¿Cómo habilito DNSSEC en mi dominio con Route 53 y registro un registro DS?

Última actualización: 08/03/2022

Quiero habilitar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para mi dominio registrado en Amazon Route 53 a través de un registrador.

Descripción corta

Para habilitar DNSSEC en su dominio registrado en Route 53, debe registrar su registro de firmante de delegación (DS) a través de un registrador que administre su nombre de dominio.

Importante: Si su dominio es un dominio de segundo nivel (SLD), consulte ¿Cómo configuro DNSSEC para mi subdominio registrado en Route 53 u otro registrador?

Resolución

Nota: Si se producen errores al ejecutar comandos de la AWS Command Line Interface (AWS CLI), asegúrese de que está utilizando la versión más reciente de la AWS CLI.

1.    Confirme que su zona alojada principal se encuentra en el estado SIGNING (Firma).

2.    En la CLI de AWS, utilice el comando get-dnssec para obtener la clave pública de claves de firma de claves (KSK) y el registro DS de la zona alojada principal. Resultado de ejemplo del comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
            "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
        }
    ]
}

Complete los siguientes pasos para registrar la clave pública KSK y el registro DS en su zona alojada principal.

Si su registrador es Route 53, registre la clave pública KSK y el registro DS con los dominios de Route 53:

1.    Abra la consola de Route 53.

2.    En el panel de navegación, elija Registered domains (Dominios registrados).

3.    Siga las instrucciones para Habilitar la firma de DNSSEC y establecer una cadena de confianza.

Nota:

  • API:AddDnssec solo es compatible con la consola de administración de AWS
  • Elija el tipo de clave: 257 - KSK
  • Elija el algoritmo: 13 - ECDSAP256SHA256

Si su registrador no es Route 53, registre la clave pública KSK y el registro DS con su registrador. El registrador de dominios reenvía la clave pública y el algoritmo al registro del dominio de nivel superior (TLD). Tenga en cuenta que el registro DS es un resumen de la clave pública KSK.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?