域名系统安全扩展(DNSSEC)配置

域名系统安全扩展(DNS Security Extensions,简称DNSSEC)是用于确定源域名可靠性的数字签名 ,通过在域名中添加DNSSEC记录,可以增强对DNS域名服务器的身份认证,有效防止DNS缓存污染等攻击。本文为您介绍如何在阿里云域名服务控制台上添加及同步DNSSEC记录。

DNSSEC设置限制

  • 域名后缀类型

    阿里云还未全面支持所有类型的域名后缀进行DNSSEC设置,目前仅“.com”、“.net”、“.cc”、“.tv”、“.name”、“.biz”、“.club”、“.cn”、“.top”等域名支持DNSSEC设置,不支持DNSSEC设置的域名在其控制台中无DNSSEC设置入口。实际支持情况以控制台左侧菜单显示为准。

  • 域名解析渠道

    使用非阿里云解析服务进行DNS解析的域名,可以按照如下步骤设置和查看DNSSEC。使用阿里云解析服务进行DNS解析的域名,设置DNSSEC的具体方法请参见DNSSEC设置方法

操作步骤

  1. 登录阿里云域名控制台

  2. 域名列表中,找到待配置的域名,单击操作列下的管理

  3. 在弹出的页面选择DNS管理 > DNSSEC设置,进入DNSSEC设置页面。

    说明

    如果您的域名没有DNSSEC设置的入口,说明您的域名类型不支持DNSSEC设置。

    DNSSEC

  4. 可选:单击同步DS记录

    如果此域名是从其他域名注册商转入阿里云,且在原注册商处添加过DNSSEC记录,可单击同步DS记录,将之前添加的DNSSEC记录同步至阿里云控制台。

  5. 单击添加DS记录,添加新的DNSSEC记录。

    说明

    每个域名最多添加8条DNSSEC记录。

  6. 在弹出的页面中填写以下参数信息,填写完成确认无误后单击提交

    image

    配置项

    说明

    密钥标签(Key Tag)

    用于标识域名的DNSSEC记录,需填写一个小于65536的整数值。

    加密算法(Algorithm)

    在下拉框中选择生成签名的目标加密算法。

    摘要类型(Digest Type)

    在下拉框中选择构建摘要的目标算法类型。

    摘要(Digest)

    请从域名解析商处获取摘要内容,并写入此输入框中。摘要为一串整数型参数。

  7. 在弹出的窗口中单击获取验证码,收到验证码后填写入输入框中,完成短信验证码安全验证。