등록 기관을 통해 Amazon Route 53에 등록된 도메인에 대해 DNSSEC(Domain Name System Security Extensions)를 활성화하고 싶습니다.
간략한 설명
Route 53에 등록된 도메인에서 DNSSEC를 활성화하려면 해당 도메인 이름을 관리하는 등록 기관을 통해 DS(위임 서명자) 레코드를 등록해야 합니다.
중요: 도메인이 SLD(2단계 도메인)인 경우 Route 53 또는 다른 등록기관에 등록된 하위 도메인에 대해 DNSSEC를 구성하려면 어떻게 해야 합니까?를 참조하세요.
해결 방법
참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.
1. 상위 호스팅 영역이 서명(SIGNING) 상태인지 확인합니다.
2. AWS CLI에서 get-dnssec 명령을 사용하여 상위 호스팅 영역의 KSK(키 서명 키) 퍼블릭 키 및 DS 레코드를 가져옵니다. get-dnssec 명령의 출력 예:
$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
"Status": {
"ServeSignature": "SIGNING"
},
"KeySigningKeys": [
{
"Name": "forKnowledgeCenter",
"KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
"Flag": 257,
"SigningAlgorithmMnemonic": "ECDSAP256SHA256",
"SigningAlgorithmType": 13,
"DigestAlgorithmMnemonic": "SHA-256",
"DigestAlgorithmType": 2,
"KeyTag": 1101,
"DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
"PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
"DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
"DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
"Status": "ACTIVE",
"CreatedDate": "2020-12-21T13:11:47.974000+00:00",
"LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
}
]
}
다음 단계를 완료하여 KSK 퍼블릭 키 및 DS 레코드를 상위 호스팅 영역에 등록합니다.
등록 기관이 Route 53인 경우 Route 53 도메인에 KSK 퍼블릭 키 및 DS 레코드를 등록합니다.
1. Route 53 콘솔을 엽니다.
2. 탐색 창에서 **등록된 도메인(Registered domains)**을 선택합니다.
3. DNSSEC 서명 활성화 및 신뢰 체인 설정에 대한 지침을 따릅니다.
참고:
- API:AddDnssec는 AWS 관리 콘솔에서만 지원됩니다.
- 키 유형 257 - KSK를 선택합니다.
- 알고리즘 13 - ECDSAP256SHA256을 선택합니다.
등록 기관이 Route 53가 아닌 경우에는 해당 동록 기관에 KSK 퍼블릭 키 및 DS 레코드를 등록합니다. 도메인 등록 기관은 퍼블릭 키와 알고리즘을 TLD(최상위 도메인)의 레지스트리에 전달합니다. DS 레코드는 KSK 공개 키의 요약입니다.
관련 정보
DNSSEC 서명 문제 해결