Aktivierung DNSSEC des Signierens und Einrichtung einer Vertrauenskette - Amazon Route 53
Schritt 1: Bereiten Sie sich darauf vor, das DNSSEC Signieren zu aktivierenSchritt 2: Aktivieren Sie die DNSSEC Signierung und erstellen Sie eine KSKSchritt 3: Erstellen einer Vertrauenskette

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivierung DNSSEC des Signierens und Einrichtung einer Vertrauenskette

Die inkrementellen Schritte gelten für den Besitzer der gehosteten Zone und den übergeordneten Zonenbetreuer. Dies kann dieselbe Person sein, aber falls nicht, sollte der Zonenbesitzer den übergeordneten Zonenbetreuer benachrichtigen und mit ihm arbeiten.

Wir empfehlen, die Schritte in diesem Artikel zu befolgen, damit Ihre Zone signiert und in die Vertrauenskette aufgenommen wird. Mit den folgenden Schritten wird das Risiko eines Onboardings auf DNSSEC ein Minimum reduziert.

Anmerkung

Stellen Sie sicher, dass Sie die Voraussetzungen lesen, bevor Sie in Konfiguration der DNSSEC Anmeldung in Amazon Route 53 beginnen.

Um das DNSSEC Signieren zu aktivieren, müssen drei Schritte unternommen werden, wie in den folgenden Abschnitten beschrieben.

Schritt 1: Bereiten Sie sich darauf vor, das DNSSEC Signieren zu aktivieren

Die Vorbereitungsschritte helfen Ihnen dabei, das Risiko eines Onboardings zu minimieren, DNSSEC indem sie die Verfügbarkeit der Zonen überwachen und die Wartezeiten zwischen der Aktivierung der Signatur und dem Einfügen des Delegation Signer (DS) -Datensatzes verkürzen.

Um sich auf die Aktivierung des Signierens vorzubereiten DNSSEC

  1. Überwachen Sie die Verfügbarkeit der Zone.

    Sie können die Zone auf die Verfügbarkeit Ihrer Domänennamen überwachen. Dies kann Ihnen helfen, alle Probleme zu lösen, die es rechtfertigen könnten, nach der Aktivierung des DNSSEC Signierens einen Schritt zurückzunehmen. Sie können Ihre Domänennamen mit dem größten Datenverkehr überwachen, indem Sie die Abfrageprotokollierung verwenden. Für weitere Informationen zum Einrichten einer Abfrage-Protokollierung siehe Amazon Route 53 überwachen.

    Die Überwachung kann über ein Shell-Skript oder über einen Drittanbieterdienst erfolgen. Dies sollte jedoch nicht das einzige Signal sein, um festzustellen, ob ein Rollback erforderlich ist. Möglicherweise erhalten Sie auch Feedback von Ihren Kunden, da eine Domäne nicht verfügbar ist.

  2. Senken Sie das Maximum der ZoneTTL.

    Das Maximum der Zone TTL ist der längste TTL Datensatz in der Zone. In der folgenden Beispielzone TTL beträgt das Maximum der Zone 1 Tag (86400 Sekunden).

    Name TTL Datensatz-Klasse Datensatztyp Datensatz-Daten

    example.com.

    900

    IN

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    example.com.

    900

    IN

    NS

    ns1.example.com.

    route53.example.com.

    86400

    IN

    TXT

    some txt record

    Wenn Sie das Maximum für die Zone TTL herabsetzen, kann die Wartezeit zwischen dem Aktivieren der Signatur und dem Einfügen des Datensatzes für den Delegationssignierer (DS) reduziert werden. Wir empfehlen, das Maximum der Zone TTL auf 1 Stunde (3600 Sekunden) zu senken. Auf diese Weise können Sie sie nach nur einer Stunde zurücksetzen, wenn ein Resolver Probleme beim Zwischenspeichern signierter Datensätze hat.

    Rollback: Macht die TTL Änderungen rückgängig.

  3. Senken Sie das Feld SOA TTL und das SOA Minimum.

    Das SOA Minimalfeld ist das letzte Feld in den SOA Datensatzdaten. Im folgenden SOA Beispieldatensatz hat das Minimalfeld den Wert 5 Minuten (300 Sekunden).

    Name TTL Datensatz-Klasse Datensatztyp Datensatz-Daten

    example.com.

    900

    IN

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    Das Feld SOA TTL und SOA Minimum bestimmt, wie lange sich Resolver negative Antworten merken. Nachdem Sie die Signierung aktiviert haben, beginnen die Route 53-Nameserver, NSEC Datensätze für negative Antworten zurückzugeben. Das NSEC enthält Informationen, die Resolver verwenden könnten, um eine negative Antwort zu synthetisieren. Wenn Sie einen Rollback durchführen müssen, weil der Resolver aufgrund der NSEC Informationen eine negative Antwort für einen Namen angenommen hat, müssen Sie nur auf das Maximum SOA TTL und das SOA Minimum warten, bis der Resolver die Annahme beendet.

    Rollback: Macht die Änderungen rückgängig. SOA

  4. Stellen Sie sicher, dass die TTL und die SOA minimalen Feldänderungen wirksam sind.

    Stellen Sie GetChangedamit sicher, dass Ihre bisherigen Änderungen an alle Route DNS 53-Server weitergegeben wurden.

Schritt 2: Aktivieren Sie die DNSSEC Signierung und erstellen Sie eine KSK

Sie können das DNSSEC Signieren aktivieren und einen Schlüssel zur Schlüsselsignatur (KSK) erstellen, indem Sie AWS CLI oder auf der Route 53-Konsole verwenden.

Wenn Sie einen vom Kunden verwalteten KMS Schlüssel bereitstellen oder erstellen, gibt es mehrere Anforderungen. Weitere Informationen finden Sie unter Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC.

CLI

Sie können einen Schlüssel verwenden, den Sie bereits zur Verfügung haben, oder Sie erstellen einen, indem Sie einen AWS CLI -Befehl wie den folgenden mit eigenen Werten für hostedzone_id, cmk_arn, ksk_name, und unique_string (um die Anfrage eindeutig zu machen) verwenden:

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Weitere Informationen zu den vom Kunden verwalteten Schlüsseln finden Sie unter Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC. Siehe auch CreateKeySigningKey.

Um das DNSSEC Signieren zu aktivieren, führen Sie einen AWS CLI Befehl wie den folgenden aus und verwenden Sie dabei Ihren eigenen Wert fürhostedzone_id:

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Weitere Informationen finden Sie unter enable-hosted-zone-dnssecund EnableHostedZoneDNSSEC.

Console
Um das DNSSEC Signieren zu aktivieren und ein zu erstellen KSK

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich die Option Gehostete Zonen und dann eine Hosting-Zone aus, für die Sie die DNSSEC Signierung aktivieren möchten.

  3. Wählen Sie auf der Registerkarte DNSSECSignierung die Option DNSSECSignierung aktivieren aus.

    Anmerkung

    Wenn die Option in diesem Abschnitt DNSSECSignieren deaktivieren lautet, haben Sie den ersten Schritt zur Aktivierung der DNSSEC Signatur bereits abgeschlossen. Stellen Sie sicher, dass Sie eine Vertrauenskette für die gehostete Zone für einrichten oder dass es bereits eine solche gibtDNSSEC, und dann sind Sie fertig. Weitere Informationen finden Sie unter Schritt 3: Erstellen einer Vertrauenskette.

  4. Wählen Sie im Abschnitt zur Erstellung des Schlüsselsignaturschlüssels (KSK) die Option Neu erstellen ausKSK, und geben Sie unter KSKName angeben einen Namen für den Schlüssel einKSK, den Route 53 für Sie erstellen wird. Namen können nur Buchstaben, Zahlen und Unterstriche enthalten. Dieser Wert muss eindeutig sein.

  5. Wählen Sie unter Vom Kunden verwaltet den vom Kunden verwalteten Schlüssel für Route 53 ausCMK, der verwendet werden soll, wenn der Schlüssel KSK für Sie erstellt wird. Sie können einen vorhandenen, vom Kunden verwalteten Schlüssel verwenden, der für das DNSSEC Signieren gilt, oder einen neuen, vom Kunden verwalteten Schlüssel erstellen.

    Wenn Sie einen vom Kunden verwalteten Schlüssel bereitstellen oder erstellen, gibt es mehrere Anforderungen. Weitere Informationen finden Sie unter Arbeiten mit vom Kunden verwalteten Schlüsseln für DNSSEC.

  6. Geben Sie den Alias für einen vorhandenen, vom Kunden verwalteten Schlüssel ein. Wenn Sie einen neuen vom Kunden verwalteten Schlüssel verwenden möchten, geben Sie einen Alias für einen vom Kunden verwalteten Schlüssel ein, und Route 53 erstellt einen für Sie.

    Anmerkung

    Wenn Sie sich dafür entscheiden, dass Route 53 einen vom Kunden verwalteten Schlüssel erstellt, beachten Sie, dass für jeden vom Kunden verwalteten Schlüssel separate Gebühren anfallen. Weitere Informationen finden Sie unter AWS Key Management Service – Preise.

  7. Wählen Sie DNSSECSignieren aktivieren aus.

Nachdem Sie die Zonensignierung aktiviert haben, führen Sie die folgenden Schritte aus (unabhängig davon, ob Sie die Konsole oder die verwendet habenCLI):

  1. Stellen Sie sicher, dass die Zonensignatur effektiv ist.

    Falls Sie dies verwendet haben AWS CLI, können Sie die Vorgangs-ID aus der Ausgabe des EnableHostedZoneDNSSEC() Aufrufs verwenden, um get-change auszuführen oder GetChangeum sicherzustellen, dass alle Route DNS 53-Server Antworten signieren (Status =INSYNC).

  2. Warten Sie, bis mindestens das Maximum der vorherigen Zone erreicht TTL ist.

    Warten Sie, bis Resolver alle nicht signierten Datensätze aus ihrem Cache leeren. Um dies zu erreichen, sollten Sie mindestens auf das Maximum der vorherigen Zone wartenTTL. In der example.com-Zone oben beträgt Wartezeit 1 Tag.

  3. Überwachen Sie Berichte über Kundenprobleme.

    Nachdem Sie die Zonensignierung aktiviert haben, sehen Ihre Kunden möglicherweise Probleme im Zusammenhang mit Netzwerkgeräten und Resolvern. Der empfohlene Überwachungszeitraum beträgt 2 Wochen.

    Im Folgenden finden Sie Beispiele für Probleme, die möglicherweise auftreten:

    • Einige Netzwerkgeräte können die DNS Antwortgröße auf weniger als 512 Byte beschränken, was für einige signierte Antworten zu klein ist. Diese Netzwerkgeräte sollten neu konfiguriert werden, um größere DNS Antwortgrößen zu ermöglichen.

    • Manche Netzwerkgeräte überprüfen DNS die Antworten gründlich und entfernen bestimmte Datensätze, die sie nicht verstehen, wie die, für DNSSEC die sie verwendet wurden. Diese Geräte sollten neu konfiguriert werden.

    • Die Resolver einiger Kunden behaupten, dass sie eine umfangreichere UDP Antwort akzeptieren können, als ihr Netzwerk unterstützt. Sie können Ihre Netzwerkfähigkeit testen und Ihre Resolver entsprechend konfigurieren. Weitere Informationen finden Sie unter Server zum Testen der DNS Antwortgröße.

Rollback: Rufen Sie auf und führen Sie DisableHostedZoneDNSSECdann ein Rollback der Schritte unter durch. Schritt 1: Bereiten Sie sich darauf vor, das DNSSEC Signieren zu aktivieren

Schritt 3: Erstellen einer Vertrauenskette

Nachdem Sie das DNSSEC Signieren für eine gehostete Zone in Route 53 aktiviert haben, richten Sie eine Vertrauenskette für die gehostete Zone ein, um die Einrichtung der DNSSEC Signatur abzuschließen. Dazu erstellen Sie einen Delegation Signer (DS) -Datensatz imparent-gehostete Zone für Ihre gehostete Zone mit den Informationen, die Route 53 zur Verfügung stellt. Je nachdem, wo Ihre Domain registriert ist, fügen Sie den Datensatz der übergeordneten gehosteten Zone in Route 53 oder bei einer anderen Domänenregistrierungsstelle hinzu.

So richten Sie eine Vertrauenskette für das DNSSEC Signieren ein

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Wählen Sie im Navigationsbereich die Option Gehostete Zonen und dann eine gehostete Zone aus, für die Sie eine DNSSEC Vertrauenskette einrichten möchten. Sie müssen zuerst das DNSSEC Signieren aktivieren.

  3. Wählen Sie auf der Registerkarte DNSSECSignieren unter DNSSECSignieren die Option Informationen zum Erstellen eines DS-Eintrags anzeigen aus.

    Anmerkung

    Wenn in diesem Abschnitt die Option Informationen zum Erstellen eines DS-Eintrags anzeigen nicht angezeigt wird, müssen Sie das DNSSEC Signieren aktivieren, bevor Sie die Vertrauenskette einrichten. Wählen Sie DNSSECSignierung aktivieren und führen Sie die unter beschriebenen Schritte aus. Kehren Sie dann zu diesen Schritten zurück, um die Vertrauenskette einzurichten. Schritt 2: Aktivieren Sie die DNSSEC Signierung und erstellen Sie eine KSK

  4. UNDERErstellen einer Vertrauenskette, wählen Sie entwederRegistrant Route 53oderEine andere Domänenvergabestelle, je nachdem, wo Ihre Domain registriert ist.

  5. Verwenden Sie die bereitgestellten Werte ab Schritt 3 , um einen DS-Datensatz für die übergeordnete gehostete Zone in Route 53 zu erstellen. Wenn Ihre Domäne nicht bei Route 53 gehostet wird, verwenden Sie die bereitgestellten Werte, um einen DS-Datensatz auf der Website Ihres Domänen-Registrars zu erstellen.

    • Wenn es sich bei der übergeordneten Zone um eine Domäne handelt, die über Route 53 verwaltet wird, gehen Sie wie folgt vor:

      Stellen Sie sicher, dass Sie den richtigen Signaturalgorithmus (ECDSAP256SHA256und Typ 13) und den richtigen Digest-Algorithmus (SHA-256 und Typ 2) konfigurieren.

      Wenn Route 53 Ihr Registrar ist, gehen Sie in der Route-53-Konsole wie folgt vor:

      1. Beachten Sie dieSchlüsseltyp,Signaturalgorithmus, undDer öffentliche Schlüssel-Werte. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

      2. Wählen Sie eine Domain aus und klicken Sie dann neben DNSSECStatus auf Schlüssel verwalten.

      3. Wählen Sie im Dialogfeld „DNSSECSchlüssel verwalten“ aus den Dropdownmenüs den entsprechenden Schlüsseltyp und Algorithmus für den Route 53-Registrar aus.

      4. Kopieren Sie dieDer öffentliche Schlüsselfür den Registrar der Route 53. Fügen Sie im Dialogfeld „DNSSECSchlüssel verwalten“ den Wert in das Feld Öffentlicher Schlüssel ein.

      5. Wählen Sie Hinzufügen aus.

        Route 53 fügt den DS-Datensatz der übergeordneten Zone aus dem öffentlichen Schlüssel hinzu. Wenn Ihre Domain beispielsweise lautetexample.com, wird der DS-Eintrag der DNS Zone .com hinzugefügt.

    • Wenn die übergeordnete Zone auf Route 53 gehostet wird oder die Domain in einer anderen Registry verwaltet wird, wenden Sie sich an den Inhaber der übergeordneten Zone oder der Domainregistrierung, um die folgenden Anweisungen zu befolgen:

      Um sicherzustellen, dass die folgenden Schritte reibungslos ablaufen, führen Sie in der übergeordneten Zone einen niedrigen TTL DS-Wert ein. Wir empfehlen, den DS-Wert TTL auf 5 Minuten (300 Sekunden) einzustellen, um die Wiederherstellung zu beschleunigen, falls Sie Ihre Änderungen rückgängig machen müssen.

      • Wenn Ihre übergeordnete Zone von einer anderen Registrierung verwaltet wird, kontaktieren Sie Ihren Registrar, um den DS-Datensatz für Ihre Zone einzuführen. In der Regel können Sie den Wert TTL des DS-Datensatzes nicht anpassen.

      • Wenn Ihre übergeordnete Zone auf Route 53 gehostet wird, kontaktieren Sie den Besitzer der übergeordneten Zone, um den DS-Datensatz für Ihre Zone einzuführen.

        Geben Sie die $ds_record_value für den Besitzer der übergeordneten Zone an. Sie können ihn abrufen, indem Sie in der Konsole auf Informationen anzeigen klicken, um einen DS-Eintrag zu erstellen, und das DS-Datensatzfeld kopieren, oder indem Sie Get aufrufen DNSSEC API und den Wert des Felds 'DSRecord' abrufen:

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        Der Besitzer der übergeordneten Zone kann den Datensatz über die Route 53-Konsole oder CLI einfügen.

        • Um den DS-Eintrag mithilfe von einzufügen AWS CLI, erstellt und benennt der Besitzer der übergeordneten Zone eine JSON Datei, die dem folgenden Beispiel ähnelt. Der Besitzer der übergeordneten Zone kann die Datei wie folgt benennen: inserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          Führen Sie anschließend den folgenden Befehl aus:

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Um den DS-Datensatz über die Konsole einzufügen,

          Öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

          Wählen Sie im Navigationsbereich Hosted zones (Gehostete Zonen) und dann Name Ihrer gehosteten Zone und dann die Schaltfäche Create record (Datensatz erstellen) aus. Stellen Sie sicher, dass Sie Einfaches Routing für die Routing policy (Routing-Richtlinie) auswählen.

          In Record name (Datensatzname) geben Sie den gleichen Namen ein wie der $zone_name, wählen Sie DS für den Record type (Datensatztyp) und geben Sie den Wert von $ds_record_value ins Feld Value (Wert) ein und wählen Sie Create records (Datensätze erstellen) aus.

    Rollback: Entfernen Sie den DS aus der übergeordneten Zone, warten Sie auf den DS TTL und machen Sie dann die Schritte zur Vertrauensstellung rückgängig. Wenn die übergeordnete Zone auf Route 53 gehostet wird, kann der Besitzer der übergeordneten Zone das DELETE in der JSON Datei Action von UPSERT zu ändern und das obige Beispiel CLI erneut ausführen.

  6. Warten Sie, bis die Aktualisierungen basierend auf den Datensätzen TTL für Ihre Domain veröffentlicht werden.

    Befindet sich die übergeordnete Zone im Route DNS 53-Dienst, kann der Besitzer der übergeordneten Zone die vollständige Weitergabe über den GetChangeAPIbestätigen.

    Andernfalls können Sie die übergeordnete Zone regelmäßig auf den DS-Datensatz untersuchen und danach weitere 10 Minuten warten, um die Wahrscheinlichkeit zu erhöhen, dass die Einfügung des DS-Datensatzes vollständig propagiert wird. Beachten Sie, dass einige Registraren beispielsweise einmal täglich die DS-Einfügung geplant haben.

Wenn Sie den Delegation Signer (DS)-Datensatz in der übergeordneten Zone einführen, starten die validierten Resolver, die den DS aufgenommen haben, mit der Validierung der Antworten aus der Zone.

Um sicherzustellen, dass die Schritte zur Vertrauensbildung reibungslos verlaufen, führen Sie Folgendes aus:

  1. Ermitteln Sie die maximale Anzahl an NSTTL.

    Es gibt 2 Sätze von NS-Datensätzen, die Ihren Zonen zugeordnet sind:

    • Der NS-Datensatz der Delegation – dies ist der NS-Datensatz für Ihre Zone, die von der übergeordneten Zone gehalten wird. Sie können dies finden, indem Sie die folgenden Unix-Befehle ausführen (wenn Ihre Zone beispiel.com ist, ist die übergeordnete Zone com):

      dig -t NS com

      Wählen Sie einen der NS-Datensätze aus und führen Sie dann Folgendes aus:

      dig @one of the NS records of your parent zone -t NS example.com

      Zum Beispiel:

      dig @b.gtld-servers.net. -t NS example.com

    • Der NS-Datensatz in der Zone – dies ist der NS-Datensatz in Ihrer Zone. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:

      dig @one of the NS records of your zone -t NS example.com

      Beispielsweise:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Notieren Sie sich das Maximum TTL für beide Zonen.

  2. Warten Sie auf den maximalen NSTTL.

    Vor der DS-Einfügung erhalten Resolver eine signierte Antwort, validieren die Signatur jedoch nicht. Wenn der DS-Datensatz eingefügt wird, sehen Resolver ihn erst, wenn der NS-Datensatz für die Zone abläuft. Wenn Resolver den NS-Datensatz erneut abrufen, wird der DS-Datensatz dann ebenfalls zurückgegeben.

    Wenn Ihr Kunde einen Resolver auf einem Host mit einer nicht synchronisierten Uhr ausführt, stellen Sie sicher, dass sich die Uhr innerhalb 1 Stunde nach der richtigen Zeit befindet.

    Nach Abschluss dieses Schritts validieren alle Resolver, die DNSSEC -aware, Ihre Zone.

  3. Beachten Sie die Namensauflösung.

    Sie sollten beachten, dass es keine Probleme mit Resolvern gibt, die Ihre Zone validieren. Stellen Sie sicher, dass Sie auch die Zeit berücksichtigen, die Ihre Kunden benötigen, um Ihnen Probleme zu melden.

    Wir empfehlen eine Überwachung für bis zu 2 Wochen.

  4. (Optional) Verlängern Sie DS und NS. TTLs

    Wenn Sie mit der Einrichtung zufrieden sind, können Sie die SOA Änderungen TTL und die von Ihnen vorgenommenen Änderungen speichern. Beachten Sie, dass Route 53 die Frist für ausgeschilderte Zonen TTL auf 1 Woche begrenzt. Weitere Informationen finden Sie unter Konfiguration der DNSSEC Anmeldung in Amazon Route 53.

    Wenn Sie den DS ändern könnenTTL, empfehlen wir Ihnen, ihn auf 1 Stunde einzustellen.