Comment puis-je configurer le protocole DNSSEC pour un sous-domaine inscrit auprès de Route 53 ou d'un autre bureau d'enregistrement ?

Date de la dernière mise à jour : 20/04/2021

Comment puis-je configurer le protocole DNSSEC pour un sous-domaine inscrit auprès d'Amazon Route 53 ou d'un autre bureau d'enregistrement ?

Brève description

Pour activer la signature DNSSEC de votre sous-domaine, vous devez :

1.    Activer la signature DNSSEC et créer une clé de signature de clé (KSK)

2.    Établir une chaîne de confiance en inscrivant l'enregistrement DS (Delegation Signer) auprès de la zone hébergée parente dans Route 53

Résolution

Remarque : en cas d'erreurs lors de l'exécution de commandes depuis l'interface de ligne de commande AWS (AWS CLI), vérifiez que vous utilisez la version la plus récente d'AWS CLI.

1.    Suivez les étapes pour activer la signature DNSSEC, puis créer une clé KSK.

2.    Vérifiez que l'état de votre zone hébergée parente est SIGNING (SIGNATURE).

3.    Suivez les étapes pour établir une chaîne de confiance.

Remarque : dans l'interface de ligne de commande AWS (AWS CLI), vous pouvez utiliser la commande get-dnssec pour obtenir l'enregistrement DS de votre zone hébergée parente. Exemple de sortie de la commande get-dnssec :

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    Pour inscrire l'enregistrement DS auprès de votre zone hébergée parente, procédez comme suit :

Ouvrez la console Route 53.
Dans le volet de navigation, sélectionnez Zones hébergées.
Sélectionnez le nom de votre zone hébergée parente.
Sélectionnez Créer un enregistrement.
Sous Stratégie de routage, sélectionnez Routage simple.
Dans le champ Type d'enregistrement, sélectionnez DS - Délégation Signer.
Dans le champ Nom de l'enregistrement,
Dans le champ Valeur, spécifiez vos valeurs au format [balise de clé] [algorithme] [type de résumé] [résumé].
Dans le champ TTL, spécifiez 3 600 secondes.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?