為了避免 DK 網域在將其加入 CloudFlare 時出現離線時間,我已閱讀有關停用 DNSSEC 的內容:https://developers.cloudflare.com/dns/dnssec/
在哪裡 說:
如果您要將現有網域加入 Cloudflare,請確保您的註冊商(您購買網域的地方)已停用了 DNSSEC。否則,當您變更名稱伺服器時,您的網域將遇到連線錯誤。
但由於他們的措辭,我仍然不確定。
網域註冊商是https://punktum.dk(這也是 DK 網域的 TLD),它們有一個 DNSSEC 部分,您可以在其中建立、匯入和刪除 DNSSEC 金鑰。
DNS 託管在 dandomain.dk,他們的儀表板上有一個 DNSSEC 停用按鈕以及 DNS 區域。
因此,為了避免停機,我是否要先訪問 Punktum.dk 並刪除那裡的 DNSSEC 金鑰,然後等待 1-3 天,然後再將名稱伺服器更新到 CloudFlare?
或者是我轉到 Dandomain.dk(DNS 託管商)並在那裡禁用 DNSSEC,並等待 1-3 天,然後再將名稱伺服器更新到 CloudFlare?
或者我需要同時進行這兩項操作,如果需要的話,要按什麼順序進行?
謝謝 :-)
答案1
在 DNSSEC 中,較高層級的網域通知其子網域是否應該簽署。
如果您的網域在其父域表示不應簽名時進行了簽名,那是無害的;但是,如果家長說應該對網域進行簽名,但實際上沒有,那麼您的合法網域資料看起來就像是偽造的。
因此,從頂部開始:首先前往註冊商,然後刪除那裡的密鑰。
為了最大限度地減少以後可能出現的停機時間,您可能還希望將 NS、SOA 以及您期望在轉換時需要修改的任何其他 DNS 記錄的 TTL 值減少到大約 1 小時、15 分鐘甚至 5 分鐘,如果您的DNS 託管服務商允許。
一旦您可以確認(使用DNS視覺化或類似),指定網域金鑰的 DS 記錄已替換為 NSEC3 記錄,以指示 DNSSEC 選擇退出(並且任何 TTL 減少已生效),然後直到那時您可以從您的區域中刪除 DNSSEC 記錄(透過前往您目前的 DNS 託管商並按其「停用 DNSSEC」按鈕)。這應該會清除區域中剩餘的 DNSSEC 記錄,整理 DNS 資料以便於遷移。
遷移完成後,您可以再次增加 TTL 值,以更有效地快取網域記錄。