プライマリゾーンのDNSSECを有効化する

IBM® NS1 Connect® プラットフォームは、以下のDNSSEC機能をサポートしています:

  • NS1 Connect でホストされているプライマリゾーンでは、 NS1 Connect による DNSSECオンライン署名を有効にして、このゾーンへの着信クエリに対する応答を 認証することができる。 プラットフォームはDNSSEC署名鍵アルゴリズム13のみをサポートしていることに注意してください。
  • NS1 Connect でホストされるセカンダリゾーンについては、ゾーンがプライマリDNS プロバイダによって署名されている場合、DNSSECがサポートされる。
注意: 現時点では、 NS1 Connect 、ゾーン署名鍵(ZSK)および鍵署名鍵(KSK) を定期的にロールバックすることはない。 ECDSA P256 アルゴリズムを使用しており、現在および将来にわたって安全であると考えられている。 必要であれば、 IBM、 ZSKをトランスペアレントにロールすることができる。 しかし、DNSプロトコルではKSKの透過的なロールオーバーは許可されていないため、この点についてはサポート担当者と直接やりとりする必要があります。

プライマリゾーンでDNSSECを有効にするには、2段階のプロセスが必要です。 まず、 NS1 Connect ポータル内で、ゾーン設定でチェックボックスを選択し、[ 詳細な説明を表示 ]をクリックして、ドメインレジストラで適用するために必要な情報を表示して、DNSSECを有効にする必要があります。 DNSSEC対応ゾーンは、シールドアイコン付きでゾーンリストに表示されます。



2番目のステップは、 NS1 Connect によって提供されたDNSSECキーとダイジェスト情報を含むDSレコードを公開することによって、ドメインレジストラでDNSSEC委任を更新することです。 ゾーンがレジストラ内で確実に委任される(つまり、DSレコードが公開される)までは、DNSリゾルバはゾーンが署名されていることを期待しないため、DNSSEC関連のゾーン構成を変更してテストを行うことは安全です。

:サブデリゲーションでDNSSECを有効にする手順については、 このトピックを参照してください。

準備

ゾーンでDNSSECを有効にする前に、ドメインのレジストラが以下のサポートを行っていることを確認してください

  • そのドメインのDNSがサードパーティのネームサーバーでホストされている場合、レジストラがそのドメインのDNSSECをサポートしていることを確認してください。
  • トップレベルドメイン(TLD)がDNSSECをサポートしていることを確認してください。
  • レジストラがアルゴリズム13の署名を許可していることを確認してください。 DNSセキュリティアルゴリズムの詳細については、IANAウェブサイト上のこのトピックを参照してください。

手順

以下の手順では、プライマリゾーン(または非セカンダリゾーン)でDNSSECを有効にするためのプロセスを説明します。

ステップ1:以下がホストするゾーンでDNSSECを有効にする。 NS1 Connect
  1. DNS > Zonesをクリックします。
  2. DNSSECを有効にしたいプライマリゾーンのゾーンリストを検索し、ゾーン名をクリックして詳細を表示します。
  3. サブナビゲーションの 「ゾーン設定」タブをクリックします。
  4. ページの下部で 、「DNSSECを有効にする」 チェックボックスを選択します。
  5. 「変更を保存 」をクリックします。 DNSSECオプションの下に新しいボタンが表示されます。

  6. 「詳細な手順を表示」をクリックすると、このゾーンに関連するDNSSECキータグ、アルゴリズム、ダイジェストタイプ、ダイジェスト、フラグ、公開鍵が表示されます。

    次のステップでレジストラを更新する際に必要となるため、DNSSECの詳細を記録してください。 各オプションにカーソルを合わせ、クリックするとデータがクリップボードにコピーされることに注意してください。

DNSSECを有効にすると、ゾーン内にDNSKEYレコードが自動的に作成されます。



また 、「ゾーン」タブのゾーンの隣にシールドアイコンが表示され、DNSSECが有効になっていることを示します。



ステップ 2: ドメイン登録業者を更新する
注意 DSrecordをレジストラに提供する前に、DNSSECが有効化される前に、 すべてのリゾルバがそのゾーンのレコードを失効させるのに必要な時間、 DNSSECが有効化されていることを確認してください。 SOAレコードのminimum-TTL値は、必要な時間を秒単位で指定する( NS1 Connect APIのゾーンのnx_ttlを参照)。

DNSSECの設定を完了するには、レジストラにTLDのゾーン内にDSレコードを作成するために必要なDNSSEC情報を提供します。 前のステップで表示された 「詳細手順の表示」ダイアログボックスに示されたDNSSEC構成の詳細(キータグ、アルゴリズム、フラグ、ダイジェスト、ダイジェストタイプ、公開鍵など)を適用するには、ドメインレジストラから提供された指示を参照してください。

DSレコードはレジストラ(または親ゾーン)に公開され、委任の一部として応答に含まれます。 レコードには明確な有効期限はないが、期限切れとなる署名を関連付ける必要がある。 レコードは親ゾーンに存在するため、その署名は親ゾーンの運営者によって維持および更新されます。ほとんどの場合、TLDレジストリが運営を行います。

ステップ 3:構成の検証

アップデートが伝搬したら、公開DNSSEC認証ツールにドメイン名を入力して設定を検証します。 https://dnssec-debugger.verisignlabs.com。 設定が成功すると、エラーがないことを示す緑色のチェックマークの列が表示されます。

結果

DNSSECオンライン署名がゾーン上で有効化され、必要な情報がレジストラに渡されると、DNSSECをサポートするリゾルバは、 NS1 Connect ネームサーバーから返されたDNS応答を検証し始めます。 複数のDNSプロバイダーを持つ組織は、 NS1 Connect APIを使用して、複数の外部DNSSEC公開鍵を作成および管理できます。 これにより、参加ベンダー間でマルチ署名者DNSSECを設定することができます。 詳細については、 外部DNSSECキーの管理(APIのみ )を参照してください。

注意: 委任ゾーンにDSレコードが公開された後は、DNSSEC検証エラーの原因となる可能性があるため、ゾーンのDNSSECを無効にしないでください。