レジストラを通じて Amazon Route 53 に登録したドメインのドメインネームシステムセキュリティ拡張 (DNSSEC) を有効にしたいと考えています。
解決策
Route 53 に登録されているドメインで DNSSEC を有効にするには、ドメイン名を管理するレジストラを通じて委任署名者 (DS) レコードを登録します。
**重要:**ドメインがセカンドレベルドメイン (SLD) の場合は、Route 53 または他のレジストラに登録したサブドメインに DNSSEC を設定するにはどうすればよいですか? を参照してください。
**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新バージョンの AWS CLI を使用していることを確認してください。
1. 親ホストゾーンが [SIGNING] ステータスになっていることを確認します。
2. AWS CLI で [get-dnssec コマンド] を使用して、親ホストゾーンのキー署名キー (KSK) のパブリックキーと DS レコードを取得します。[get-dnssec] コマンドからの出力例は次のとおりです。
$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
"Status": {
"ServeSignature": "SIGNING"
},
"KeySigningKeys": [
{
"Name": "forKnowledgeCenter",
"KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
"Flag": 257,
"SigningAlgorithmMnemonic": "ECDSAP256SHA256",
"SigningAlgorithmType": 13,
"DigestAlgorithmMnemonic": "SHA-256",
"DigestAlgorithmType": 2,
"KeyTag": 1101,
"DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
"PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
"DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
"DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
"Status": "ACTIVE",
"CreatedDate": "2020-12-21T13:11:47.974000+00:00",
"LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
}
]
}
以下の手順を実行して、KSK 公開鍵と DS レコードを親ホストゾーンに登録します。
レジストラが Route 53 の場合は、KSK パブリックキーと DS レコードを Route 53 ドメインに登録します。
1. Route 53 コンソールを開きます。
2. ナビゲーションペインで、[登録済みドメイン] を選択します。
3. 「DNSSEC 署名を有効にして信頼チェーンを確立する」の指示に従ってください。
注:
- API:AddDnssec は AWS マネジメントコンソールを通じてのみサポートされています。
- キータイプを選択します。 257 - KSK
- アルゴリズムを選択します。 13 - ECDSAP256SHA256
レジストラが Amazon Route 53 でない場合は、KSK パブリックキーと DS レコードをレジストラに登録します。ドメインレジストラは、公開鍵とアルゴリズムを最上位ドメイン (TLD) のレジストリに転送します。DS レコードは KSK 公開鍵のダイジェストであることに注意してください。
関連情報
アマゾンルート 53 による DNSSEC 署名と検証の設定
DNSSEC 署名のトラブルシューティング