Route 53 または他のレジストラに登録したサブドメインに DNSSEC を設定する方法を教えてください。

所要時間1分
0

Amazon Route 53 または他のレジストラに登録したドメイン名にドメインネームシステムセキュリティ拡張 (DNSSEC) を設定したいと考えています。

簡単な説明

ドメインの DNSSEC 署名を有効にするには、まず DNSSEC 署名を行い、キー署名キー (KSK) を作成する必要があります。次に、委任署名者 (DS) レコードを Route 53 の親ホストゾーンに登録して、信頼チェーンを確立します。

**重要:**トップレベルドメイン (TLD) については、「Amazon Route 53 でドメインの DNSSEC を有効にして DS レコードを登録する方法を教えてください」を参照してください。

解決策

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用しているかどうかを確認してください

1.    手順に従って DNSSEC 署名を有効にし、KSK を作成します

2.    親ホストゾーンが [SIGNING] ステータスになっていることを確認します。

3.    手順に従って信頼のチェーンを確立します

注: AWS CLI では、get-dnssec コマンドを使用して親ホストゾーンの DS レコードを取得できます。get-dnssec コマンドからの出力例は次のとおりです。

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    以下の手順を実行して、DS レコードを親ホストゾーンに登録します。

Route 53 コンソールを開きます。
ナビゲーションペインで [ホストゾーン] を選択します。
親ホストゾーンの名前を選択します。
[レコードを作成] を選択します。
[ルーティングポリシー] で、[シンプルルーティング] を選択します。
[レコードタイプ] で、[DS]-[委任署名者] を選択します。
[レコード名] に、トラフィックをルーティングするドメインまたはサブドメインの名前を入力します。デフォルト値は、ホストゾーンの名前です。
[値] には、手順 3 で取得した DS レコード値を指定します。形式は [key tag] [signing algorithm type] [digest algorithm type] [digest] です。
TTL には 3600 秒を指定します。

関連情報

DNSSEC 署名のトラブルシューティング

AWS公式
AWS公式更新しました 1年前