セットアップ

このページでは、RFC 8901 ↗で説明されているモデル2を使用して、CloudflareでマルチサイナーDNSSECを有効にする方法を説明します。

始める前に

注意点：

• このプロセスでは、他のDNSプロバイダーもマルチサイナーDNSSECをサポートしている必要があります。
• ダッシュボードを介していくつかのステップを完了できますが、現在のところ、全プロセスはAPIを使用してのみ完了できます。
• DNS > 設定 ↗でDNSSECとマルチサイナーDNSSECを有効にすることは、1. Cloudflareゾーンの設定の最初のステップを置き換えるだけです。このチュートリアルの残りの部分に従って設定を完了する必要があります。

1. Cloudflareゾーンの設定

ノート

次のステップは、CloudflareをセカンダリDNSプロバイダーとして使用する場合にも適用されますが、その場合、ステップ2と3のレコードはプライマリから転送され、ステップ4は必要ありません。

1. Edit DNSSEC Status endpointを使用して、DNSSECを有効にし、ゾーンのマルチサイナーDNSSECをアクティブにします。これは、statusをactiveに、dnssec_multi_signerをtrueに設定することで行います。以下の例のように。

curl --request PATCH \
"https://api.cloudflare.com/client/v4/zones/{zone_id}/dnssec" \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "status": "active",
  "dnssec_multi_signer": true
}'

2. 外部プロバイダーのZSKをCloudflareに追加するために、ゾーンにDNSKEYレコードを作成します。

curl "https://api.cloudflare.com/client/v4/zones/{zone_id}/dns_records" \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "type": "DNSKEY",
  "name": "<ZONE_NAME>",
  "data": {
    "flags": 256,
    "protocol": 3,
    "algorithm": 13,
    "public_key": "<PUBLIC_KEY>"
  },
  "ttl": 3600
}'

3. 外部プロバイダーのネームサーバーをゾーンのアペックスにNSレコードとして追加します。

curl "https://api.cloudflare.com/client/v4/zones/{zone_id}/dns_records" \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "type": "NS",
  "name": "<ZONE_NAME>",
  "content": "<NS_DOMAIN>",
  "ttl": 86400
}'

4. 前のステップで追加したネームサーバーの使用を有効にするために、以下のAPIリクエストを使用します。あるいは、DNS > 設定 ↗に移動し、マルチプロバイダーDNSを有効にします。

注意

このステップは、CloudflareをプライマリDNSプロバイダーとして使用している場合に必要です。この設定を有効にしないと、Cloudflareはゾーンアペックスで作成されたNSレコードを無視します。これは、ゾーンアペックスに対するDNSクエリの応答がCloudflareのネームサーバーのみを含むことを意味します。

CloudflareをセカンダリDNSプロバイダーとして使用している場合、このステップは必要ありません。

curl --request PATCH \
"https://api.cloudflare.com/client/v4/zones/{zone_id}/dns_settings" \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "multi_provider": true
}'

2. 外部プロバイダーの設定

1. APIまたは割り当てられたCloudflareネームサーバーのいずれかからCloudflareのZSKを取得します。

APIの例：

curl "https://api.cloudflare.com/client/v4/zones/{zone_id}/dnssec/zsk" \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>"

コマンドラインクエリの例：

dig <ZONE_NAME> dnskey @<CLOUDFLARE_NAMESERVER> +noall +answer | grep 256

2. 前のステップで取得したCloudflareのZSKを外部プロバイダーのDNSKEYレコードセットに追加します。
3. Cloudflareのネームサーバーを外部プロバイダーのNSレコードセットに追加します。

3. レジストラの設定

1. 各プロバイダーごとに1つのDSレコードをレジストラに追加します。CloudflareのDSレコードは、ダッシュボード ↗のDNS > 設定 > DSレコードで確認できます。

2. レジストラでのネームサーバー設定を更新し、マルチサイナーDNSSECセットアップに使用するすべてのプロバイダーのネームサーバーを含めます。