Comment puis-je configurer le protocole DNSSEC pour un sous-domaine inscrit auprès de Route 53 ou d'un autre bureau d'enregistrement ?

Dernière mise à jour : 20/04/2021

Comment puis-je configurer le protocole DNSSEC (Domain Name System Security Extensions) pour un nom de domaine enregistré auprès d'Amazon Route 53 ou d'un autre bureau d'enregistrement ?

Brève description

Pour activer la signature DNSSEC de votre domaine, vous devez :

1.    Activer la signature DNSSEC et créer une clé de signature de clé (KSK)

2.    Établir une chaîne de confiance en inscrivant l'enregistrement DS (Delegation Signer) auprès de la zone hébergée parente dans Route 53

Important : si votre domaine est un domaine de premier niveau (TLD), consultez Comment activer DNSSEC sur mon domaine avec Route 53 et inscrire un enregistrement DS ?

Solution

Remarque : en cas d'erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente d'AWS CLI.

1.    Suivez les étapes pour activer la signature DNSSEC, puis créer une clé KSK.

2.    Vérifiez que l'état de votre zone hébergée parente est SIGNING (SIGNATURE).

3.    Suivez les étapes pour établir une chaîne de confiance.

Remarque : dans l'interface de ligne de commande AWS (AWS CLI), vous pouvez utiliser la commande get-dnssec pour obtenir l'enregistrement DS de votre zone hébergée parente. Exemple de sortie de la commande get-dnssec :

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    Pour inscrire l'enregistrement DS auprès de votre zone hébergée parente, procédez comme suit :

Ouvrez la console Route 53.
Dans le volet de navigation, sélectionnez Zones hébergées.
Sélectionnez le nom de votre zone hébergée parente.
Sélectionnez Créer un enregistrement.
Sous Stratégie de routage, sélectionnez Routage simple.
Dans le champ Type d'enregistrement, choisissez DS – Délégation Signer.
Pour Record name (Nom d'enregistrement), saisissez le nom du domaine ou du sous-domaine pour lequel vous souhaitez acheminer le trafic. La valeur par défaut est le nom de la zone hébergée.
Remarque : si vous créez un enregistrement qui a le même nom que la zone hébergée, laissez le champ Record name (Nom de l'enregistrement) vide.
Dans le champ value (valeur), spécifiez vos valeurs au format [identification de clé] [algorithme] [type de résumé] [résumé].
Dans le champ TTL, spécifiez 3 600 secondes.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?