如何設定 DNSSEC
發佈人 , lastmodifiedby Adwin Xie 發表於 21 10月 2024 04:15 下午
|
|
什麼是 DNSSEC?DNSSEC 全名為 Domain Name Security Extensions,其作用為在網域的 DNS 紀錄上加上一筆數位簽章 DNS 解析器可以透過查詢該簽章,來確認該網域的資料內容是否正確,可以防止使用者在瀏覽此網域時,不會瀏覽到的遭誤導或是惡意內容的網域 如何啟用 DNSSEC?要啟用 DNSSEC,首先要產生一組 DS 紀錄,之後將該紀錄設定在您購買網域的網域註冊商 DNSSEC 管理介面上 由於每家網域註冊商的 DNSSEC 管理介面各有不同,有些網域註冊商使用他們自己提供的名稱伺服器,就可以直接啟用 DNSSEC (如附圖為使用 Gandi 名稱伺服器,可直接啟用 DNSSEC) 後續會以 Gandi 的 DNSSEC 管理介面來做示範。 範例一: 當您的網域為 Gandi 所註冊,但您目前的名稱伺服器是使用 CloudFlare,要如何啟用 CloudFlare 提供的 DNSSEC Step1. 登入至您的 CloudFlare 後台,並選取您要設定 DNSSEC 的網域。 Step2. 點選控制台左邊的 DNS,將頁面往下拉至 DNSSEC 的部分,並點選 DS 紀錄 詳細的 DS 紀錄如下圖 Step3. 將獲得的 DS 紀錄,複製貼上至網域註冊商 DNSSEC 管理介面, 此處以 Gandi 的網域註冊商後台為例,在 Gandi 的介面中,只要提供 DS 紀錄中公開金鑰的部分 回到 CloudFlare 後台,將公開金鑰的部分複製並貼在欄位中,按新增後 DNSSEC 就設定完成了 後續等候該紀錄生效即可 範例二: 當網域註冊商在亞太,名稱伺服器一樣使用 CloudFlare,前面的步驟大致上都相同,因此直接跳到 DNSSEC 設定
亞太欄位需要填入 Key ID, Algorithm Number, DS 紀錄,同樣回到 Cloudflare 後台查看 DS 紀錄 經過查詢: KEY ID 對應的是 金鑰標記 , Algorithm Number 對應的是 演算法 DS紀錄 對應的為是 摘要 因此依序將所需要紀錄填入亞太 DNSSEC 管理頁面中的欄位,後續等候紀錄生效即可 由於每家網域註冊商的 DNSSEC 設定欄位名稱及所需要的 DS 紀錄不一定相同 因此如要請工程人員協助設定 DNSSEC,需要提供完整的 DS 紀錄 以利工程人員來進行設定 | |
|