Résolution

Pour activer le protocole DNSSEC sur votre domaine enregistré auprès de Route 53, enregistrez votre enregistrement de délégation de signataire (DS) auprès d'un bureau d'enregistrement qui gère votre nom de domaine.

Important : Si votre domaine est un domaine de second niveau (SLD), consultez Comment configurer DNSSEC pour mon sous-domaine enregistré auprès de Route 53 ou d'un autre bureau d'enregistrement ?

Remarque : Si vous recevez des erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), assurez-vous que vous utilisez la version la plus récente de l'interface de ligne de commande AWS.

1. Vérifiez que l'état SIGNING de votre zone hébergée parent est en cours.

2. Dans l'interface de ligne de commande AWS, utilisez la commande get-dnssec pour obtenir la clé publique des clés de signature (KSK) et l'enregistrement DS de votre zone hébergée parent. Exemple de sortie de la commande get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

Procédez comme suit pour enregistrer la clé publique KSK et l'enregistrement DS auprès de votre zone hébergée parent.

Si votre bureau d'enregistrement est Route 53, enregistrez la clé publique KSK et l'enregistrement DS auprès des domaines Route 53.

1. Ouvrez la console Route 53.

2. Dans le volet de navigation, choisissez Domaines enregistrés.

3. Suivez les instructions pour Activer la signature DNSSEC et établir une chaîne de confiance.

**Remarque : **

• API:AddDNSSec est uniquement pris en charge via la console de gestion AWS.
• Choisissez le type de clé : 257 - KG
• Choisissez l'algorithme : 13 - ECDSAP256SHA256

Si votre bureau d'enregistrement n'est pas Amazon Route 53, enregistrez la clé publique KSK et l'enregistrement DS auprès de votre bureau d'enregistrement. Le bureau d'enregistrement de domaines transmet la clé publique et l'algorithme au registre du domaine de premier niveau (TLD). Notez que l'enregistrement DS est un condensé de la clé publique KSK.

Informations connexes

Configuration de la signature et de la validation DNSSEC avec Amazon Route 53

Résolution des problèmes liés à la signature DNSSEC