如何使用 Route 53 在我的網域上啟用 DNSSEC 並註冊 DS 記錄?

上次更新日期:2022 年 3 月 8 日

我想為透過註冊商向 Amazon Route 53 註冊的網域啟用網域名稱系統安全延伸 (DNSSEC)。

簡短描述

若要在向 Route 53 註冊的網域上啟用 DNSSEC,您必須透過管理您的網域名稱的註冊商註冊您的委派簽署者 (DS) 記錄。

重要:如果您的網域是第二級網域 (SLD),請參閲如何為向 Route 53 或其他註冊商註冊的子網域設定 DNSSEC?

解決方案

注意:如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確保您使用的是最新的 AWS CLI 版本

1.    確認您的父託管區域處於 SIGNING (正在簽署) 狀態。

2.    在 AWS CLI 中,使用 get-dnssec 命令取得父託管區域的金鑰簽署金鑰 (KSK) 公有金鑰和 DS 記錄。get-dnssec 命令的示例輸出:

$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:11:47.974000+00:00",
            "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00"
        }
    ]
}

完成下列步驟,以向父託管區域註冊 KSK 公有金鑰和 DS 記錄。

如果您的註冊商是 Route 53,請向 Route 53 網域註冊 KSK 公有金鑰和 DS 記錄:

1.    開啟 Route 53 主控台

2.    在導覽窗格中,選擇 Registered domains (已註冊的網域)。

3.    遵循有關啟用 DNSSEC 簽署和建立信任鏈的説明操作。

注意:

  • 僅 AWS 管理主控台支援 API:AddDnssec
  • 選擇金鑰類型:257 – KSK
  • 選擇演算法:13 – ECDSAP256SHA256

如果您的註冊商不是 Route 53,則向註冊商註冊 KSK 公有金鑰和 DS 記錄。網域註冊商將公有金鑰和演算法轉送給頂層網域 (TLD) 的登錄檔。請注意,DS 記錄是 KSK 公有金鑰的摘要。


此文章是否有幫助?


您是否需要帳單或技術支援?