Wie aktiviere ich DNSSEC auf meiner Domäne mit Route 53 und registriere eine DS-Akte?

Letzte Aktualisierung: 08.03.2022

Ich möchte Domain Name System Security Extensions (DNSSEC, Systemsicherheitserweiterungen für Domänennamen) für meine über einen Registrar bei Amazon Route 53 registrierte Domäne aktivieren.

Kurzbeschreibung

Um DNSSEC für Ihre bei Route 53 registrierte Domäne zu aktivieren, müssen Sie Ihre Delegation Signer (DS, Delegationssignaturgeber)-Akte über einen Registrar registrieren, der Ihren Domänennamen verwaltet.

Wichtig: Wenn es sich bei Ihrer Domäne um eine Second Level Domain (SLD, Domäne auf zweiter Ebene) handelt, lesen Sie Wie konfiguriere ich DNSSEC für meine bei Route 53 oder einem anderen Registrar registrierte Subdomäne?

Auflösung

Hinweis: Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

1.    Vergewissern Sie sich, dass Ihre übergeordnete gehostete Zone den Status SIGNING (WIRD SIGNIERT) hat.

2.    Verwenden Sie in der AWS CLI den Befehl get-dnssec, um den öffentlichen Schlüssel für die Schlüsselsignierungsschlüssel (KSKs) und die DS-Akte Ihrer übergeordneten gehosteten Zone abzurufen. Beispielausgabe des Befehls get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
            "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
        }
    ]
}

Führen Sie die folgenden Schritte aus, um den öffentlichen KSK-Schlüssel und die DS-Akte bei Ihrer übergeordneten gehosteten Zone zu registrieren.

Wenn Ihr Registrar Route 53 ist, registrieren Sie den öffentlichen KSK-Schlüssel und die DS-Akte bei Route-53-Domänen:

1.    Öffnen Sie die Route-53-Konsole.

2.    Wählen Sie im Navigationsbereich Registered domains (Registrierte Domänen) aus.

3.    Folgen Sie den Anweisungen zum Aktivieren der DNSSEC-Signatur und zum Aufbau einer Vertrauenskette.

Hinweis:

  • API:AddDnssec wird nur mit der AWS-Managementkonsole unterstützt
  • Schlüsseltyp auswählen: 257 – KSK
  • Algorithmus auswählen: 13 – ECDSAP256SHA256

Wenn Ihr Registrar nicht Route 53 ist, registrieren Sie den öffentlichen KSK-Schlüssel und die DS-Akte bei Ihrem Registrar. Der Domänen-Registrar leitet den öffentlichen Schlüssel und den Algorithmus an die Registrierung für die Top Level Domain (TLD, Domäne auf höchster Ebene) weiter. Beachten Sie, dass die DS-Akte ein Digest des öffentlichen KSK-Schlüssels ist.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?