如何为向 Route 53 或其他注册商注册的子域配置 DNSSEC?

1 分钟阅读
0

我想为向 Amazon Route 53 或其他注册商注册的域名配置域名系统安全扩展(DNSSEC)。

简短描述

要为您的域启用 DNSSEC 签名,您必须:首先启用 DNSSEC 签名并创建密钥签名密钥(KSK)。然后,通过将委派签名者(DS)记录注册到 Route 53 的父托管区来建立信任链。

**重要事项:**如果您使用的是顶级域(TLD),请参阅如何在使用 Route 53 的域上启用 DNSSEC 并注册 DS 记录?

解决方法

**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您使用的是最新的 Amazon CLI 版本

1.    按照步骤启用 DNSSEC 签名,然后创建 KSK

2.    确认您的父托管区处于正在签名状态。

3.    按照步骤建立信任链

**注意:**在 AWS CLI 中,您可以使用 get-dnssec 命令获取父托管区的 DS 记录。get-dnssec 命令的输出示例:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    按照以下步骤将 DS 记录注册到您的父托管区域:

打开 Route 53 控制台
在导航窗格中,选择托管区
选择父托管区的名称。
选择创建记录
对于路由策略,选择简单路由
对于记录类型,选择 DS - 委托签名者
对于记录名称,输入要为流量路由的域或子域的名称。默认值为托管区的名称。
对于,指定从步骤 3 获得的 DS 记录值。格式为 [密钥标签] [签名算法类型] [摘要算法类型] [摘要]
对于 TTL,指定 3600 秒。

相关信息

解决 DNSSEC 签名问题

AWS 官方
AWS 官方已更新 10 个月前