Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie aktiviere ich DNSSEC auf meiner Domain mit Route 53 und registriere einen DS-Datensatz?

Lesedauer: 2 Minute
0

Ich möchte Domain Name System Security Extensions (DNSSEC) für meine Domain aktivieren, die über einen Registrar bei Amazon Route 53 registriert wurde.

Behebung

Um DNSSEC auf Ihrer bei Route 53 registrierten Domain zu aktivieren, registrieren Sie Ihren Delegation Signer (DS)-Datensatz bei einem Registrar, der Ihren Domainnamen verwaltet.

**Wichtig:**Wenn es sich bei Ihrer Domain um eine Second-Level-Domain (SLD) handelt, finden Sie weitere Informationen unter Wie konfiguriere ich DNSSEC für meine bei Route 53 oder einem anderen Registrar registrierte Subdomain?

**Hinweis:**Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.

1.    Stellen Sie sicher, dass Ihre übergeordnete gehostete Zone den Status SIGNATURING aufweist.

2.    Verwenden Sie in der AWS CLI den Befehl get-dnssec, um den öffentlichen Schlüssel der Signierschlüssel und den DS-Datensatz Ihrer übergeordneten gehosteten Zone abzurufen. Beispielausgabe des Befehls get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

Gehen Sie wie folgt vor, um den öffentlichen KSK-Schlüssel und den DS-Datensatz bei Ihrer übergeordneten gehosteten Zone zu registrieren.

Wenn Ihr Registrar Route 53 ist, registrieren Sie den öffentlichen KSK-Schlüssel und den DS-Datensatz für Route 53-Domains.

1.    Öffnen Sie die Route 53-Konsole.

2.    Wählen Sie im Navigationsbereich die Option Registrierte Domains aus.

3.    Folgen Sie den Anweisungen zum Aktivieren der DNSSEC-Signatur und zum Aufbau einer Vertrauenskette.

Hinweis:

  • API:AddDnssec wird nur über die AWS-Managementkonsole unterstützt.
  • Wählen Sie den Schlüsseltyp: 257 - KSK
  • Wählen Sie den Algorithmus: 13 - ECDSAP256SHA256

Wenn Ihr Registrar nicht Amazon Route 53 ist, registrieren Sie den öffentlichen KSK-Schlüssel und den DS-Datensatz bei Ihrem Registrar. Der Domain-Registrar leitet den öffentlichen Schlüssel und den Algorithmus an die Registry für die Top-Level-Domain (TLD) weiter. Beachten Sie, dass der DS-Datensatz eine Zusammenfassung des öffentlichen KSK-Schlüssels ist.

Verwandte Informationen

Konfiguration der DNSSEC-Signatur und Validierung mit Amazon Route 53

Fehlerbehebung bei der DNSSEC-Signatur

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon Route 53
Sprache
Deutsch

Ähnliche Videos

Sehen Sie sich Trevors Video an, um mehr zu erfahren (3:47)
Sehen Sie sich Trevors Video an, um mehr zu erfahren (3:47)
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt