Permitir la DNSSEC firma y establecer una cadena de confianza - Amazon Route 53
Paso 1: Prepárese para habilitar la DNSSEC firmaPaso 2: Habilite la DNSSEC firma y cree un KSKPaso 3: Establecer una cadena de confianza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permitir la DNSSEC firma y establecer una cadena de confianza

Los pasos progresivos se aplican al propietario de la zona alojada y al encargado de la zona principal. Puede ser la misma persona, pero si no, el propietario de la zona debe notificar y trabajar con el responsable de la zona principal.

Recomendamos seguir los pasos de este artículo para que su zona se firme e incluya en la cadena de confianza. Los siguientes pasos minimizarán el riesgo de incorporarse DNSSEC a.

nota

Asegúrese de leer los requisitos previos antes de comenzar en Configuración de DNSSEC la firma en Amazon Route 53.

Hay tres pasos que se deben seguir para habilitar la DNSSEC firma, tal y como se describe en las siguientes secciones.

Paso 1: Prepárese para habilitar la DNSSEC firma

Los pasos de preparación le ayudan a minimizar el riesgo de incorporarse a ella, ya que DNSSEC controlan la disponibilidad de la zona y reducen los tiempos de espera entre la activación de la firma y la inserción del registro del firmante delegado (DS).

Para preparar la activación de la firma DNSSEC

  1. Supervisar la disponibilidad de zonas.

    Puede supervisar la zona para comprobar la disponibilidad de sus nombres de dominio. Esto puede ayudarte a solucionar cualquier problema que pudiera justificar dar un paso atrás después de activar la DNSSEC firma. Puede supervisar los nombres de dominio con la mayor parte del tráfico mediante el registro de consultas. Para obtener más información sobre la configuración del registro de consultas, consulte Monitoreo de Amazon Route 53.

    La supervisión se puede realizar a través de un script de shell o mediante un servicio de terceros. Sin embargo, no debería ser la única señal para determinar si se requiere una reversión. Es posible que también reciba comentarios de sus clientes debido a que un dominio no está disponible.

  2. Reduce el máximo de la zonaTTL.

    El máximo de la zona TTL es el TTL registro más largo de la zona. En la siguiente zona de ejemplo, el máximo de la zona TTL es de 1 día (86400 segundos).

    Nombre TTL Clase de registro Tipo de registro Registro de datos

    ejemplo.com.

    900

    IN

    SOA

    ns1.ejemplo.com. hostmaster.ejemplo.com. 2002022401 10800 15 604800 300

    ejemplo.com.

    900

    IN

    NS

    ns1.ejemplo.com.

    route53.ejemplo.com.

    86400

    IN

    TXT

    some txt record

    Reducir el máximo de la zona TTL ayudará a reducir el tiempo de espera entre la activación de la firma y la inserción del registro del firmante delegado (DS). Recomendamos reducir el máximo de la zona TTL a 1 hora (3600 segundos). Esto le permite retroceder después de solo una hora si algún solucionador tiene problemas para almacenar en caché los registros firmados.

    Reversión: deshace los TTL cambios.

  3. Baje el campo SOA mínimo SOA TTL y el mínimo.

    El campo SOA mínimo es el último campo de los datos del SOA registro. En el siguiente SOA registro de ejemplo, el campo mínimo tiene un valor de 5 minutos (300 segundos).

    Nombre TTL Clase de registro Tipo de registro Registro de datos

    ejemplo.com.

    900

    IN

    SOA

    ns1.ejemplo.com. hostmaster.ejemplo.com. 2002022401 10800 15 604800 300

    El campo SOA TTL y SOA mínimo determina durante cuánto tiempo los usuarios de resolución recuerdan las respuestas negativas. Una vez habilitada la firma, los servidores de nombres de Route 53 comienzan a devolver NSEC los registros de las respuestas negativas. NSECContiene información que los solucionadores podrían utilizar para sintetizar una respuesta negativa. Si tiene que dar marcha atrás porque la NSEC información hizo que el solucionador asumiera una respuesta negativa para un nombre, solo tendrá que esperar a que aparezcan los campos máximo SOA TTL y SOA mínimo para que el solucionador detenga la suposición.

    Reversión: deshace los SOA cambios.

  4. Asegúrese de que los cambios en los campos TTL y los SOA mínimos sean efectivos.

    Úselo GetChangepara asegurarse de que los cambios realizados hasta ahora se hayan propagado a todos los DNS servidores de Route 53.

Paso 2: Habilite la DNSSEC firma y cree un KSK

Puede habilitar la DNSSEC firma y crear una clave de firma mediante la consola KSK de Route 53 AWS CLI o en ella.

Al proporcionar o crear una KMS clave gestionada por el cliente, hay varios requisitos. Para obtener más información, consulte Trabajar con claves gestionadas por el cliente para DNSSEC.

CLI

Puede utilizar una clave que ya tenga o crear una ejecutando un AWS CLI comando como el siguiente utilizando sus propios valores para hostedzone_id, cmk_arn, ksk_name, y unique_string (para que la solicitud sea única):

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Para obtener más información sobre las claves administradas por el cliente, consulte Trabajar con claves gestionadas por el cliente para DNSSEC. Véase también CreateKeySigningKey.

Para habilitar la DNSSEC firma, ejecute un AWS CLI comando como el siguiente, utilizando su propio valor parahostedzone_id:

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Para obtener más información, consulte enable-hosted-zone-dnssecy EnableHostedZoneDNSSEC.

Console
Para habilitar la DNSSEC firma y crear un KSK

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas y, a continuación, elija una zona alojada en la que desee habilitar DNSSEC el registro.

  3. En la pestaña de DNSSECfirma, selecciona Habilitar la DNSSEC firma.

    nota

    Si la opción de esta sección es Desactivar la DNSSEC firma, ya has completado el primer paso para habilitar la DNSSEC firma. Asegúrese de establecer, o de que ya exista, una cadena de confianza para DNSSEC la zona alojada y listo. Para obtener más información, consulte Paso 3: Establecer una cadena de confianza.

  4. En la sección de creación de claves de firma (KSK), elija Crear nueva yKSK, en Proporcionar KSK nombre, escriba un nombre para la clave KSK que Route 53 creará para usted. Los nombres pueden contener letras, números y guiones bajos (_). Deben ser únicos.

  5. En Administrado por el cliente CMK, elija la clave administrada por el cliente para que Route 53 la use cuando la cree KSK por usted. Puede usar una clave administrada por el cliente existente que se aplique a la DNSSEC firma o crear una nueva clave administrada por el cliente.

    Cuando proporciona o crea una clave administrada por el cliente, existen varios requisitos. Para obtener más información, consulte Trabajar con claves gestionadas por el cliente para DNSSEC.

  6. Ingrese el alias de una clave administrada por el cliente existente. Si desea utilizar una nueva clave administrada por el cliente, ingrese un alias para una clave administrada por el cliente y Route 53 creará una para usted.

    nota

    Si elige que Route 53 cree una clave administrada por el cliente, tenga en cuenta que se aplican cargos aparte por cada clave administrada por el cliente. Para obtener más información, consulte Precios de AWS Key Management Service.

  7. Selecciona Habilitar DNSSEC la firma.

Tras activar la firma de zonas, complete los siguientes pasos (independientemente de si utilizó la consola o laCLI):

  1. Asegúrese de que la firma de zona sea efectiva.

    Si lo usó AWS CLI, puede usar el identificador de operación del resultado de la EnableHostedZoneDNSSEC() llamada para ejecutar get-change o GetChangepara asegurarse de que todos los DNS servidores de Route 53 firmen las respuestas (status =INSYNC).

  2. Espere al menos el máximo de la zona anterior. TTL

    Espere a que los solucionadores eliminen todos los registros sin firmar de su caché. Para lograrlo, debes esperar al menos al máximo de la zona anteriorTTL. En la zona example.com anterior, el tiempo de espera sería de 1 día.

  3. Supervisar los informes de problemas de los clientes.

    Una vez habilitada la firma de zona, es posible que sus clientes empiecen a ver problemas relacionados con los dispositivos de red y los solucionadores. El período de supervisión recomendado es de 2 semanas.

    A continuación, se muestra un ejemplo de cómo podría hacerlo:

    • Algunos dispositivos de red pueden limitar el tamaño de la DNS respuesta a menos de 512 bytes, lo que es demasiado pequeño para algunas respuestas firmadas. Estos dispositivos de red deben reconfigurarse para permitir tamaños de DNS respuesta más grandes.

    • Algunos dispositivos de red inspeccionan DNS minuciosamente las respuestas y eliminan algunos registros que no comprenden, como los que se utilizan. DNSSEC Estos dispositivos deben volver a configurarse.

    • Los responsables de la resolución de algunos clientes afirman que pueden aceptar una UDP respuesta mayor de la que admite su red. Puede probar la capacidad de red y configurar los solucionadores de forma adecuada. Para obtener más información, consulte DNSReply Size Test Server.

Reversión: llame DisableHostedZoneDNSSECy luego revierta los pasos anteriores. Paso 1: Prepárese para habilitar la DNSSEC firma

Paso 3: Establecer una cadena de confianza

Después de habilitar la DNSSEC firma en una zona alojada en Route 53, establezca una cadena de confianza para la zona alojada para completar la configuración de la DNSSEC firma. Para ello, cree un registro de Delegation Signer (DS) en la zona alojada principal para su zona alojada utilizando la información que proporciona Route 53. En función de dónde esté registrado su dominio, agregue el registro a la zona alojada principal en Route 53 o en otro registrador de dominios.

Para establecer una cadena de confianza para la DNSSEC firma

  1. Inicie sesión en la consola de Route 53 AWS Management Console y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel de navegación, elija Zonas alojadas y, a continuación, elija una zona alojada para la que desee establecer una DNSSEC cadena de confianza. Primero debe habilitar DNSSEC la firma.

  3. En la pestaña de DNSSECfirma, en DNSSECFirmar, selecciona Ver información para crear un registro DS.

    nota

    Si no aparece la opción Ver información para crear un registro de DS en esta sección, debe habilitar la DNSSEC firma antes de establecer la cadena de confianza. Seleccione Habilitar la DNSSEC firma y complete los pasos descritos en yPaso 2: Habilite la DNSSEC firma y cree un KSK, a continuación, vuelva a estos pasos para establecer la cadena de confianza.

  4. En Establish a chain of trust (Establecer una cadena de confianza), elija Route 53 registrar (Registrador Route 53) o Another domain registrar (Otro registrador de dominios), en función de dónde esté registrado su dominio.

  5. Utilice los valores proporcionados desde el paso 3 para crear un registro DS para la zona alojada principal en Route 53. Si su dominio no está alojado en Route 53, utilice los valores proporcionados para crear un registro DS en el sitio web del registrador de dominios.

    Cómo establecer una cadena de confianza para la zona principal:

    • Si el dominio se administra a través de Route 53, siga estos pasos:

      Asegúrese de configurar el algoritmo de firma (ECDSAP256SHA256y escriba 13) y el algoritmo de resumen (SHA-256 y tipo 2) correctos.

      Si Route 53 es su registrador, haga lo siguiente en la consola de Route 53:

      1. Tenga en cuenta los valores Key type (Tipo de clave), Signing algorithm (Algoritmo de firma) yPublic key (Clave pública). En el panel de navegación, elija Registered domains.

      2. Selecciona un dominio y, a continuación, junto al DNSSECestado, selecciona Administrar claves.

      3. En el cuadro de diálogo Administrar DNSSEC claves, elija el tipo de clave y el algoritmo adecuados para el registrador de Route 53 en los menús desplegables.

      4. Copie la Public key (Clave pública) para el registrador de Route 53. En el cuadro de diálogo Administrar DNSSEC claves, pegue el valor en el cuadro de clave pública.

      5. Elija Añadir.

        Route 53 agregará el registro de DS a la zona principal desde la clave pública. Por ejemplo, si su dominio esexample.com, el registro DS se añade a la DNS zona .com.

    • Si el dominio se administra en otro registro, siga las instrucciones de la sección Otro registrador de dominio.

      Para asegurarte de que los siguientes pasos se llevan a cabo sin problemas, introduce un DS TTL bajo en la zona principal. Te recomendamos configurar el DS TTL en 5 minutos (300 segundos) para una recuperación más rápida si necesitas revertir los cambios.

      • Cómo establecer una cadena de confianza para la zona secundaria:

        Si su zona principal está administrada por otro registro, contacte con el registrador para introducir el registro DS de su zona. Por lo general, no podrá ajustar TTL el registro DS.

      • Si su zona principal está alojada en Route 53, póngase en contacto con el propietario de la zona principal para introducir el registro DS de su zona.

        Proporcione la $ds_record_value al propietario de la zona principal. Puede obtenerlo haciendo clic en Ver información para crear un registro DS en la consola y copiando el campo de registro DS, o llamando a Get DNSSEC API y recuperando el valor del campo «DSRecord»:

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        El propietario de la zona principal puede insertar el registro a través de la consola de Route 53 oCLI.

        • Para insertar el registro DS mediante el uso AWS CLI, el propietario de la zona principal crea y asigna un nombre a un JSON archivo similar al siguiente ejemplo. El propietario de la zona principal podría nombrar al archivo algo así como inserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          A continuación, ejecute el siguiente comando:

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Para insertar el registro DS mediante la consola,

          Abra la consola de Route 53 en https://console.aws.amazon.com/route53/.

          En el panel de navegación, elija Hosted zones (Zonas alojadas), el nombre de la zona alojada y luego el botón Create record (Crear registro). Asegúrese de elegir el Enrutamiento sencillo para la Routing policy (Política de enrutamiento).

          En el campo Record name (Nombre del registro) ingrese el mismo nombre que el $zone_name, seleccione DS en el menú desplegable Record type (Tipo de registro), e ingrese el valor de $ds_record_value en el campo Value (Valor), y elija Create records (Crear registros).

    Reversión: retire el DS de la zona principal, espere a que aparezca el DS yTTL, a continuación, anule los pasos para establecer la confianza. Si la zona principal está alojada en Route 53, el propietario de la zona principal puede cambiar el Action nombre de UPSERT a DELETE en el JSON archivo y volver a ejecutar el ejemplo CLI anterior.

  6. Espere a que las actualizaciones se propaguen en función de los registros TTL de su dominio.

    Si la zona principal está en el DNS servicio Route 53, el propietario de la zona principal puede confirmar la propagación completa a través de GetChangeAPI.

    De lo contrario, puede sondear periódicamente la zona principal del registro DS y esperar otros 10 minutos después para aumentar la probabilidad de que la inserción del registro DS se propague por completo. Tenga en cuenta que algunos registradores han programado la inserción de DS, por ejemplo, una vez al día.

Cuando introduzca el registro Delegation Signer (DS) en la zona principal, los solucionadores validados que han recogido el DS comenzarán a validar las respuestas de la zona.

Para asegurarse de que los pasos para establecer la confianza se desarrollen sin problemas, complete lo siguiente:

  1. Encuentre el NS máximoTTL.

    Hay 2 conjuntos de registros NS asociados a sus zonas:

    • El registro NS de la delegación: es el registro NS de su zona mantenida por la zona principal. Puede encontrarlo ejecutando los siguientes comandos Unix (si su zona es ejemplo.com, la zona principal es com):

      dig -t NS com

      Elija uno de los registros NS y, a continuación, ejecute lo siguiente:

      dig @one of the NS records of your parent zone -t NS example.com

      Por ejemplo:

      dig @b.gtld-servers.net. -t NS example.com

    • El registro NS de la zona: es el registro NS de su zona. Puede encontrarlo ejecutando el siguiente comando Unix:

      dig @one of the NS records of your zone -t NS example.com

      Por ejemplo:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Anote el máximo TTL para ambas zonas.

  2. Espere al máximo de NSTTL.

    Antes de la inserción de DS, los solucionadores reciben una respuesta firmada, pero no están validando la firma. Cuando se inserta el registro DS, los solucionadores no lo verán hasta que caduque el registro NS de la zona. Cuando los solucionadores recuperen el registro NS, también se devolverá el registro DS.

    Si su cliente ejecuta un solucionador en un host con un reloj dessincronizado, asegúrese de que el reloj esté dentro de 1 hora desde la hora correcta.

    Tras completar este paso, todos los dispositivos DNSSEC de resolución compatibles validarán tu zona.

  3. Observe la resolución de nombres.

    Debería observar que no hay problemas con los solucionadores que validan su zona. Asegúrese también de tener en cuenta el tiempo necesario para que sus clientes le informen de los problemas.

    Recomendamos supervisar hasta 2 semanas.

  4. (Opcional) Alargue el DS y el NS. TTLs

    Si está satisfecho con la configuración, puede guardar los SOA cambios realizados TTL y los que haya realizado. Tenga en cuenta que la Ruta 53 limita el TTL plazo a 1 semana para las zonas señalizadas. Para obtener más información, consulte Configuración de DNSSEC la firma en Amazon Route 53.

    Si puede cambiar el DSTTL, le recomendamos que lo configure en 1 hora.