Como configurar o DNSSEC para meu subdomínio registrado no Route 53 ou em outro registrador?

2 minuto de leitura
0

Quero configurar as extensões de segurança do Sistema de Nomes de Domínio (DNSSEC) para meu nome de domínio registrado no Amazon Route 53 ou em outro registrador.

Breve descrição

Para ativar a assinatura DNSSEC em seu domínio, você deve: primeiro fazer a assinatura DNSSEC e criar uma chave de assinatura (KSK). Em seguida, estabeleça uma cadeia de confiança registrando o registro do Delegation Signer (DS) na zona hospedada pai no Route 53.

Importante: no caso de domínios nível superior (TLD), consulte Como ativar o DNSSEC em meu domínio com o Amazon Route 53 e registrar um registro DS?

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

1.Siga as etapas para ativar a assinatura DNSSEC e criar uma KSK.

2.Confirme se a zona hospedada pai está no status ASSINANDO.

3.Siga as etapas para estabelecer uma cadeia de confiança.

Observação: na AWS CLI, você pode usar o comando get-dnssec para obter o registro DS da sua zona hospedada pai. Exemplo de saída do comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.Conclua as etapas a seguir para registrar o registro DS com sua zona hospedada pai:

Abra o console do Route 53.
No painel de navegação, escolha Zonas hospedadas.
Selecione o nome da zona hospedada pai.
Escolha Criar registro.
Em Política de roteamento, escolha Roteamento simples.
Em Tipo de registro, escolha DS - Delegation Signer.
Em Nome do registro, insira o nome do domínio ou subdomínio para o qual você deseja direcionar o tráfego. O valor padrão é o nome da zona hospedada.
Em Valor, especifique o valor do Registro DS obtido na etapa 3. O formato é [key tag] [signing algorithm type] [digest algorithm type] [digest].
Em TTL, especifique 3600 segundos.

Informações relacionadas

Solução de problemas de assinatura do DNSSEC

AWS OFICIAL
AWS OFICIALAtualizada há um ano