上一頁
下一頁為域名配置DNSSEC
DNSSEC 是 DNS 協議的擴展,允許簽名 DNS 資料以保護域名解析過程的安全。欲瞭解有關 DNSSEC 和其用途的資訊,請連接 ICANN 網站 和 https://tools.ietf.org/html/rfc6781。
注意:Plesk for Linux 中支援DNSSEC。Plesk DNSSEC擴展必須由主機提供商在Plesk中安裝。
您可以執行以下操作通過DNSSEC保護域名的 DNS資料:
- 依據 DNSSEC 規定簽名和取消簽名域名區域
- (備選)指定用於金鑰生成的自訂設定
- 接收通知
- 查看和複製 DS 資源記錄
- 查看和複製 DNSKEY 資源記錄集
簽名域名區域
若要開始使用 DNSSEC 保護您DNS區域的安全,可簽名該區域。Plesk 會通過自動生成的簽名(該簽名使用兩對非對稱金鑰即金鑰簽名金鑰(KSK) 和區域簽名金鑰(ZSK) 來生成簽名)來簽名區域。
如要簽名域名區域,請如下操作:
- 在網站與域名中選擇域名。
- 進入DNSSEC 點按簽名DNS區域。
- 如果域名區域在之前未被簽名,Plesk 會提示您生成將用於創建簽名的金鑰。
您可以使用默認的值或指定自訂值。請查看下面推薦的值。
- 如果之前已簽名DNS區域,您則可以選擇使用之前生成的金鑰或生成新的金鑰。如果您用於新金鑰,可以使用默認的值或指定自訂值。請查看下面推薦的值。
KSK 和 ZSK 生成設定的推薦值:
- KSK 的長期金鑰和長期滾動更新
每次更新金鑰簽名金鑰,您都需要更新父級區域中的 DS 記錄。推薦的值能夠幫助您更新DS 記錄以盡可能降低安全風險。
- KSK 的短期金鑰和短期滾動更新
會自動更新區域簽名金鑰。推薦的值會幫助節省系統資源,以降低安全風險。
- KSK 的長期金鑰和長期滾動更新
- 簽名流程結束時,Plesk 將會顯示 DS 記錄,該記錄包含用於簽名區域的金鑰簽名金鑰的雜湊項。
複製 DS 資源記錄到剪貼板,然後將其添加到父級域名區域。在下面查看在父級區域中更新DS記錄。
更新父級區域中的 DS 記錄
如果父級區域保護過時的DS 記錄,DNS 服務將不再解析該域名。
DNSSEC金鑰被更新時,不管什麼情況下,都需要手動添加或更新父級域名區域中的 DS 記錄,也就是:
- 使用新生成的金鑰簽名域名區域。
- 進行KSK(金鑰簽名金鑰)滾動更新
Plesk會給您發送通知,給您一定時間更新DS記錄 - 該時段等同於一個KSK滾動更新期。在該時段期間,之前的DS記錄仍有效。
如果您取消簽名域名區域,則需要手動刪除父級域名區域中的 DS 記錄。
若要更新父級區域中的DS 記錄,請如下操作:
對於其父級區域在Plesk 外的Plesk中的域名,需在域名註冊商處更新DS記錄。
對於在Plesk中託管的域名的子域名且在 Plesk 中有 DNS 區域的,請如下操作:
- 進入父級域名的 DNS 設定(網站與域名 > 進入父級域名 > DNS 設定)。
- 添加DS類型的新記錄(添加記錄)並貼上Plesk在子域名的DNSSEC設定中的DS資源記錄框中顯示的值。
取消簽名域名區域
取消簽名域名區域以關閉使用DNSSEC 對該區域的保護。如果金鑰被損壞,則需要取消簽名區域,然後使用新的金鑰重新簽名區域。
若要取消簽名某個域名區域,請如下操作:
- 進入網站與域名 > 選擇一個域名> DNSSEC 點按取消簽名。
- 從父級區域刪除DS 資源記錄。否則,將不會解析域名。
注意:當您取消簽名某個區域時,不會從Plesk刪除金鑰。您可以使用相同的金鑰再次簽名區域。
查看 DNSKEY 資源記錄
您可能需要檢索DNSKEY 資源記錄,該記錄包含某個域名使用的金鑰簽名金鑰的公共部分。
若要顯示DNSKEY 記錄,請如下操在:
- 進入網站與域名> 選擇一個域名> DNSSEC。
- 點按 查看 DNSKEY 記錄。