Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come attivare DNSSEC sul mio dominio con Route 53 e registrare un record DS?

2 minuti di lettura
0

Voglio attivare DNSSEC (Domain Name System Security Extensions) per il mio dominio registrato con Amazon Route 53 tramite un registrar.

Risoluzione

Per attivare il DNSSEC sul tuo dominio registrato con Route 53, registra il tuo record Delegation Signer (DS) tramite un registrar che gestisce il tuo nome di dominio.

Importante: se il tuo è un dominio di secondo livello (SLD), consulta Come configurare DNSSEC per il mio sottodominio registrato con Route 53 o un altro registrar?

Nota: se riscontri degli errori durante l'esecuzione dei comandi dell’interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente dell'AWS CLI.

  1. Verifica che la tua zona ospitata padre sia in stato di FIRMA.

  2. Nell'AWS CLI, usa il comando get-dnssec per ottenere la chiave pubblica key-signature keys (KSK) e il record DS della tua zona ospitata padre. Esempio di output del comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

Completa i seguenti passaggi per registrare la chiave pubblica KSK e il record DS nella tua zona ospitata padre.

Se il tuo registrar è Route 53, registra la chiave pubblica KSK e il record DS con i domini Route 53.

  1. Apri la console Route 53.

  2. Nel riquadro di navigazione, scegli Domini registrati.

  3. Segui le istruzioni per attivare la firma DNSSEC e stabilire una catena di attendibilità.

Nota:

  • API:AddDNssec è supportato solo tramite la Console di gestione AWS.
  • Scegli il tipo di chiave: 257 - KSK
  • Scegli algoritmo: 13 - ECDSAP256SHA256

Se il tuo registrar non è Amazon Route 53, registra la chiave pubblica KSK e il record DS con il tuo registrar. Il registrar di domini inoltra la chiave pubblica e l'algoritmo al registro per il dominio di primo livello (TLD). Si noti che il record DS è un digest della chiave pubblica KSK.

Informazioni correlate

Configurazione della firma e della convalida DNSSEC con Amazon Route 53

Risoluzione dei problemi relativi alla firma DNSSEC

Argomenti
Networking e distribuzione di contenuti
Tag
Amazon Route 53
Lingua
Italiano

Video correlati

Guarda il video di Trevor per saperne di più (3:47)
Guarda il video di Trevor per saperne di più (3:47)
AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente