Route 53 を使用して、自分のドメインで DNSSEC を有効にし、DS レコードを登録するにはどうすればよいですか?

最終更新日: 2022 年 3 月 8 日

レジストラを通じて、Amazon Route 53 を使用して登録された自分のドメイン用に Domain Name System Security Extensions (DNSSEC) を有効にしたいと考えています。

簡単な説明

Route 53 を使用して登録されたドメインで DNSSEC を有効にするには、ドメイン名を管理するレジストラを通じて Delegation Signer (DS) レコードを登録する必要があります。

重要: ドメインがセカンドレベルドメイン (SLD) の場合は、「Route 53 または別のレジストラで登録されたサブドメインの DNSSEC を設定するにはどうすればよいですか?」を参照してください。

解決方法

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用していることを確認してください

1.    親ホストゾーンが [SIGNING] ステータスであることを確認します。

2.    AWS CLI で、get-dnssec コマンドを使用して、親ホストゾーンのキー署名キー (KSK) パブリックキーと DS レコードを取得します。get-dnssec コマンドの出力例:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
            "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
        }
    ]
}

KSK パブリックキーと DS レコードを親ホストゾーンに登録するには、次の手順を実行します。

レジストラが Route 53 の場合は、KSK パブリックキーと DS レコードを Route 53 ドメインに登録します。

1.    Route 53 コンソールを開きます。

2.    ナビゲーションペインで、[Registered domains] (登録済みドメイン) を選択します。

3.    「DNSSEC 署名を有効にし、信頼チェーンを確立します」の手順に従います。

注:

  • API:AddDnssec は AWS マネジメントコンソールでのみサポートされています
  • キータイプ: 257 - KSK を選択します
  • アルゴリズム: 13 - ECDSAP256SHA256 を選択します

レジストラが Route 53 でない場合は、KSK パブリックキーと DS レコードをレジストラに登録します。ドメインレジストラは、パブリックキーとアルゴリズムを最上位ドメイン (TLD) のレジストリに転送します。DS レコードは KSK パブリックキーのダイジェストであることに注意してください。

DNSSEC 署名のトラブルシューティング

この記事はお役に立ちましたか?

フィードバックを送信

請求に関するサポートまたは技術サポートが必要ですか?

AWS Support へのお問い合わせ