移除過期的金鑰。

KSK 滾動更新

Plesk 通過 Double-RRset 方式的修改法來滾動更新金鑰簽名金鑰。區別是 Plesk 在每次滾動更新期間有兩個金鑰簽名金鑰。該方式能夠給域名區域所有者足夠的時間來更新父級區域中相應的DS記錄(例如,下面案例中滾動更新事件1和事件2之間的時段)。

用戶在 KSK 滾動更新時的操作

域名區域所有者會收到有關滾動更新和需要更新父級區域中 DS 記錄的通知。當最早的KSK到期而最新的KSK已生成時DS記錄則變成過時記錄(例如,在下面案例中滾動更新事件2時)。如果域名區域所有者沒有更新過父級區域的 DS 記錄,通知後一個滾動更新期結束時,域名會停止解析。

備註: 此時,無法自訂域名區域所有者的通知文本。

image 76537

ZSK 滾動更新

為了允許足夠的時間讓從屬和緩存 DNS 伺服器與主控 DNS 伺服器同步,Plesk 會執行以下操作:

  • 在滾動更新前某個特定時間添加新的金鑰到區域。
  • 在滾動更新後同一特定時間移除舊的金鑰。

ZSK滾動更新之前或之後的某個時間在Plesk中稱為 過渡期 。過渡時間是 30 日或區域的 SOA TTL 和 SOA 到期值的總和(如果其總和超過 30 天)。但是,過渡時間不得超過 ZSK 滾動更新時間的一半,否則滾動更新功能將會被打亂而區域簽名則會無效。

因此,為了確保 ZSK 滾動更新正常執行,Plesk 對以下值設定了限制:

  • 區域的 SOA TTL 和 SOA 到期的值。這兩個值的總和不得超過特定的計算值。
  • ZSK 滾動更新期。該值不得低於特定的計算值。

用戶對 ZSK 滾動更新的操作

當滾動更新區域簽名金鑰時,域名DNS區域所有者不需要進行任何操作。

image 76538