AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post

Route 53 のドメインで DNSSEC を有効にして DS レコードを登録する方法を教えてください。

所要時間1分
0

レジストラを通じて Amazon Route 53 に登録したドメインのドメインネームシステムセキュリティ拡張 (DNSSEC) を有効にしたいと考えています。

解決策

Route 53 に登録されているドメインで DNSSEC を有効にするには、ドメイン名を管理するレジストラを通じて委任署名者 (DS) レコードを登録します。

**重要:**ドメインがセカンドレベルドメイン (SLD) の場合は、Route 53 または他のレジストラに登録したサブドメインに DNSSEC を設定するにはどうすればよいですか? を参照してください。

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください

1.    親ホストゾーンが [SIGNING] ステータスになっていることを確認します。

2.    AWS CLI で [get-dnssec コマンド] を使用して、親ホストゾーンのキー署名キー (KSK) のパブリックキーと DS レコードを取得します。[get-dnssec] コマンドからの出力例は次のとおりです。

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

以下の手順を実行して、KSK 公開鍵と DS レコードを親ホストゾーンに登録します。

レジストラが Route 53 の場合は、KSK パブリックキーと DS レコードを Route 53 ドメインに登録します。

1.    Route 53 コンソールを開きます。

2.    ナビゲーションペインで、[登録済みドメイン] を選択します。

3.    「DNSSEC 署名を有効にして信頼チェーンを確立する」の指示に従ってください。

注:

  • API:AddDnssec は AWS マネジメントコンソールを通じてのみサポートされています。
  • キータイプを選択します。 257 - KSK
  • アルゴリズムを選択します。 13 - ECDSAP256SHA256

レジストラが Amazon Route 53 でない場合は、KSK パブリックキーと DS レコードをレジストラに登録します。ドメインレジストラは、公開鍵とアルゴリズムを最上位ドメイン (TLD) のレジストリに転送します。DS レコードは KSK 公開鍵のダイジェストであることに注意してください。

関連情報

アマゾンルート 53 による DNSSEC 署名と検証の設定

DNSSEC 署名のトラブルシューティング

トピック
ネットワークとコンテンツ配信
タグ
Amazon Route 53
言語
日本語

関連ビデオ

詳細については、Trevor のビデオをご覧ください (3:47)
詳細については、Trevor のビデオをご覧ください (3:47)
AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ