Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie konfiguriere ich DNSSEC für meine Subdomain, die bei Route 53 oder einem anderen Registrar registriert ist?

Lesedauer: 2 Minute
0

Ich möchte Domain Name System Security Extensions (DNSSEC) für meinen bei Amazon Route 53 oder einem anderen Registrar registrierten Domainnamen konfigurieren.

Kurzbeschreibung

Um die DNSSEC-Signatur für Ihre Domain zu aktivieren, müssen Sie: zuerst die DNSSEC-Signatur aktivieren und einen Key-Signing-Schlüssel (KSK) erstellen. Richten Sie dann eine Vertrauenskette ein, indem Sie den Delegation Signer (DS)-Eintrag bei der übergeordneten gehosteten Zone in Route 53 registrieren.

Wichtig: Informationen zu Top-Level-Domains (TLD) finden Sie unter Wie aktiviere ich DNSSEC auf meiner Domain mit Amazon Route 53 und wie registriere ich einen DS-Eintrag?

Lösung

Hinweis: Wenn Sie beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.

1.    Folgen Sie den Schritten, zum Aktivieren einer DNSSEC-Signatur und erstellen eines KSKs.

2.    Stellen Sie sicher, dass Ihre übergeordnete gehostete Zone den Status SIGNING (SIGNATUR) aufweist.

3.    Folgen Sie den Schritten, um eine Vertrauenskette aufzubauen.

Hinweis: In der AWS-CLI können Sie den Befehl get-dnssec verwenden, um den DS-Eintrag Ihrer übergeordneten gehosteten Zone abzurufen. Beispielausgabe des Befehls get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    Gehen Sie wie folgt vor, um den DS-Eintrag bei Ihrer übergeordneten gehosteten Zone zu registrieren:

Öffnen Sie die Route 53-Konsole.
Wählen Sie im Navigationsbereich Hosted Zones (Gehostete Zonen).
Wählen Sie den Namen Ihrer übergeordneten gehosteten Zone aus.
Wählen Sie Create record (Eintrag erstellen).
Wählen Sie als Routing policy (Routing-Richtlinie) die Option Simple routing (Einfaches Routing).
Wählen Sie als Record type (Eintragstyp) DS – Delegation Signer.
Geben Sie unter Record name (Eintragsname) des Datensatzes den Namen der Domain oder Subdomain ein, für die Sie Verkehr weiterleiten möchten. Der Standardwert ist der Name der gehosteten Zone.
Geben Sie für Value (Wert) den aus Schritt 3 erhaltenen DS-Eintragswert an. Das Format ist [key tag] [signing algorithm type] [digest algorithm type] [digest].
Geben Sie für TTL 3600 Sekunden an.

Ähnliche Informationen

Fehlerbehebung bei der DNSSEC-Signatur

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
Amazon Route 53
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt