如何在使用 Route 53 的域上启用 DNSSEC 并注册 DS 记录?

1 分钟阅读
0

我想为通过注册商向 Amazon Route 53 注册的域启用域名系统安全扩展 (DNSSEC)。

解决方法

要在向 Route 53 注册的域上启用 DNSSEC,请通过管理您域名的注册商注册您的委派签名者 (DS) 记录。

**重要事项:**如果您的域是二级域 (SLD),请参阅如何为向 Route 53 或其他注册商注册的子域配置 DNSSEC?

**注意:**如果在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请确保您使用的是最新的 AWS CLI 版本

1.    确认您的父托管区处于正在签名状态。

2.    在 AWS CLI 中,使用 get-dnssec 命令获取您的父托管区的密钥签名密钥 (KSK) 公钥和 DS 记录。get-dnssec 命令的输出示例:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

按照以下步骤向您的父托管区注册 KSK 公钥和 DS 记录。

如果您的注册商是 Route 53,请向 Route 53 域注册 KSK 公钥和 DS 记录。

1.    打开 Route 53 控制台

2.    在导航窗格中,选择已注册的域

3.    按照启用 DNSSEC 签名和建立信任链中的说明进行操作。

注意:

  • API:AddDnssec 只能通过 AWS 管理控制台获取支持。
  • 选择密钥类型: 257 - KSK
  • 选择算法: 13 - ECDSAP256SHA256

如果您的注册商不是 Amazon Route 53,请向您的注册商注册 KSK 公钥和 DS 记录。域注册商会将公钥和算法转发给顶级域 (TLD) 的注册机构。请注意,DS 记录是 KSK 公钥的摘要。

相关信息

使用 Amazon Route 53 配置 DNSSEC 签名和验证

解决 DNSSEC 签名问题

AWS 官方
AWS 官方已更新 1 年前