해결 방법

Route 53에 등록된 도메인에서 DNSSEC를 켜려면 도메인 이름을 관리하는 등록기관을 통해 위임 서명자(DS) 레코드를 등록합니다.

중요: 도메인이 두 번째 수준 도메인(SLD)인 경우 Route 53 또는 다른 등록기관에 등록된 하위 도메인에 대해 DNSSEC를 구성하려면 어떻게 해야 하나요?를 참조하세요.

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

1.    상위 호스팅 영역이 SIGNING 상태인지 확인합니다.

2.    AWS CLI에서 get-dnssec 명령을 사용하여 상위 호스팅 영역의 키 서명 키(KSK) 퍼블릭 키와 DS 레코드를 가져옵니다. get-dnssec 명령의 출력 예:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

다음 단계를 완료하여 상위 호스팅 영역에 KSK 퍼블릭 키와 DS 레코드를 등록합니다.

등록기관이 Route 53인 경우, Route 53 도메인에 KSK 퍼블릭 키와 DS 레코드를 등록하세요.

1.    Route 53 콘솔을 엽니다.

2.    탐색 창에서 Registered domains(등록된 도메인)를 선택합니다.

3.    DNSSEC 서명을 켜고 신뢰 체인을 설정하기 위한 지침을 따릅니다.

참고:

• API:AddDnssec은 AWS Management Console을 통해서만 지원됩니다.
• 키 유형 선택: 257 - KSK
• 알고리즘 선택: 13 - ECDSAP256SHA256

등록기관이 Amazon Route 53이 아닌 경우, 해당 등록기관에 KSK 퍼블릭 키와 DS 레코드를 등록하세요. 도메인 등록기관은 퍼블릭 키와 알고리즘을 최상위 도메인(TLD)의 레지스트리로 전달합니다. 참고로, DS 레코드는 KSK 퍼블릭 키의 다이제스트입니다.

관련 정보

Amazon Route 53을 사용한 DNSSEC 서명 및 검증 구성

DNSSEC 서명 문제 해결