Route 53 또는 다른 등록기관에 등록된 하위 도메인에 대해 DNSSEC를 구성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 4월 20일

Amazon Route 53 또는 다른 등록 기관에 등록된 내 도메인 이름에 대해 DNSSEC(도메인 이름 시스템 보안 확장)를 구성하려면 어떻게 해야 합니까?

간략한 설명

도메인에 대해 DNSSEC 서명을 활성화하려면 다음을 수행해야 합니다.

1.    DNSSEC 서명을 활성화하고 KSK(키 서명 키) 만들기

2.    Route 53의 상위 호스팅 영역에 DS(위임 서명자) 레코드를 등록하여 신뢰 체인 설정

중요: 도메인이 최상위 도메인(TLD)인 경우 Route 53을 사용하여 내 도메인에서 DNSSEC를 활성화하고 DS 레코드를 등록하려면 어떻게 해야 합니까?를 참조하십시오.

해결 방법

참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

1.    단계에 따라 DNSSEC 서명을 활성화한 다음 KSK를 만듭니다.

2.    상위 호스팅 영역이 서명 상태인지 확인합니다.

3.    신뢰 체인을 설정하는 단계를 따릅니다.

참고: AWS CLI에서 get-dnssec 명령을 사용하여 상위 호스팅 영역의 DS 레코드를 가져올 수 있습니다. get-dnssec 명령의 출력 예:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}

4.    상위 호스팅 영역에 DS 레코드를 등록하려면 다음을 수행하세요.

Route 53 콘솔을 엽니다.
탐색 창에서 호스팅 영역을 선택합니다.
상위 호스팅 영역의 이름을 선택합니다.
레코드 생성을 선택합니다.
라우팅 정책에 대해 단순 라우팅을 선택합니다.
레코드 유형에 대해 DS - 위임 서명자를 선택합니다.
레코드 이름에 트래픽을 라우팅할 도메인 또는 하위 도메인의 이름을 입력합니다. 기본값은 호스팅 영역의 이름입니다.
참고: 호스팅 영역과 이름이 같은 레코드를 생성하는 경우 레코드 이름 필드를 비워둡니다.
의 경우 [키 태그] [알고리즘] [다이제스트 유형] [다이제스트] 형식을 사용하여 값을 지정합니다.
TTL의 경우 3600초를 지정합니다.

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?