¿Cómo puedo activar DNSSEC en mi dominio con Route 53 y registrar un registro DS?

3 minutos de lectura
0

Quiero activar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para mi dominio registrado en Amazon Route 53 a través de un registrador.

Resolución

Para activar DNSSEC en su dominio registrado en Route 53, registre su registro de Delegation Signer (DS) a través de un registrador que administre su nombre de dominio.

Importante: Si su dominio es un dominio de segundo nivel (SLD), consulte ¿Cómo configurar DNSSEC para mi subdominio registrado con Route 53 o con otro registrador?

Nota: Si recibe errores al ejecutar los comandos de la interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de usar la versión más reciente de AWS CLI.

1.    Confirma que la zona alojada principal tenga el estado SIGNING.

2.    En la CLI de AWS, use el comando get-dnssec command para obtener las claves de firma de claves (KSK), la clave pública y el registro DS de la zona alojada principal. Ejemplo de resultado del comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
  "Status": {
    "ServeSignature": "SIGNING"
  },
  "KeySigningKeys": [
    {
      "Name": "forKnowledgeCenter",
      "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
      "Flag": 257,
      "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
      "SigningAlgorithmType": 13,
      "DigestAlgorithmMnemonic": "SHA-256",
      "DigestAlgorithmType": 2,
      "KeyTag": 1101,
      "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
      "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
      "Status": "ACTIVE",
      "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
      "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
    }
  ]
}

Complete los siguientes pasos para registrar la clave pública de KSK y el registro DS en su zona alojada principal.

Si su registrador es Route 53, registre la clave pública de KSK y el registro DS en los dominios de Route 53.

1.    Abra la consola de Route 53.

2.    En el panel de navegación, seleccione Dominios registrados.

3.    Siga las instrucciones que se describen en Activar la firma de DNSSEC y establecer una cadena de confianza.

Nota:

  • API:AddDnssec solo se admite a través de la Consola de administración de AWS.
  • Elija el tipo de clave: 257 - KSK
  • Elija el algoritmo: 13 - ECDSAP256SHA256

Si su registrador no es Amazon Route 53, registre la clave pública de KSK y el registro DS en su registrador. El registrador de dominios reenvía la clave pública y el algoritmo al registro del dominio de nivel superior (TLD). Tenga en cuenta que el registro DS es un resumen de la clave pública de KSK.

Información relacionada

Configuración de la firma de DNSSEC y la validación con Amazon Route 53

Solucionar problemas de firma de DNSSEC

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un año