Come posso configurare DNSSEC per il mio sottodominio registrato con Route 53 o un altro registrar?

2 minuti di lettura

Voglio configurare Domain Name System Security Extensions (DNSSEC) per il mio nome di dominio registrato presso Amazon Route 53 o un altro registrar.

Breve descrizione

Per attivare la firma DNSSEC per il tuo dominio, per prima cosa devi attivare la firma DNSSEC e creare una chiave di firma chiave (KSK). Quindi, stabilisci una catena di fiducia registrando il record Delegation Signer (DS) con la zona ospitata principale in Route 53.

Importante: per i domini di primo livello (TLD), consulta Come posso attivare DNSSEC sul mio dominio con Amazon Route 53 e registrare un record DS?

Soluzione

Nota: se visualizzi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

1. Segui i passaggi per attivare la firma DNSSEC e quindi creare un KSK.

2. Verifica che la tua zona ospitata padre sia nello stato FIRMA.

3. Segui i passaggi per stabilire una catena di fiducia.

Nota: nell'interfaccia della linea di comando di AWS, puoi utilizzare il comando get-dnssec per ottenere il record DS della tua zona ospitata padre. Esempio di output del comando get-dnssec:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4. Completa i seguenti passaggi per registrare il record DS nella tua zona ospitata padre:

Apri la console Route 53.
Nel riquadro di navigazione, scegli Zone ospitate.
Seleziona il nome della tua zona ospitata padre.
Scegli Crea report.
Per la policy di routing, scegli Routing semplice.
Per Tipo di record, scegli DS - Delegation Signer.
In Nome del record, inserisci il nome del dominio o del sottodominio per il quale vuoi indirizzare il traffico. Il valore predefinito è il nome della zona ospitata.
In Valore, specifica il valore DS Record ottenuto dal passaggio 3. Il formato è [key tag] [signing algorithm type] [digest algorithm type] [digest].
Per TTL, specifica 3600 secondi.

Informazioni correlate

Risoluzione dei problemi relativi alla firma DNSSEC

Argomenti

Networking e distribuzione di contenuti

Tag

Amazon Route 53

Lingua

Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Come posso creare un sottodominio per il mio dominio ospitato in Route 53?
AWS UFFICIALEAggiornata un anno fa
Come faccio a identificare e risolvere i problemi di configurazione DNSSEC in Route 53?
AWS UFFICIALEAggiornata un anno fa
Come attivare DNSSEC sul mio dominio con Route 53 e registrare un record DS?
AWS UFFICIALEAggiornata un anno fa
Come posso registrare un dominio in Route 53?
AWS UFFICIALEAggiornata un anno fa