Comment configurer DNSSEC pour mon sous-domaine enregistré auprès de Route 53 ou d'un autre bureau d'enregistrement ?

Lecture de 3 minute(s)
0

Je souhaite configurer les extensions de sécurité du système de noms de domaine (DNSSEC) pour mon nom de domaine enregistré auprès d'Amazon Route 53 ou d'un autre bureau d'enregistrement.

Brève description

Pour activer la signature DNSSEC pour votre domaine, vous devez d'abord procéder à la signature DNSSEC et créer une clé de signature par clé (KSK). Établissez ensuite une chaîne de confiance en enregistrant l'enregistrement du signataire de délégation (DS) auprès de la zone hébergée parent dans Route 53.

Important : Pour les domaines de premier niveau (TLD), consultez l'article Comment activer le protocole DNSSEC sur mon domaine avec Amazon Route 53 et enregistrer un enregistrement DS ?

Résolution

Remarque : Si vous recevez des erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), assurez-vous que vous utilisez la version la plus récente de l'interface de la ligne de commande AWS.

1.    Suivez les étapes pour activer la signature DNSSEC, puis créez un KSK.

2.    Vérifiez que l'état SIGNATURE de votre zone hébergée parent est en cours.

3.    Suivez les étapes pour établir une chaîne de confiance.

Remarque : Dans l'AWS CLI, vous pouvez utiliser la commande get-dnssec pour obtenir l'enregistrement DS de votre zone hébergée parent. Exemple de sortie de la commande get-dnssec :

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    Procédez comme suit pour enregistrer l’enregistrement DS auprès de votre zone hébergée parent :

Ouvrez la console Route 53.
Dans le volet de navigation, choisissez Zones hébergées.
Sélectionnez le nom de votre zone hébergée parent.
Choisissez Créer un enregistrement.
Pour Politique de routage, choisissez Routage simple.
Pour Type d'enregistrement, choisissez DS - Delegation Signataire.
Dans Nom de l'enregistrement, entrez le nom du domaine ou du sous-domaine pour lequel vous souhaitez acheminer le trafic. La valeur par défaut est le nom de la zone hébergée.
Pour Valeur, spécifiez la valeur de l'enregistrement DS obtenue à l'étape 3. Le format est [key tag] [signing algorithm type] [digest algorithm type] [digest].
Pour TTL, spécifiez 3600 secondes.

Informations connexes

Résolution des problèmes liés à la signature DNSSEC

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 10 mois
Aucun commentaire