CDSレコードを使ってDSを登録する

IIJドメイン管理サービスでは、DSレコードを登録にするにあたって、サービスオンラインからの申請のほかに、CDS(Child DS)レコードを使った方法でも可能です。

サービスオンラインへのアクセス権限がなくても、お客様側DNSサーバにてCDSレコードの登録・更新・削除ができれば、DNSSEC運用に必要となるDSレコードの登録・更新・削除処理をおこなえます。

【参考】

CDSレコードの詳細につきましてはRFC8078をご覧ください。

なお、本サービスではCDNSKEYレコードは一切参照しません。ご注意ください。

DSレコードの登録と更新

DSレコードを登録できる準備ができましたら、ゾーンファイルにCDSレコードを追加し、DNSSEC署名をおこなってください。

CDSレコードはDSレコードと同じ形式、同じ内容で、レコードタイプのみCDSに変更したものになります。あるいは、BIND付属のdnssec-dsfromkeyコマンドを利用する場合、-Cオプションを付加することでも出力することができます。詳しくはDNSSEC運用に使われている製品のマニュアルをご覧ください。

本サービスがCDSレコードを検知すると、対応するDSレコードを自動でドメインレジストリに登録します。検知には数時間かかります。

【注意】

初回登録時はまだDNSSECが有効になっていないので、CDSレコードの正当性をDNSSECにより検証できません。そのため、時間をおいて複数回のチェックをおこない、連続して同じCDSレコードが検知された場合にかぎり正当なものと判断してDSレコードを登録します。

この動作を許容できない場合、または検知までのタイムラグを避けて即時登録したい場合は、CDSレコードを使わずサービスオンラインからDSレコードを登録していただくようお願いいたします。

DSレコードが登録されたことを確認したら、CDSレコードは削除してかまいません(登録したままでも差し支えありません)。

DSレコードの削除

ゾーンファイルに以下のCDSレコードを登録してください(example.com. はお客様のゾーン名に読み替えてください)。

example.com.  IN  CDS 0 0 0 00

該当のCDSレコードが検知されると、DSレコードの削除処理がおこなわれます。CDSレコードを削除してもDSレコードは削除されませんのでご注意ください。

DSレコードが削除されたことを確認したら、CDSレコードは削除してかまいません(登録したままでも差し支えありません)。

【注意】

DSレコード登録済みの場合、CDSレコードはDNSSEC検証して正当と判断されたものだけが有効になります。

つまり、DNSSECの検証がうまくいかない状態でDS削除用のCDSレコードを登録しても、CDSの検証ができないためDNSSECは無効化できません。この場合はCDSレコードを使わずサービスオンラインからDSレコードを削除していただくようお願いいたします。