Проверка максимального значения TTL в доменной зоне
Для правильного обновления ключей нужно, чтобы максимальное значение TTL в доменной зоне имело значение менее 2 недель (1209600 секунд). Проверьте значения TTL ресурсных записей доменной зоны в
Учётные записи → Доменные имена →
Записи → столбец
TTL, сек. По умолчанию TTL-зоны равно 1 часу (3600 секунд).
Подписание доменной зоны
Включите опцию
Учётные записи → Доменные имена → Изменить → Подписать домен и нажмите
Ok. Запустится фоновый процесс подписания доменной зоны. В ходе процесса генерируются KSK и ZSK ключи. На время работы процесса в
Учётные записи → Доменные имена → столбец
Состояние отображается иконка
. При успешном подписании доменной зоны иконка изменится на
. Для домена становится доступной кнопка
DNSSEC и отображается баннер "Есть неопубликованные DS-записи".
Подписание доменной зоны доступно пользователям с уровнем доступа "Пользователь" или "Администратор".
Создание цепочки доверия
Чтобы создать цепочку доверия, нужно передать DS-запись и, если требует регистратор, DNSKEY-записи в родительскую доменную зону. Эти записи доступны в
Учётные записи → Доменные имена → DNSSEC.
Для каждой записи из списка DS-записей отображаются данные:
- Начало записи — включает наименование домена, класс и тип ресурсной DS-записи;
- Тег — идентификатор ключа;
- Алгоритм — идентификатор алгоритма шифрования;
- Тип дайджеста — идентификатор типа отпечатка KSK-ключа;
- Дайджест — содержимое отпечатка.
Показать DNSKEY — по нажатию кнопки отображается таблица DNSKEY-записей. Для каждой записи из списка DNSKEY-записей отображаются следующие данные:
- Начало записи — включает наименование домена, класс и тип ресурсной DNSKEY-записи;
- Флаги — идентификатор типа ключа;
- Протокол — номер протокола DNSSEC;
- Алгоритм — идентификатор алгоритма шифрования;
- Публичный ключ — открытая часть ключа;
- Тег — идентификатор KSK-ключа.
Передача DS-записей осуществляется одним из следующих образов:
- Добавить записи через веб-интерфейс панели управления доменом у регистратора доменных имён. Скопируйте DS-записи из DNSmanager. Если у регистратора записи добавляются в виде строк, то объедините значения всех столбцов из таблицы DS-записей в DNSmanager, вставляя пробелы между ними. Если нужно, то также скопируйте DNSKEY-записи.
- Если доменная зона находится вместе с родительской зоной на одном и том же сервере под управлением DNSmanager, нажмите Передать DS-записи в родительскую зону.
- Если подписываемый домен является родительским для домена, находящегося на стороннем сервере, создайте DS-записи дочернего домена в записях родительского домена: Учётные записи → Доменные имена → Записи → Создать. Подробнее см. в статье Создание ресурсных записей доменной зоны.
Один раз в сутки DNSmanager проверяет наличие DS-записей в родительской зоне. Необходимо, чтобы было передано хотя бы по одной DS-записи для каждого KSK-ключа. Успешное прохождение проверки завершает процесс включения защиты DNSSEC. В
Учётные записи → Доменные имена → столбец
Состояние появится иконка
Источник
