Quiero configurar las extensiones de seguridad del sistema de nombres de dominio (DNSSEC) para mi nombre de dominio registrado en Amazon Route 53 u otro registrador.
Descripción breve
Para activar la firma de DNSSEC en su dominio, debe: primero, activar la firma de DNSSEC y crear una clave de firma de clave (KSK). A continuación, establezca una cadena de confianza registrando el registro de Delegation Signer (DS) en la zona alojada principal de la Ruta 53.
Importante: Para los dominios de nivel superior (TLD), consulte ¿Cómo activo DNSSEC en mi dominio con Amazon Route 53 y registro un registro DS?
Resolución
Nota: Si recibe errores al ejecutar los comandos de la interfaz de la línea de comandos de AWS (AWS CLI), asegúrese de utilizar la versión más reciente de la AWS CLI.
-
Siga los pasos para activar la firma de DNSSEC y, a continuación, cree una KSK.
-
Confirme que la zona alojada principal tenga el estado SIGNING.
-
Siga los pasos para establecer una cadena de confianza.
Nota: En la AWS CLI, puede usar el comando get-dnssec para obtener el registro DS de su zona alojada principal. Ejemplo de resultado del comando get-dnssec:
$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
"Status": {
"ServeSignature": "SIGNING"
},
"KeySigningKeys": [
{
"Name": "forKnowledgeCenter",
"KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
"Flag": 257,
"SigningAlgorithmMnemonic": "ECDSAP256SHA256",
"SigningAlgorithmType": 13,
"DigestAlgorithmMnemonic": "SHA-256",
"DigestAlgorithmType": 2,
"KeyTag": 1101,
"DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
"PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
"DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
"DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
"Status": "ACTIVE",
"CreatedDate": "2020-12-21T13:58:49.719000+00:00",
"LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
}
]
}
- Complete los siguientes pasos para registrar el registro DS en su zona alojada principal:
Abra la consola Route 53.
En el panel de navegación, seleccione Zonas alojadas.
Seleccione el nombre de la zona alojada principal.
Seleccione Crear informe.
En Política de enrutamiento, seleccione enrutamiento simple.
En Tipo de registro, elija DS - Delegation Signer.
En Nombre de registro, introduzca el nombre del dominio o subdominio al que desea dirigir el tráfico. El valor predeterminado es el nombre de la zona alojada.
En Valor, especifique el valor de DS Record obtenido en el paso 3. El formato es [key tag] [signing algorithm type] [digest algorithm type] [digest].
Para TTL, especifique 3600 segundos.
Información relacionada
Solucionar problemas de firma de DNSSEC