如何為我在 Route 53 或其他註冊商註冊的子網域設定 DNSSEC?

1 分的閱讀內容
0

我想要為我在 Amazon Route 53 或其他註冊商註冊的網域名稱設定網域名稱系統安全擴充 (DNSSEC)。

簡短說明

若要為您的網域開啟 DNSSEC 簽署功能,您必須先執行 DNSSEC 簽署,然後建立金鑰簽署金鑰 (KSK)。然後,在 Route 53 中的父託管區域註冊委派簽署者 (DS) 記錄,以建立信任鏈。

**重要事項:**對於頂級網域 (TLD),請參閱如何使用 Amazon Route 53 在我的網域上開啟 DNSSEC 並註冊 DS 記錄?

解決方法

**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確定您使用最新的 AWS CLI 版本

1.    遵循下列步驟開啟 DNSSEC 簽署,然後建立 KSK

2.    確認您的父託管區域處於簽署狀態。

3.    遵循下列步驟建立信任鏈

**注意:**在 AWS CLI 中,您可以使用 get-dnssec 命令取得父託管區域的 DS 記錄。get-dnssec 命令的輸出範例:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    完成下列步驟,將 DS 記錄註冊至您的父託管區域:

開啟 Route 53 主控台
在導覽窗格中,選擇託管區域
選取父託管區域的名稱。
選擇建立紀錄
針對路由政策,請選擇簡便路由
針對記錄類型,請選擇 DS - 委派簽署者
針對記錄名稱,請輸入您要路由流量之網域或子網域的名稱。預設值是託管區域的名稱。
針對,請指定從步驟 3 取得的 DS 記錄值。格式為 [key tag] [signing algorithm type] [digest algorithm type] [digest]
針對 TTL,請指定 3600 秒。

相關資訊

疑難排解 DNSSEC 簽署

AWS 官方
AWS 官方已更新 1 年前