Trang này mô tả cách xem khoá Tiện ích bảo mật hệ thống tên miền (DNSSEC).
Để biết thông tin tổng quan về khái niệm DNSSEC, hãy xem bài viết Tổng quan về DNSSEC.
DNSKEY là một loại bản ghi DNS chứa khoá ký công khai. Nếu đang di chuyển một vùng đã ký DNSSEC sang một nhà điều hành DNS khác, bạn có thể cần xem các bản ghi DNSKEY. Quy trình di chuyển trong RFC 6781 yêu cầu nhập các DNSKEY Khoá ký vùng (ZSK) và Khoá ký khoá (KSK) từ vùng DNS trên đám mây vào vùng của nhà khai thác khác.
Nếu bạn đã bật DNSSEC cho một vùng, Cloud DNS sẽ tự động quản lý việc tạo và xoay vòng khoá DNSSEC (bản ghi DNSKEY) cũng như ký dữ liệu vùng bằng bản ghi chữ ký số bản ghi tài nguyên (RRSIG). Cloud DNS không hỗ trợ tính năng tự động xoay vòng KSK vì tính năng xoay vòng KSK hiện yêu cầu bạn phải tương tác thủ công với nhà đăng ký miền. Tuy nhiên, Cloud DNS thực hiện việc xoay ZSK hoàn toàn tự động. Bạn có thể xem các DNSKEY được quản lý tự động bằng Google Cloud CLI hoặc API REST.
Trước khi bạn bắt đầu
Để có thể xem khoá DNSSEC, bạn cần phải tạo một vùng được quản lý và bật DNSSEC cho vùng đó để tạo bản ghi DNSKEY.
Hiển thị các DNSKEY hiện tại
Để hiển thị các bản ghi DNSKEY hiện tại cho vùng của bạn, hãy làm theo các bước sau.
gcloud
Đối với các ví dụ về dòng lệnh gcloud sau đây, bạn có thể chỉ định tham số --project để hoạt động trên một dự án cụ thể.
Để in tất cả DNSKEY ở định dạng JSON, hãy sử dụng lệnh gcloud dns dns-keys list:
gcloud dns dns-keys list --zone ZONE_NAME
Thay thế ZONE_NAME bằng tên của vùng được quản lý.
Để hiển thị thông tin chi tiết về một DNSKEY đã chỉ định ở định dạng JSON, hãy sử dụng lệnh gcloud dns dns-keys describe:
gcloud dns dns-keys describe DNSKEY_ID --zone ZONE_NAME
Thay thế nội dung sau:
DNSKEY_ID: mã nhận dạng của DNSKEY mà bạn muốn xem chi tiếtZONE_NAME: tên của vùng được quản lý
Giao diện lập trình ứng dụng (API)
Để in tất cả DNSKEY vào một tập hợp ResourceRecordSet, hãy sử dụng phương thức dnsKeys.get với phần nội dung yêu cầu trống:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys
Thay thế nội dung sau:
PROJECT: tên hoặc mã nhận dạng của dự án DNSZONE_NAME: tên của vùng được quản lý
Kết quả của bạn sẽ tương tự như sau:
{
"kind": "dns#dnsKeysListResponse",
"header": {
"operationId": string
},
"dnsKeys": [
dnsKeys Resource
],
"nextPageToken": string
}
Để hiển thị thông tin chi tiết về một DNSKEY đã chỉ định ở định dạng JSON, hãy sử dụng phương thức dnsKeys DNSKEY_ID.get có phần nội dung yêu cầu trống:
GET https://dns.googleapis.com/dns/v1/projects/PROJECT/managedZones/ZONE_NAME/dnsKeys/DNSKEY_ID
Thay thế nội dung sau:
PROJECT: tên hoặc mã nhận dạng của dự án DNSZONE_NAME: tên của vùng được quản lýDNSKEY_ID: mã nhận dạng của DNSKEY mà bạn muốn xem chi tiết
Python
from apiclient import errors
from apiclient.discovery import build
PROJECT_NAME= 'PROJECT_NAME'
ZONE_NAME= 'ZONE_NAME'
try:
service = build('dns', 'v1')
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
try:
response = service.dnskeys().list(project=PROJECT_NAME,
managedZone=ZONE_NAME,
keyId=KEY_ID).execute()
except errors.HttpError, error:
print 'An error occurred: %s' % error
Thay thế nội dung sau:
PROJECT_NAME: tên hoặc mã nhận dạng của dự án DNSZONE_NAME: tên của vùng được quản lý
Bước tiếp theo
- Để biết thông tin về các cấu hình DNSSEC cụ thể, hãy xem phần Sử dụng DNSSEC nâng cao.
- Để theo dõi các thay đổi, hãy xem phần Theo dõi quá trình truyền tải DNS.
- Để tìm giải pháp cho các vấn đề thường gặp mà bạn có thể gặp phải khi sử dụng Cloud DNS, hãy xem phần Khắc phục sự cố.
- Để biết thông tin tổng quan về Cloud DNS, hãy xem bài viết Tổng quan về Cloud DNS.