Solución de problemas de firma DNSSEC

La información de esta sección puede ayudarte a solucionar los problemas relacionados con la DNSSEC firma, incluida la activación, la desactivación y la utilización de las claves de firma (). KSKs

¿Habilitar DNSSEC

Asegúrese de haber leído los requisitos previos Configuración de DNSSEC la firma en Amazon Route 53 antes de empezar a habilitar la DNSSEC firma.

Inhabilitando DNSSEC

Para poder desactivarla de forma seguraDNSSEC, Route 53 comprobará si la zona objetivo se encuentra en la cadena de confianza. Comprueba si el elemento principal de la zona de destino tiene algún registro de NS o de DS de la zona de destino. Si la zona de destino no se puede resolver públicamente (por ejemplo, si recibe una SERVFAIL respuesta al consultar NS y DS), Route 53 no puede determinar si es seguro deshabilitarla. DNSSEC Puede ponerse en contacto con su zona principal para solucionar esos problemas y volver a intentar deshabilitarla más adelante. DNSSEC

KSKel estado es Acción necesaria

A KSK puede cambiar su estado a Acción necesaria (o ACTION_NEEDED en KeySigningKeyestado) cuando Route 53 DNSSEC pierde el acceso a la correspondiente AWS KMS key (debido a un cambio en los permisos o a una AWS KMS key eliminación).

Si el estado de a KSK es Acción necesaria, significa que, con el tiempo, se producirá una interrupción en la zona para los clientes que utilicen solucionadores de DNSSEC validación, por lo que debes actuar con rapidez para evitar que una zona de producción deje de ser solucionable.

Para corregir el problema, asegúrese de que la clave gestionada por el cliente en la que KSK se basa esté habilitada y tenga los permisos correctos. Para obtener más información sobre los permisos necesarios, consulte Los permisos clave de Route 53 administrados por el cliente son necesarios para firmar DNSSEC.

Cuando lo haya solucionadoKSK, vuelva a activarlo mediante la consola o el AWS CLI, tal y como se describe enPaso 2: Habilite la DNSSEC firma y cree un KSK.

Para evitar este problema en el futuro, considere agregar una Amazon CloudWatch métrica para rastrear el estado del, KSK como se sugiere enConfiguración de DNSSEC la firma en Amazon Route 53.

KSKel estado es Fallo interno

Cuando a KSK tiene un estado de fallo interno (o se encuentra INTERNAL_FAILURE en un KeySigningKeyestado), no puede trabajar con ninguna otra DNSSEC entidad hasta que se resuelva el problema. Debes tomar medidas antes de empezar a trabajar con la DNSSEC firma, incluso con esta KSK u otraKSK.

Para corregir el problema, vuelve a intentar activar o desactivar elKSK.

Para corregir el problema al trabajar con elAPIs, intente habilitar la firma (EnableHostedZoneDNSSEC) o deshabilitar la firma (DisableHostedZoneDNSSEC).

Es importante que corrija los problemas de tipo Internal failure (Error interno) lo antes posible. No puede realizar ningún otro cambio en la zona alojada hasta que corrija el problema, excepto las operaciones para corregir el Internal failure (Error interno).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

DNSSECpruebas de inexistencia en Route 53

Uso de AWS Cloud Map para crear registros y comprobaciones de estado