Route 53 또는 다른 등록 기관에 등록된 하위 도메인에 DNSSEC를 구성하려면 어떻게 해야 하나요?

2분 분량
0

Amazon Route 53 또는 다른 등록 기관에 등록된 도메인 이름에 Domain Name System Security Extensions(DNSSEC)를 구성하고 싶습니다.

간략한 설명

도메인에 DNSSEC 서명을 사용 설정하려면 먼저 DNSSEC 서명을 사용 설정하고 KSK(키 서명 키)를 만들어야 합니다. 그런 다음 Route 53의 상위 호스트 영역에 DS(위임 서명자) 레코드를 등록하여 트러스트 체인을 설정합니다.

중요: 최상위 도메인(TLD)의 경우, Amazon Route 53을 사용하여 도메인에서 DNSSEC를 켜고 DS 레코드를 등록하려면 어떻게 하나요?를 참고하세요.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

  1. 단계에 따라 DNSSEC 서명을 켜고 KSK를 생성합니다.

  2. 상위 호스팅 영역이 서명 중 상태인지 확인합니다.

  3. 다음 단계에 따라 트러스트 체인을 설정합니다.

참고: AWS CLI에서 get-dnssec 명령을 사용하여 상위 호스트 영역의 DS 레코드를 가져올 수 있습니다. get-dnssec 명령 출력 예:

$ aws route53 get-dnssec --hosted-zone-id Zyyyyyyyyyyyyyyyyyyyy
{
    "Status": {
        "ServeSignature": "SIGNING"
    },
    "KeySigningKeys": [
        {
            "Name": "forKnowledgeCenter",
            "KmsArn": "arn:aws:kms:us-east-1:nnnnnnnnnnnn:key/4a7a9720-91b5-49d5-8069-79634593a1b9",
            "Flag": 257,
            "SigningAlgorithmMnemonic": "ECDSAP256SHA256",
            "SigningAlgorithmType": 13,
            "DigestAlgorithmMnemonic": "SHA-256",
            "DigestAlgorithmType": 2,
            "KeyTag": 1101,
            "DigestValue": "57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "PublicKey": "ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "DSRecord": "1101 13 2 57BB41C3E5F8606F64D6926D4EA80A2D5139FCD029828CDE00E94D78882819DE",
            "DNSKEYRecord": "257 3 13 ELfupc8RXEcoLl8AZiDX6LOInJMc1h7MDnuIEAWzJIG6vOB0QAOfRzFHT15WwGzXPZKqrTkSSTm+CSQlIfCWbg==",
            "Status": "ACTIVE",
            "CreatedDate": "2020-12-21T13:58:49.719000+00:00",
            "LastModifiedDate": "2020-12-21T13:58:49.719000+00:00"
        }
    ]
}
  1. 다음 단계를 완료하여 상위 호스팅 영역에 DS 레코드를 등록합니다.

Route 53 콘솔을 엽니다.
탐색 창에서 호스팅 영역을 선택합니다.

상위 호스팅 영역의 이름을 선택합니다.
레코드 만들기를 선택합니다.

라우팅 정책에서 단순 라우팅을 선택합니다.

레코드 유형에서 DS-위임 서명자를 선택합니다.

레코드 이름에 트래픽을 라우팅할 도메인이나 하위 도메인의 이름을 입력합니다. 기본값은 호스팅 영역의 이름입니다.
에 3단계에서 얻은 DS 레코드 값을 지정합니다. 형식은 **[key tag] [signing algorithm type] [digest algorithm type] [digest]**입니다.

TTL3600초를 지정합니다.

관련 정보

DNSSEC 서명 문제 해결

AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠