Серверы имён FirstVDS пока не поддерживают DNSSEC. Чтобы использовать эту опцию, нужно организовать собственные серверы имён — через панель управления ISPmanager или установив и настроив DNS-сервер вручную. Например, с помощью Bind с версии 9.9.
Для подключения DNSSEC в первую очередь нужно сгенерировать DS-записи — цифровые подписи данных вашего домена. Рассмотрим генерацию через интерфейс панели ISPmanager. Предположим, что у вас уже настроены собственные серверы имён.
Подключение DNSSEC в ISPmanager
Чтобы начать работать с DNSSEC, нужно включить его в настройках панели. Для этого откройте ISPmanager, перейдите в раздел Домены — Доменные имена и сверху нажмите «Настройки».
В конце открывшегося списка параметров отметьте пункт «Поддержка DNSSEC» и нажмите «Ok».
Если после подключения поддержки DNSSEC вернуться в раздел Домены — Доменные имена и снова нажать «Настройки», в конце списка параметров вы увидите новые поля:
С их помощью можно задать ряд настроек для DNSSEC:
- алгоритм хэширования ключей. Чем современнее алгоритм, тем сложнее его взломать — и тем надёжнее защищён ваш ключ. Но тем больше времени и вычислительных ресурсов процессора требуется на обработку.
- длина ключа — чем больше, тем сложнее подобрать ваш ключ. С длиной ключа увеличивается файл зоны и нагрузка на сервер при подписи новых доменов.
- период обновления ключа — определяет срок действия ключей.
После активации DNSSEC можно можно подписывать домены с помощью электронной подписи. Эта опция доступна в разделе Домены — Доменные имена — выберите ваш домен в списке, на панели инструментов нажмите «Изменить». В настройках отметьте пункт «Подписать домен» и нажмите «Ок» для сохранения параметров.
В течение пары минут в панели появится уведомление о неопубликованных DS-записях. Чтобы его увидеть, обновите страницу.
Чтобы опубликовать DS-записи (передать регистратору домена), в разделе Домены — Доменные домена выберите ваш домен и сверху нажмите «DNSSEC».
В разделе DS-записи будут перечислены данные, которые нужно передать регистратору. В некоторых случаях регистратор может требовать указать и DNSKEY-записи.
Каждая DS-запись в ISPmanager состоит из следующих полей:
Если вы регистрировали домен у нас, для передачи записей регистратору обратитесь в службу поддержки: создайте запрос в Личном кабинете — раздел Поддержка — Запросы — «Создать». В текст запроса скопируйте все DS-записи.
При использовании собственных серверов имён регистратору передаются DS-записи только основного домена — того, на базе которого работают ваши NS-ы. При создании и подписи дополнительных доменов их DS-записи передаются уже вашей зоне, и она отвечает за их валидацию.
Например, если домен, на котором настроены собственные серверы имён, и дополнительные домены размещены на одном сервере, DS-записи можно передать автоматически: откройте раздел Домены — Доменные имена, выберите подписанный домен и сверху нажмите «DNSSEC». Внизу нажмите «Передать DS-записи в родительскую зону»:
Если же главный домен, на котором работают серверы имён, и дополнительные домены размещены на разных серверах, DS-записи дополнительных доменов потребуется создать в главном домене вручную. Это можно сделать в ISPmanager — раздел Домены — Доменные имена — выберите домен, сверху «Записи»:
Откроется список записей главного домена. Для добавления записей нажмите «Создать»:
Откроется окно настройки новой записи.
- в поле
«Имя»введите имя домена, DS-запись которого хотите добавить; - в поле
«Тип»выберите вариант«DS (дайджест ключа DNSSEC)»; - остальные поля заполняются по содержимому добавляемой DS-записи.
Чтобы сохранить настройки, нажмите «Оk». На этом публикация DS-записи дополнительного домена завершена. Однако их обычно несколько для каждого домена, так что не расслабляйтесь :)
После успешной публикации DS-записей в родительской зоне и обновления кэша DNS статус домена в ISPmanager изменится:
