如何在使用 Route 53 的網域上啟用 DNSSEC 並註冊 DS 記錄?

1 分的閱讀內容
0

我想在透過註冊商使用 Amazon Route 53 註冊的網域上啟用網域名稱系統安全延伸模組 (DNSSEC)。

解決方法

若要在使用 Route 53 註冊的網域上啟用 DNSSEC,請透過管理您網域名稱的註冊商註冊您的委派簽署者 (DS) 記錄。

**重要事項:**如果您的網域是次級網域 (SLD),請參閱如何為使用 Route 53 或其他註冊商註冊的子網域設定 DNSSEC?

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請確認您使用的是最新的 AWS CLI 版本

1.    確認您的父託管區域處於 SIGNING 狀態。

2.    在 AWS CLI 中,使用 get-dnssec 命令取得父託管區域的金鑰簽署金鑰 (KSK) 公開金鑰和 DS 記錄。get-dnssec 命令的輸出範例:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

完成以下步驟,將 KSK 公開金鑰和 DS 記錄註冊至您的父託管區域。

如果您的註冊商是 Route 53,請使用 Route 53 網域註冊 KSK 公開金鑰和 DS 記錄。

1.    開啟 Route 53 主控台

2.    在瀏覽窗格中,選擇已註冊的網域

3.    請遵循啟用 DNSSEC 簽署並建立信任鏈結的指示。

注意:

  • API:AddDnssec 僅透過 AWS 管理主控台支援。
  • 選擇金鑰類型: 257 - KSK
  • 選擇演算法: 13 - ECDSAP256SHA256

如果您的註冊商不是 Amazon Route 53,請透過您的註冊商註冊 KSK 公開金鑰和 DS 記錄。網域註冊商會將公開金鑰和演算法轉送至頂層網域 (TLD) 的登錄檔。請注意,DS 記錄是 KSK 公開金鑰的摘要。

相關資訊

使用 Amazon Route 53 設定 DNSSEC 簽署和驗證

疑難排解 DNSSEC 簽署

AWS 官方
AWS 官方已更新 1 年前