Route 53 または別のレジストラで登録されたサブドメインの DNSSEC を設定するにはどうすればよいですか?

最終更新日: 2021 年 4 月 20 日

Amazon Route 53 または別のレジストラで登録したサブドメインについて、Domain Name System Security Extensions (DNSSEC) を設定するにはどうすればよいですか?

簡単な説明

サブドメインについて DNSSEC 署名を有効にするには、次の操作を行う必要があります。

1.    DNSSEC 署名を有効にし、キー署名キー (KSK) を作成する

2.    Route 53 の親ホストゾーンで Delegation Signer (DS) レコードを登録して、信頼の連鎖を確立する

解決方法

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用していることを確認してください

1.    手順に従って DNSSEC 署名を有効にし、KSK を作成します。

2.    親ホストゾーンが SIGNING ステータスであることを確認します。

3.    手順に従って、信頼の連鎖を確立します。

注: AWS CLI では、get-dnssec コマンドを使用して、親ホストゾーンの DS レコードを取得できます。get-dnssec コマンドの出力例:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    次の手順を実行して、親ホストゾーンで DS レコードを登録します。

Route 53 コンソールを開きます。
ナビゲーションペインで、[ Hosted zones] (ホストゾーン) をクリックします。
親ホストゾーンの名前を選択します。
[ Create record] (Create record) を選択します。
[ Routing policy] (ルーティングポリシー)で、[ Simple routing] (シンプルルーティング) を選択します。
[ Record type] (レコードタイプ) で、[ DS - Delegation Signer] を選択します。
[ Record name] (レコード名) で、
value には、 [key tag] [algorithm] [digest type] [digest] の形式で値を指定します。
[ TTL] で、 3600 秒を指定します。

この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?