Как подключить DNSSEC?
Серверы имён FirstVDS пока не поддерживают DNSSEC. Чтобы использовать эту опцию, нужно организовать собственные серверы имён — через панель управления ISPmanager или установив и настроив DNS-сервер вручную. Например, с помощью Bind с версии 9.9.
Для подключения DNSSEC в первую очередь нужно сгенерировать DS-записи — цифровые подписи данных вашего домена. Рассмотрим генерацию через интерфейс панели ISPmanager. Предположим, что у вас уже настроены собственные серверы имён.
Подключение DNSSEC в ISPmanager
Чтобы начать работать с DNSSEC, нужно включить его в настройках панели. Для этого откройте ISPmanager, перейдите в раздел Домены
— Доменные имена
и сверху нажмите «Настройки»
.

В конце открывшегося списка параметров отметьте пункт «Поддержка DNSSEC»
и нажмите «Ok»
.

Если после подключения поддержки DNSSEC вернуться в раздел Домены
— Доменные имена
и снова нажать «Настройки»
, в конце списка параметров вы увидите новые поля:

С их помощью можно задать ряд настроек для DNSSEC:
- алгоритм хэширования ключей. Чем современнее алгоритм, тем сложнее его взломать — и тем надёжнее защищён ваш ключ. Но тем больше времени и вычислительных ресурсов процессора требуется на обработку.
- длина ключа — чем больше, тем сложнее подобрать ваш ключ. С длиной ключа увеличивается файл зоны и нагрузка на сервер при подписи новых доменов.
- период обновления ключа — определяет срок действия ключей.
После активации DNSSEC можно можно подписывать домены с помощью электронной подписи. Эта опция доступна в разделе Домены
— Доменные имена
— выберите ваш домен в списке, на панели инструментов нажмите «Изменить»
. В настройках отметьте пункт «Подписать домен»
и нажмите «Ок»
для сохранения параметров.

В течение пары минут в панели появится уведомление о неопубликованных DS-записях. Чтобы его увидеть, обновите страницу.

Чтобы опубликовать DS-записи (передать регистратору домена), в разделе Домены
— Доменные домена
выберите ваш домен и сверху нажмите «DNSSEC»
.

В разделе DS-записи будут перечислены данные, которые нужно передать регистратору. В некоторых случаях регистратор может требовать указать и DNSKEY-записи.

Каждая DS-запись в ISPmanager состоит из следующих полей:

Если вы регистрировали домен у нас, для передачи записей регистратору обратитесь в службу поддержки: создайте запрос в Личном кабинете — раздел Поддержка
— Запросы
— «Создать»
. В текст запроса скопируйте все DS-записи.
При использовании собственных серверов имён регистратору передаются DS-записи только основного домена — того, на базе которого работают ваши NS-ы. При создании и подписи дополнительных доменов их DS-записи передаются уже вашей зоне, и она отвечает за их валидацию.
Например, если домен, на котором настроены собственные серверы имён, и дополнительные домены размещены на одном сервере, DS-записи можно передать автоматически: откройте раздел Домены
— Доменные имена
, выберите подписанный домен и сверху нажмите «DNSSEC»
. Внизу нажмите «Передать DS-записи в родительскую зону»
:

Если же главный домен, на котором работают серверы имён, и дополнительные домены размещены на разных серверах, DS-записи дополнительных доменов потребуется создать в главном домене вручную. Это можно сделать в ISPmanager — раздел Домены
— Доменные имена
— выберите домен, сверху «Записи»
:

Откроется список записей главного домена. Для добавления записей нажмите «Создать»
:

Откроется окно настройки новой записи.
- в поле
«Имя»
введите имя домена, DS-запись которого хотите добавить; - в поле
«Тип»
выберите вариант«DS (дайджест ключа DNSSEC)»
; - остальные поля заполняются по содержимому добавляемой DS-записи.

Чтобы сохранить настройки, нажмите «Оk»
. На этом публикация DS-записи дополнительного домена завершена. Однако их обычно несколько для каждого домена, так что не расслабляйтесь :)
После успешной публикации DS-записей в родительской зоне и обновления кэша DNS статус домена в ISPmanager изменится:
