Come posso abilitare DNSSEC sul mio dominio con Route 53 e registrare un record DS?

2 minuti di lettura

Desidero abilitare Domain Name System Security Extensions (DNSSEC) per il dominio registrato su Amazon Route 53 tramite un registrar.

Breve descrizione

Per abilitare DNSSEC sul dominio registrato con Route 53, è necessario registrare il tuo record Delegation Signer (DS) tramite un registrar che gestisce il nome di dominio.

Importante: se il tuo dominio è di secondo livello (SLD), consulta Come posso configurare DNSSEC per il mio sottodominio registrato con Route 53 o un altro registrar?

Risoluzione

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi AWS Command Line Interface (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

1. Conferma che la tua zona ospitata padre sia nello stato SIGNING (FIRMA).

2. In AWS CLI, usa il comando get-dnssec per ottenere la chiave pubblica KSK (key signing key) e il record DS della tua zona ospitata padre. Output di esempio dal comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
            "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
        }
    ]
}

Completa i seguenti passaggi per registrare la chiave pubblica KSK e il record DS nella tua zona ospitata padre.

Se il tuo registrar è Route 53, registra la chiave pubblica KSK e il record DS con i domini Route 53:

1. Apri la console Route 53.

2. Nel pannello di navigazione, scegli Registered domains (Domini registrati).

3. Seguire le istruzioni per abilitare la firma DNSSEC e stabilire una catena di attendibilità.

Nota:

API:addDNSsec è supportata solo con la Console di gestione AWS
Scegli il tipo di chiave: 257 - KSK
Scegli l'algoritmo: 13 - ECDSAP256SHA256

Se il tuo registrar non è Route 53, registra allora la chiave pubblica KSK e il record DS con il registrar. Il registrar del dominio inoltra la chiave pubblica e l'algoritmo al registro per il dominio di primo livello (TLD). Nota che il record DS è un digest della chiave pubblica KSK.

Informazioni correlate

Risoluzione dei problemi relativi alla firma DNSSEC

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon Route 53

Lingua

Italiano

Video correlati

Guarda il video di Trevor per saperne di più (3:47)

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Perché non ho ricevuto un'e-mail di conferma del trasferimento del dominio o di autorizzazione da Route 53?
AWS UFFICIALEAggiornata 6 mesi fa
Come risolvere il nome di dominio con il suffisso «.local» per una zona ospitata privata di Route 53?
AWS UFFICIALEAggiornata 9 mesi fa
Come faccio a reindirizzare un dominio verso un altro in Route 53?
AWS UFFICIALEAggiornata 9 mesi fa
Come si trasferisce un dominio a Route 53?
AWS UFFICIALEAggiornata 7 mesi fa