Como faço para ativar o DNSSEC em meu domínio com o Route 53 e registrar um registro DS?

3 minuto de leitura
0

Quero ativar as extensões de segurança do sistema de nomes de domínio (DNSSEC) para meu domínio registrado no Amazon Route 53 por meio de um registrador.

Resolução

Para ativar o DNSSEC em seu domínio registrado no Route 53, registre seu registro de Delegation Signer (DS) por meio de um registrador que gerencia seu nome de domínio.

Importante: se seu domínio for um domínio de segundo nível (SLD), consulte Como configuro o DNSSEC para meu subdomínio registrado no Route 53 ou em outro registrador?

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.

1.    Confirme se a zona hospedada pai está no status SIGNING (Assinatura).

2.    Na AWS CLI, use o comando get-dnssec para obter a chave pública de chaves de assinatura de chave (KSKs) e o registro DS da sua zona hospedada principal. Exemplo de saída do comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

Conclua as etapas a seguir para registrar a chave pública KSK e o registro DS na sua zona hospedada principal.

Se seu registrador for o Route 53, registre a chave pública KSK e o registro DS nos domínios do Route 53.

1.    Abra o console do Route 53.

2.    No painel de navegação, escolha Registered domains (Domínios registrados).

3.    Siga as instruções para Ativar a assinatura do DNSSEC e estabelecer uma cadeia de confiança.

Observação:

  • API:AddDnssec tem suporte somente por meio do Console de Gerenciamento da AWS.
  • Escolha o tipo de chave: 257 - KSK
  • Escolha o algoritmo: 13 - ECDSAP256SHA256

Se o seu registrador não for o Amazon Route 53, registre a chave pública KSK e o registro DS com seu registrador. O registrador de domínio encaminha a chave pública e o algoritmo para o registro do domínio de primeiro nível (TLD). Observe que o registro DS é um resumo da chave pública KSK.

Informações relacionadas

Configurar a assinatura e a validação do DNSSEC com o Amazon Route 53

Solução de problemas de assinatura do DNSSEC

AWS OFICIAL
AWS OFICIALAtualizada há um ano