Route 53 또는 다른 등록기관에 등록된 하위 도메인에 대해 DNSSEC를 구성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 4월 20일

Amazon Route 53 또는 다른 등록기관에 등록된 내 하위 도메인에 대해 DNSSEC(도메인 이름 시스템 보안 확장)를 구성하려면 어떻게 해야 합니까?

간략한 설명

하위 도메인에 대해 DNSSEC 서명을 활성화하려면 다음을 수행해야 합니다.

1.    DNSSEC 서명을 활성화하고 KSK(키 서명 키) 만들기

2.    Route 53의 상위 호스팅 영역에 DS(위임 서명자) 레코드를 등록하여 신뢰 체인 설정

해결 방법

참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

1.    단계에 따라 DNSSEC 서명을 활성화한 다음 KSK를 만듭니다.

2.    상위 호스팅 영역이 서명 상태인지 확인합니다.

3.    신뢰 체인을 설정하는 단계를 따릅니다.

참고: AWS CLI에서 get-dnssec 명령을 사용하여 상위 호스팅 영역의 DS 레코드를 가져올 수 있습니다. get-dnssec 명령의 출력 예:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    상위 호스팅 영역에 DS 레코드를 등록하려면 다음을 수행하세요.

Route 53 콘솔을 엽니다.
탐색 창에서 호스팅 영역을 선택합니다.
상위 호스팅 영역의 이름을 선택합니다.
레코드 생성을 선택합니다.
라우팅 정책에 대해 단순 라우팅을 선택합니다.
레코드 유형에 대해 DS - 위임 서명자를 선택합니다.
레코드 이름의 경우
값의 경우 [키 태그] [알고리즘] [다이제스트 유형] [다이제스트] 형식을 사용하여 값을 지정합니다.
TTL의 경우 3600초를 지정합니다.

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?