Wie aktiviere ich DNSSEC auf meiner Domain mit Route 53 und registriere einen DS-Datensatz?
Ich möchte Domain Name System Security Extensions (DNSSEC) für meine Domain aktivieren, die über einen Registrar bei Amazon Route 53 registriert wurde.
Behebung
Um DNSSEC auf Ihrer bei Route 53 registrierten Domain zu aktivieren, registrieren Sie Ihren Delegation Signer (DS)-Datensatz bei einem Registrar, der Ihren Domainnamen verwaltet.
**Wichtig:**Wenn es sich bei Ihrer Domain um eine Second-Level-Domain (SLD) handelt, finden Sie weitere Informationen unter Wie konfiguriere ich DNSSEC für meine bei Route 53 oder einem anderen Registrar registrierte Subdomain?
**Hinweis:**Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.
1. Stellen Sie sicher, dass Ihre übergeordnete gehostete Zone den Status SIGNATURING aufweist.
2. Verwenden Sie in der AWS CLI den Befehl get-dnssec, um den öffentlichen Schlüssel der Signierschlüssel und den DS-Datensatz Ihrer übergeordneten gehosteten Zone abzurufen. Beispielausgabe des Befehls get-dnssec:
$ aws route53 get-dnssec --hosted-zone-id Zxxxxxxxxxxxxxxxxxxxx { "Status": { "ServeSignature": "SIGNING" }, "KeySigningKeys": [ { "Name": "forKnowledgeCenter", "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9", "Flag": 257, "SigningAlgorithmMnemonic": "ECDSAP256SHA256", "SigningAlgorithmType": 13, "DigestAlgorithmMnemonic": "SHA-256", "DigestAlgorithmType": 2, "KeyTag": 1101, "DigestValue": "000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F", "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==", "DSRecord": "1101 13 2 000E2A1C338464CD62AB72843612660CEF8E1FB2F221555DB4E31F1FBD14DD5F", "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==", "Status": "ACTIVE", "CreatedDate": "2020-12-21T13:11:47.974000+00:00", "LastModifiedDate": "2020-12-21T13:11:47.974000+00:00" } ] }
Gehen Sie wie folgt vor, um den öffentlichen KSK-Schlüssel und den DS-Datensatz bei Ihrer übergeordneten gehosteten Zone zu registrieren.
Wenn Ihr Registrar Route 53 ist, registrieren Sie den öffentlichen KSK-Schlüssel und den DS-Datensatz für Route 53-Domains.
1. Öffnen Sie die Route 53-Konsole.
2. Wählen Sie im Navigationsbereich die Option Registrierte Domains aus.
3. Folgen Sie den Anweisungen zum Aktivieren der DNSSEC-Signatur und zum Aufbau einer Vertrauenskette.
Hinweis:
- API:AddDnssec wird nur über die AWS-Managementkonsole unterstützt.
- Wählen Sie den Schlüsseltyp: 257 - KSK
- Wählen Sie den Algorithmus: 13 - ECDSAP256SHA256
Wenn Ihr Registrar nicht Amazon Route 53 ist, registrieren Sie den öffentlichen KSK-Schlüssel und den DS-Datensatz bei Ihrem Registrar. Der Domain-Registrar leitet den öffentlichen Schlüssel und den Algorithmus an die Registry für die Top-Level-Domain (TLD) weiter. Beachten Sie, dass der DS-Datensatz eine Zusammenfassung des öffentlichen KSK-Schlüssels ist.
Verwandte Informationen
Konfiguration der DNSSEC-Signatur und Validierung mit Amazon Route 53
Ähnliche Videos
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr