Một số hoặc tất cả thông tin trên trang này có thể không áp dụng cho Trusted Cloud của S3NS.

Trang này được dịch bởi Cloud Translation API.

Kích hoạt DNSSEC

Trang này mô tả cách kích hoạt và huỷ kích hoạt Tiện ích bảo mật hệ thống tên miền (DNSSEC) tại nhà đăng ký miền của bạn.

Để tìm hiểu về DNSSEC, hãy xem bài viết Tổng quan về DNSSEC.

Kích hoạt DNSSEC tại nhà đăng ký tên miền của bạn

Sau khi bật DNSSEC cho các vùng công khai được quản lý hiện có, bạn phải kích hoạt DNSSEC tại nhà đăng ký miền. Để kích hoạt DNSSEC, bạn tạo một bản ghi DS cho miền của mình trong vùng gốc để trình phân giải có thể xác định rằng miền của bạn đã bật DNSSEC và có thể xác thực dữ liệu của miền.

Mỗi nhà đăng ký có một quy trình riêng để tạo bản ghi DS này. Nhiều nhà đăng ký sử dụng biểu mẫu trên trang web. Để biết thêm thông tin, hãy xem tài liệu của nhà đăng ký tên miền.

Sau khi bạn kích hoạt DNSSEC, bản ghi DS phải được truyền tải trên toàn bộ DNS. Quá trình này có thể mất từ 24 giờ trở lên, tuỳ thuộc vào giá trị thời gian tồn tại (TTL) mà bạn đặt cho bản ghi DNS và hành vi lưu vào bộ nhớ đệm của các trình phân giải DNS khác nhau.

Trước khi kích hoạt DNSSEC trên các miền quan trọng, hãy kiểm tra kỹ cấu hình DNS của bạn.

Nhận bản ghi DS

Để lấy bản ghi DS cho vùng của bạn, hãy làm theo các bước sau:

Bảng điều khiển

Trong Trusted Cloud console, hãy chuyển đến trang Tạo vùng DNS.

Chuyển đến phần Tạo vùng DNS
Nhấp vào vùng mà bạn muốn có bản ghi DS.
Nhấp vào Thiết lập trình đăng ký.
Sao chép các bản ghi DS từ hộp thoại. Các bản ghi DS tương tự như sau:
```
18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B
```

gcloud

Sử dụng lệnh gcloud dns dns-keys list.

gcloud dns dns-keys list \
--filter='type=keySigning' --format='value(ds_record())' \
--zone=MANAGED_ZONE_NAME

Thay thế nội dung sau:

MANAGED_ZONE: tên của vùng được quản lý

Kết quả của bạn sẽ tương tự như sau:

18311 8 2 1A347FBF4EDA76375760AEB183E3B0081C9D8BE63384637D46ED5F6C010F961B

Huỷ kích hoạt DNSSEC tại nhà đăng ký miền

Trước khi tắt DNSSEC cho một vùng được quản lý mà bạn vẫn muốn sử dụng, bạn phải huỷ kích hoạt DNSSEC cho vùng của mình tại nhà đăng ký miền để đảm bảo rằng các trình phân giải xác thực DNSSEC vẫn có thể phân giải tên trong vùng.

Để huỷ kích hoạt DNSSEC, hãy xoá tất cả bản ghi DS cho miền của bạn khỏi vùng cấp trên; thao tác này sẽ ngăn trình phân giải sử dụng DNSSEC để xác thực dữ liệu miền của bạn.

Sau khi xoá bản ghi DS khỏi nhà đăng ký, bạn phải đợi quá trình xoá bản ghi DS được truyền đến tất cả trình phân giải thì mới có thể tắt DNSSEC cho vùng. Quá trình này có thể mất từ 24 giờ trở lên, tuỳ thuộc vào độ trễ truyền tải do nhà đăng ký, sổ đăng ký và trình phân giải lưu vào bộ nhớ đệm.

Sau khi xác nhận rằng bản ghi DS đã bị xoá khỏi nhà đăng ký và các trình phân giải không thể truy cập được nữa, bạn có thể tắt DNSSEC cho vùng một cách an toàn.

Bước tiếp theo

Để biết thông tin về các cấu hình DNSSEC cụ thể, hãy xem phần Sử dụng DNSSEC nâng cao.
Để tìm giải pháp cho các vấn đề thường gặp mà bạn có thể gặp phải khi sử dụng Cloud DNS, hãy xem phần Khắc phục sự cố.
Để biết thông tin tổng quan về Cloud DNS, hãy xem bài viết Tổng quan về Cloud DNS.