如何在使用 Route 53 的網域上啟用 DNSSEC 並註冊 DS 記錄?

1 分的閱讀內容
0

我想在透過註冊商使用 Amazon Route 53 註冊的網域上啟用網域名稱系統安全延伸模組 (DNSSEC)。

解決方法

若要在使用 Route 53 註冊的網域上啟用 DNSSEC,請透過管理您網域名稱的註冊商註冊您的委派簽署者 (DS) 記錄。

**重要事項:**如果您的網域是次級網域 (SLD),請參閱如何為使用 Route 53 或其他註冊商註冊的子網域設定 DNSSEC?

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請確認您使用的是最新的 AWS CLI 版本

1.    確認您的父託管區域處於 SIGNING 狀態。

2.    在 AWS CLI 中,使用 get-dnssec 命令取得父託管區域的金鑰簽署金鑰 (KSK) 公開金鑰和 DS 記錄。get-dnssec 命令的輸出範例:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

完成以下步驟,將 KSK 公開金鑰和 DS 記錄註冊至您的父託管區域。

如果您的註冊商是 Route 53,請使用 Route 53 網域註冊 KSK 公開金鑰和 DS 記錄。

1.    開啟 Route 53 主控台

2.    在瀏覽窗格中,選擇已註冊的網域

3.    請遵循啟用 DNSSEC 簽署並建立信任鏈結的指示。

注意:

  • API:AddDnssec 僅透過 AWS 管理主控台支援。
  • 選擇金鑰類型: 257 - KSK
  • 選擇演算法: 13 - ECDSAP256SHA256

如果您的註冊商不是 Amazon Route 53,請透過您的註冊商註冊 KSK 公開金鑰和 DS 記錄。網域註冊商會將公開金鑰和演算法轉送至頂層網域 (TLD) 的登錄檔。請注意,DS 記錄是 KSK 公開金鑰的摘要。

相關資訊

使用 Amazon Route 53 設定 DNSSEC 簽署和驗證

疑難排解 DNSSEC 簽署

AWS 官方
AWS 官方已更新 10 個月前