Signieren wird deaktiviert DNSSEC - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Signieren wird deaktiviert DNSSEC

Die Schritte zum Deaktivieren der DNSSEC Signierung in Route 53 variieren je nach der Vertrauenskette, zu der Ihre gehostete Zone gehört.

Beispielsweise kann Ihre gehostete Zone eine übergeordnete Zone mit einem DS-Datensatz (Delegation Signer) als Teil einer Vertrauenskette aufweisen. Ihre gehostete Zone kann auch selbst eine übergeordnete Zone für untergeordnete Zonen sein, in denen das DNSSEC Signieren aktiviert ist. Dies ist ein weiterer Teil der Vertrauenskette. Untersuchen und ermitteln Sie die gesamte Vertrauenskette für Ihre gehostete Zone, bevor Sie die Schritte zum Deaktivieren der DNSSEC Signierung ergreifen.

Die Vertrauenskette für Ihre gehostete Zone, die das DNSSEC Signieren ermöglicht, muss sorgfältig rückgängig gemacht werden, wenn Sie das Signieren deaktivieren. Um die gehostete Zone aus der Vertrauenskette zu entfernen, entfernen Sie alle DS-Datensätze, die für die Vertrauenskette vorhanden sind, die diese gehostete Zone enthält. Dies bedeutet, dass Sie Folgendes tun müssen, um:

  1. Entfernen Sie alle DS-Datensätze, die diese gehostete Zone für untergeordnete Zonen enthält, die Teil einer Vertrauenskette sind.

  2. Entfernen Sie den DS-Datensatz aus der übergeordneten Zone. Überspringen Sie diesen Schritt, wennn Sie über eine Vertrauensinsel verfügen (es gibt keine DS-Datensätze in der übergeordneten Zone und keine DS-Datensätze für untergeordnete Zonen in dieser Zone).

  3. Wenn Sie DS-Datensätze nicht entfernen können, entfernen Sie NS-Datensätze aus der übergeordneten Zone, um die Zone aus der Vertrauenskette zu entfernen. Weitere Informationen finden Sie unter Hinzufügen oder Ändern der Nameserver und Glue-Datensätze in einer Domäne.

Mit den folgenden schrittweisen Schritten können Sie die Wirksamkeit der einzelnen Schritte überwachen, um DNS Verfügbarkeitsprobleme in Ihrer Zone zu vermeiden.

Um das Signieren zu deaktivieren DNSSEC

  1. Überwachen Sie die Verfügbarkeit der Zone.

    Sie können die Zone auf die Verfügbarkeit Ihrer Domänennamen überwachen. Dies kann Ihnen helfen, alle Probleme zu lösen, die es rechtfertigen könnten, nach der Aktivierung des DNSSEC Signierens einen Schritt zurückzunehmen. Sie können Ihre Domänennamen mit dem größten Datenverkehr überwachen, indem Sie die Abfrageprotokollierung verwenden. Für weitere Informationen zum Einrichten einer Abfrage-Protokollierung siehe Amazon Route 53 überwachen.

    Die Überwachung kann über ein Shell-Skript oder über einen kostenpflichtigen Dienst erfolgen. Dies sollte jedoch nicht das einzige Signal sein, um festzustellen, ob ein Rollback erforderlich ist. Möglicherweise erhalten Sie auch Feedback von Ihren Kunden, da eine Domäne nicht verfügbar ist.

  2. Finden Sie den aktuellen DSTTL.

    Sie können den DS finden, TTL indem Sie den folgenden Unix-Befehl ausführen:

    dig -t DS example.com example.com

  3. Finden Sie die maximale Anzahl von NSTTL.

    Es gibt 2 Sätze von NS-Datensätzen, die Ihren Zonen zugeordnet sind:

    • Der NS-Datensatz der Delegation – dies ist der NS-Datensatz für Ihre Zone, die von der übergeordneten Zone gehalten wird. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:

      Suchen Sie zuerst den NS Ihrer übergeordneten Zone (wenn Ihre Zone beispiel.com ist, ist die übergeordnete Zone com):

      dig -t NS com

      Wählen Sie einen der NS-Datensätze aus und führen Sie dann Folgendes aus:

      dig @one of the NS records of your parent zone -t NS example.com

      Zum Beispiel:

      dig @b.gtld-servers.net. -t NS example.com

    • Der NS-Datensatz in der Zone – dies ist der NS-Datensatz in Ihrer Zone. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:

      dig @one of the NS records of your zone -t NS example.com

      Beispielsweise:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Notieren Sie sich das Maximum TTL für beide Zonen.

  4. Entfernen Sie den DS-Eintrag aus der übergeordneten Zone.

    Kontaktieren Sie den Besitzer der übergeordneten Zone, um den DS-Datensatz zu entfernen.

    Rollback: Fügen Sie den DS-Datensatz erneut ein, vergewissern Sie sich, dass die DS-Einfügung wirksam ist, und warten Sie, bis die maximale Anzahl von NS (nicht DS) erreicht ist, TTL bevor alle Resolver erneut mit der Validierung beginnen.

  5. Bestätigen Sie, dass die DS-Entfernung wirksam ist.

    Befindet sich die übergeordnete Zone im Route DNS 53-Dienst, kann der Besitzer der übergeordneten Zone die vollständige Weitergabe durch den bestätigen. GetChangeAPI

    Andernfalls können Sie die übergeordnete Zone regelmäßig auf den DS-Datensatz untersuchen und danach weitere 10 Minuten warten, um die Wahrscheinlichkeit zu erhöhen, dass die Entfernung des DS-Datensatzes vollständig verbreitet wird. Beachten Sie, dass einige Registraren die DS-Entfernung geplant haben, z. B. einmal am Tag.

  6. Warten Sie auf den DSTTL.

    Warten Sie, bis alle Resolver den DS-Datensatz aus ihren Caches abgelaufen sind.

  7. Deaktivieren Sie das DNSSEC Signieren und deaktivieren Sie den Schlüssel für die Tastenkombination ()KSK.

    CLI

    Rufen Sie an DisableHostedZoneDNSSECund. DeactivateKeySigningKeyAPIs

    Beispielsweise:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Um das DNSSEC Signieren zu deaktivieren

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

    2. Wählen Sie im Navigationsbereich die Option Gehostete Zonen und dann eine Hosting-Zone aus, für die Sie die DNSSEC Signierung deaktivieren möchten.

    3. Wählen Sie auf der Registerkarte DNSSECSignieren die Option DNSSECSignieren deaktivieren aus.

    4. Wählen Sie auf der Seite DNSSECSignieren deaktivieren je nach Szenario für die Zone, für die Sie das DNSSEC Signieren deaktivieren, eine der folgenden Optionen aus.

      • Nur übergeordnete Zone— Diese Zone hat eine übergeordnete Zone mit einem DS-Eintrag. In diesem Szenario müssen Sie den DS-Eintrag der übergeordneten Zone entfernen.

      • Nur untergeordnete Zonen— Diese Zone verfügt über einen DS-Eintrag für eine Vertrauenskette mit einer oder mehreren untergeordneten Zonen. In diesem Szenario müssen Sie die DS-Einträge der Zone entfernen.

      • Übergeordnet und untergeordnet— Diese Zone verfügt über einen DS-Datensatz für eine Vertrauenskette mit einer oder mehreren untergeordneten Zonenundeine übergeordnete Zone mit einem DS-Datensatz. Führen Sie für dieses Szenario die folgenden Schritte in aus:

        1. Entfernen Sie die DS-Einträge der Zone.

        2. Entfernen Sie den DS-Eintrag der übergeordneten Zone.

        Wenn Sie eine Insel des Vertrauens haben, können Sie diesen Schritt überspringen.

    5. Ermitteln Sie, was für jeden DS-Eintrag TTL gilt, den Sie in Schritt 4 entfernen. , Vergewissern Sie sich, dass der längste TTL Zeitraum abgelaufen ist.

    6. Wählen Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Schritte der Reihe nach befolgt haben.

    7. GebenSie disable wie gezeigt in das Feld und wählen Sie Deaktivieren aus.

    Um den Schlüssel für die Schlüsselsignatur zu deaktivieren () KSK

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter. https://console.aws.amazon.com/route53/

    2. Wählen Sie im Navigationsbereich die Option Gehostete Zonen und dann eine Hosting-Zone aus, für die Sie den Key-Signing-Schlüssel (KSK) deaktivieren möchten.

    3. Wählen Sie im Abschnitt Schlüssel zur Schlüsselsignierung (KSKs) die aus, die KSK Sie deaktivieren möchten, und wählen Sie unter Aktionen die Option Bearbeiten ausKSK, setzen Sie KSKden Status auf Inaktiv und wählen Sie dann Speichern aus. KSK

    Rollback: rufen Sie an und. ActivateKeySigningKeyEnableHostedZoneDNSSECAPIs

    Beispielsweise:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Bestätigen Sie, dass das Deaktivieren der Zonensignierung wirksam ist.

    Vergewissern Sie sich anhand der ID aus GetChangedem EnableHostedZoneDNSSEC() Anruf, dass alle Route DNS 53-Server keine Antworten mehr signieren (Status =INSYNC).

  9. Beachten Sie die Namensauflösung.

    Sie sollten beachten, dass es keine Probleme gibt, die dazu führen, dass Resolver Ihre Zone validieren. Planen Sie 1-2 Wochen ein, um auch die Zeit zu berücksichtigen, die Ihre Kunden benötigen, um Ihnen Probleme zu melden.

  10. (Optional) Bereinigen.

    Wenn Sie das Signieren nicht wieder aktivieren möchten, können Sie den gesamten Vorgang bereinigen DeleteKeySigningKeyund KSKs den entsprechenden vom Kunden verwalteten Schlüssel löschen, um Kosten zu sparen.