跳到主要内容
版本:域名注册

DNSSEC 配置

操作场景

域名系统安全扩展(DNS Security Extensions,简称DNSSEC)是一套DNS安全认证机制,通过数字签名技术来验证DNS响应的真实性和完整性,防止DNS缓存污染、DNS劫持等安全威胁。

作为域名注册商,宝塔支持为您的域名添加DS(Delegation Signer)记录,配合DNS服务商的DNSSEC签名功能,为您的域名提供更高级别的安全保护。

重要说明
  • 宝塔作为域名注册商,只能添加DS记录到域名的注册信息中
  • 实际的DNSSEC签名需要由DNS服务商(如CloudFlare、阿里云DNS等)提供
  • 配置DNSSEC需要DNS服务商和注册商双方配合完成

前提条件

  • 域名已在宝塔完成注册或已转入宝塔管理
  • DNS服务商支持DNSSEC签名功能
  • 已从DNS服务商获取DS记录信息

DNSSEC工作原理

DNSSEC通过以下机制确保DNS安全:

配置步骤

步骤1:在DNS服务商启用DNSSEC

  1. 登录您的DNS服务商管理控制台
  2. 找到DNSSEC配置选项
  3. 启用DNSSEC签名功能
  4. 等待DNS服务商生成DNSKEY和DS记录
提示

不同DNS服务商的DNSSEC配置界面可能有所不同,请参考各服务商的具体文档:

  • CloudFlare:在"DNS"选项卡中找到"DNSSEC"
  • 阿里云DNS:在"安全设置"中找到"DNSSEC"
  • 腾讯云DNS:在"域名解析"中找到"DNSSEC"

步骤2:获取DS记录信息

从DNS服务商获取以下DS记录信息:

  • Key Tag:密钥标签
  • Algorithm:加密算法(通常为7或8)
  • Digest Type:摘要类型(通常为1或2)
  • Digest:摘要值

示例DS记录:

2371 13 2 9388FDC839A35EA747E37A2B8A9D76BE2E56D0275F1A01F000148A916167B45B

步骤3:在堡塔域名管理控制台添加 DS 记录

  1. 登录堡塔域名管理控制台

  2. 进入“域名列表”页面,找到需要配置DNSSEC的域名

  3. 选择“管理”进入域名详情 域名列表页面

  4. 切换到域名安全选项卡,点击 管理 DNSSEC DNSSEC 配置页面

  5. 点击“添加DS记录” 添加DS记录

    说明
    • 如果您域名之前在其他注册商配置过DNSSEC,可点击“同步DS记录”尝试获取现有DS记录

  6. 填写从DNS服务商获取的DS记录信息:

    • Key Tag:密钥标签(数字)
    • Algorithm:加密算法
    • Digest Type:摘要类型
    • Digest:摘要值(十六进制字符串) 填写DS记录信息
    算法和摘要类型说明

    Algorithm(算法)支持的值:

    • 5:RSASHA1

    • 7:RSASHA1-NSEC3-SHA1

    • 8:RSASHA256

    • 10:RSASHA512

    • 12:ECC-GOST

    • 13:ECDSAP256SHA256

    • 14:ECDSAP384SHA384

    • 15:ED25519

    • 16:ED448

    Digest Type(摘要类型)支持的值:

    • 1:SHA1
    • 2:SHA256
    • 3:GOST
    • 4:SHA384

  7. 保存配置并确认无误 DS记录添加成功

步骤4:验证DNSSEC配置

配置完成后,需要等待DNS传播(通常需要24-48小时),然后可以通过以下方式验证:

使用在线工具验证

使用命令行工具验证

# 查询DS记录
dig DS example.com

# 使用dnssec-validate验证
dig +dnssec example.com

预期输出:

root@VM-8-5-debian:~# dig DS dnstest.icu @8.8.8.8

; <<>> DiG 9.20.11-4-Debian <<>> DS dnstest.icu @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63846
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dnstest.icu.                   IN      DS

;; ANSWER SECTION:
dnstest.icu.            3600    IN      DS      2371 13 2 9388FDC839A35EA747E37A2B8A9D76BE2E56D0275F1A01F000148A91 6167B45B

;; Query time: 7 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Sat Sep 13 11:18:59 CST 2025
;; MSG SIZE  rcvd: 88

验证结果说明

  • 成功:显示验证通过,DNSSEC配置正确
  • 失败:显示错误信息,需要检查配置

常见问题

Q:配置DNSSEC后网站无法访问怎么办?

A:可能的原因和解决方案:

  1. DS记录配置错误:检查Key Tag、Algorithm、Digest Type和Digest是否正确
  2. DNS传播未完成:等待24-48小时让DNS记录全球传播
  3. DNS服务商配置问题:联系DNS服务商确认DNSSEC签名是否正常

Q:如何删除DNSSEC配置?

A:删除步骤:

  1. 登陆堡塔域名管理控制台,进入域名详情-域名安全-管理 DNSSEC 页面
  2. 删除已添加的DS记录
  3. 在DNS服务商处关闭DNSSEC签名
  4. 等待DNS传播完成

Q:更换DNS服务商后需要重新配置DNSSEC吗?

A:是的,更换DNS服务商后需要:

  1. 在新DNS服务商启用DNSSEC
  2. 获取新的DS记录信息
  3. 联系宝塔客服更新DS记录

相关文档

注意
  • DNSSEC配置错误可能导致域名解析失败,请在配置前充分了解相关知识
  • 如有疑问,请联系宝塔技术支持或DNS服务商获取帮助