Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Activation de la signature DNSSEC et établissement d'une chaîne d'approbation

PDF
RSS
Mode de mise au point
Activation de la signature DNSSEC et établissement d'une chaîne d'approbation - Amazon Route 53
Étape 1 : Préparer l'activation de la signature DNSSECÉtape 2 : Activer la signature DNSSEC et créer une clé KSKÉtape 3 : Établir une chaîne d'approbation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les étapes progressives s'appliquent au propriétaire de la zone hébergée et au responsable de la zone parent. Il peut s'agir de la même personne, mais si ce n'est pas le cas, le propriétaire de la zone doit en informer le responsable de la zone parent et collaborer avec celui-ci.

Nous vous recommandons de suivre les étapes décrites dans cet article pour signer et inclure votre zone dans la chaîne d'approbation. Les étapes suivantes réduiront le risque d'onboarding sur le protocole DNSSEC (Domain Name System Security Extensions).

Note

Assurez-vous de lire les prérequis avant de vous lancer dans Configuration de la signature DNSSEC dans Amazon Route 53.

Trois étapes permettent d'activer la signature DNSSEC, comme décrit dans les sections suivantes.

Étape 1 : Préparer l'activation de la signature DNSSEC

Les étapes de préparation vous aident à réduire le risque d'onboarding à DNSSEC en contrôlant la disponibilité de la zone et en réduisant les temps d'attente entre l'activation de la signature et l'insertion du registre Delegation Signer (DS).

Pour se préparer à l'activation de la signature DNSSEC

  1. Contrôlez la disponibilité de la zone.

    Vous pouvez contrôler la zone de disponibilité des noms de domaine. Cela peut vous aider à résoudre tous les problèmes pouvant justifier un retour à l'étape précédente après avoir activé la signature DNSSEC. Vous pouvez contrôler les noms de domaine ayant le plus de trafic à l'aide de la journalisation des requêtes. Pour plus d'informations sur la configuration de la journalisation des requêtes, consultez Surveillance d'Amazon Route 53.

    Vous pouvez effectuer la surveillance via un script shell ou via un service tiers. Il ne devrait toutefois pas s'agir du seul signal permettant de déterminer si une restauration est nécessaire. Vous recevrez peut-être également des commentaires de vos clients en raison de l'indisponibilité d'un domaine.

  2. Réduisez la TTL maximale de la zone.

    La TTL maximale de la zone est le registre TTL le plus long de la zone. Dans l'exemple de zone ci-dessous, la TTL maximale de la zone est de 1 jour (86 400 secondes).

    Nom TTL Classe de registre Type de registre Données de registre

    exemple.com.

    900

    IN

    SOA

    ns1.exemple.com. hostmaster.exemple.com. 2002022401 10800 15 604800 300

    exemple.com.

    900

    IN

    NS

    ns1.exemple.com.

    route53.exemple.com.

    86400

    IN

    TXT

    some txt record

    La réduction de la TTL maximale de la zone permettra de réduire le temps d'attente entre l'activation de la signature et l'insertion du registre Delegation Signer (DS). Nous vous recommandons de réduire la TTL maximale de la zone à 1 heure (3 600 secondes). Cela vous permet de revenir en arrière après seulement une heure si un résolveur rencontre des problèmes avec la mise en cache des registres signés.

    Restauration : annulez les modifications TTL.

  3. Réduisez le champ SOA TTL and SOA minimum (Valeur TTL SOA et SOA minimale).

    Le champ SOA minimum (Valeur SOA minimale) est le dernier champ des données de registre SOA. Dans l'exemple de registre SOA suivant, le champ Minimum (Minimal) comporte une valeur de 5 minutes (300 secondes).

    Nom TTL Classe de registre Type de registre Données de registre

    exemple.com.

    900

    IN

    SOA

    ns1.exemple.com. hostmaster.exemple.com. 2002022401 10800 15 604800 300

    Le champ SOA TTL and SOA minimum (Valeur TTL SOA et SOA minimale) détermine pendant combien de temps les résolveurs mémorisent les réponses négatives. Une fois que vous avez activé la signature, les serveurs de noms Route 53 commencent à renvoyer des registres NSEC pour obtenir des réponses négatives. NSEC contient des informations que les résolveurs peuvent utiliser pour synthétiser une réponse négative. Si vous devez revenir en arrière, car les informations NSEC ont amené un résolveur à supposer une réponse négative pour un nom, il suffit d'attendre le maximum du champ SOA TTL and SOA minimum (Valeur TTL SOA et SOA minimale) pour que le résolveur arrête l'hypothèse.

    Restauration : annulez les modifications de la source de noms (SOA, Start of Authority).

  4. Assurez-vous que les modifications du champ TTL and SOA minimum (Valeur TTL et SOA minimale) sont appliquées.

    Utilisez-le GetChangepour vous assurer que les modifications que vous avez apportées jusqu'à présent ont été propagées à tous les serveurs DNS Route 53.

Étape 2 : Activer la signature DNSSEC et créer une clé KSK

Vous pouvez activer la signature DNSSEC et créer une clé de signature par clé (KSK) en utilisant AWS CLI ou sur la console Route 53.

Lorsque vous fournissez ou créez une clé KMS gérée par le client, plusieurs exigences s'appliquent. Pour de plus amples informations, veuillez consulter Utilisation des clés gérées par le client pour DNSSEC.

CLI

Vous pouvez utiliser une clé que vous possédez déjà ou en créer une en exécutant une commande AWS CLI telle que la suivante, en utilisant vos propres valeurs pour hostedzone_id, cmk_arn, ksk_name et unique_string (pour rendre la demande unique) :

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Pour plus d'informations sur les clés gérées par le client, consultez Utilisation des clés gérées par le client pour DNSSEC. Voir aussi CreateKeySigningKey.

Pour activer la signature DNSSEC, exécutez une AWS CLI commande comme celle-ci, en utilisant votre propre valeur pour : hostedzone_id

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Pour plus d'informations, consultez enable-hosted-zone-dnssecet EnableHostedZoneDNSSEC.

Console
Pour activer la signature DNSSEC et créer une clé KSK

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée pour laquelle vous souhaitez activer la signature DNSSEC.

  3. Dans l'onglet DNSSEC signing (Signature DNSSEC), choisissez Enable DNSSEC signing (Activer la signature DNSSEC).

    Note

    Si l'option de cette section est Disable DNSSEC signing (Désactiver la signature DNSSEC), vous avez déjà réalisé la première étape de l'activation de la signature DNSSEC. Assurez-vous d'établir une chaîne d'approbation pour la zone hébergée pour DNSSEC, ou assurez-vous qu'il en existe déjà une. Ensuite, vous avez terminé. Pour de plus amples informations, veuillez consulter Étape 3 : Établir une chaîne d'approbation.

  4. Dans Key-signing key (KSK) creation [Création d'une clé de signature de clé (KSK)], choisissez Create new KSK (Créer une clé KSK) et sous Provide KSK name (Fournir un nom de clé KSK), entrez un nom pour la clé KSK que Route 53 créera pour vous. Le nom peut contenir des chiffres, des lettres et des traits de soulignement (_). Il doit être unique.

  5. Sous Customer managed CMK (Clé CMK gérée par le client), choisissez la clé gérée par le client à utiliser par Route 53 lorsqu'il crée la clé KSK pour vous. Vous pouvez utiliser une clé gérée par le client existante qui s'applique à la signature DNSSEC, ou créer une nouvelle clé gérée par le client.

    Lorsque vous fournissez ou créez une clé gérée par le client, plusieurs exigences s'appliquent. Pour plus d'informations, consultez Utilisation des clés gérées par le client pour DNSSEC.

  6. Saisissez l'alias d'une clé gérée par le client existante. Si vous souhaitez utiliser une nouvelle clé gérée par le client, saisissez un alias pour la clé gérée par le client et Route 53 en créera un pour vous.

    Note

    Si vous choisissez que Route 53 crée une clé gérée par le client, sachez que des frais distincts s'appliquent pour chaque clé gérée par le client. Pour plus d'informations, consultez Tarification d'AWS Key Management Service.

  7. Choisissez Enable DNSSEC signing (Activer la signature DNSSEC).

anchoranchor

Vous pouvez utiliser une clé que vous possédez déjà ou en créer une en exécutant une commande AWS CLI telle que la suivante, en utilisant vos propres valeurs pour hostedzone_id, cmk_arn, ksk_name et unique_string (pour rendre la demande unique) :

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Pour plus d'informations sur les clés gérées par le client, consultez Utilisation des clés gérées par le client pour DNSSEC. Voir aussi CreateKeySigningKey.

Pour activer la signature DNSSEC, exécutez une AWS CLI commande comme celle-ci, en utilisant votre propre valeur pour : hostedzone_id

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Pour plus d'informations, consultez enable-hosted-zone-dnssecet EnableHostedZoneDNSSEC.

Une fois que vous avez activé la signature de zone, suivez les étapes ci-après (que vous utilisiez la console ou la CLI) :

  1. Assurez-vous que la signature de zone est effective.

    Si vous l'avez utilisé AWS CLI, vous pouvez utiliser l'identifiant d'opération indiqué dans la sortie de l'EnableHostedZoneDNSSEC()appel pour exécuter get-change ou GetChangepour vous assurer que tous les serveurs DNS Route 53 signent les réponses (status =INSYNC).

  2. Attendez au moins la TTL maximale de la zone précédente.

    Attendez que les résolveurs vident tous les registres non signés de leur cache. Pour ce faire, vous devez attendre au moins la TTL maximale de la zone précédente. Dans la zone example.com ci-dessus, le temps d'attente serait de 1 jour.

  3. Contrôlez les rapports des problèmes de clients.

    Une fois que vous avez activé la signature de zone, vos clients remarqueront peut-être des problèmes liés aux périphériques réseau et aux résolveurs. La période de surveillance recommandée est de 2 semaines.

    Voici des exemples de problèmes que vous pourriez constater :

    • Certains périphériques réseau peuvent limiter la taille de la réponse DNS à moins de 512 octets, ce qui est trop petit pour certaines réponses signées. Ces périphériques réseau doivent être reconfigurés pour autoriser des tailles plus grandes de réponses DNS.

    • Certains périphériques réseau effectuent une inspection approfondie des réponses DNS et suppriment certains registres incompréhensibles, comme ceux utilisés pour DNSSEC. Ces périphériques doivent être reconfigurés.

    • Les résolveurs de certains clients affirment qu'ils peuvent accepter une réponse UDP plus grande que celle prise en charge par leur réseau. Vous pouvez tester la capacité de votre réseau et configurer vos résolveurs de manière appropriée. Pour plus d'informations, consultez Serveur de test de taille de réponse DNS.

Annulation : appelez DisableHostedZoneDNSSEC puis annulez les étapes. Étape 1 : Préparer l'activation de la signature DNSSEC

Étape 3 : Établir une chaîne d'approbation

Après avoir activé la signature DNSSEC pour une zone hébergée dans Route 53, établissez une chaîne d'approbation pour la zone hébergée pour terminer la configuration de votre signature DNSSEC. Pour ce faire, créez un registre Delegation Signer dans la zone hébergée parent, pour votre zone hébergée, à l'aide des informations fournies par Route 53. Selon l'emplacement dans lequel votre domaine est membre, ajoutez le registre à la zone hébergée parent dans Route 53 ou dans un autre bureau d'enregistrement de domaine.

Pour établir une chaîne d'approbation pour la signature DNSSEC

  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), puis choisissez une zone hébergée pour laquelle vous souhaitez établir une chaîne d'approbation DNSSEC. Vous devez d'abord activer la signature DNSSEC.

  3. Dans l'onglet DNSSEC signing (Signature DNSSEC), sous DNSSEC signing (Signature DNSSEC), choisissez View information to create DS record (Afficher les informations pour créer un registre DS).

    Note

    Si vous ne voyez pas View information to create DS record (Afficher les informations pour créer un registre DS) dans cette section, vous devez activer la signature DNSSEC avant d'établir la chaîne d'approbation. Choisissez Enable DNSSEC signing (Activer la signature DNSSEC) et effectuez les étapes, comme décrit dans Étape 2 : Activer la signature DNSSEC et créer une clé KSK, puis revenez à ces étapes pour établir la chaîne d'approbation.

  4. Sous Establish a chain of trust (Établir une chaîne d'approbation), choisissez Route 53 registrar (Bureau d'enregistrement Route 53) ou Another domain registrar (Autre bureau d'enregistrement de domaine), en fonction de l'emplacement dans lequel votre domaine est membre.

  5. Utiliser les valeurs fournies à partir de l'étape 3 pour créer un registre DS pour la zone hébergée parent dans Route 53. Si votre domaine n'est pas hébergé sur Route 53, utilisez les valeurs fournies pour créer un registre DS sur le site Web de votre bureau d'enregistrement de domaines.

    Établissez une chaîne de confiance pour la zone parent :

    • Si votre domaine est géré via Route 53, procédez comme suit :

      Assurez-vous de configurer l'algorithme de signature (ECDSAP256SHA256 et le type 13) et l'algorithme de synthèse (SHA-256 et type 2) corrects.

      Si Route 53 est votre bureau d'enregistrement, procédez comme suit dans la console Route 53 :

      1. Notez les valeurs Key type (Type de clé), Signing algorithm (Algorithme de signature) et Public key (Clé publique). Dans le panneau de navigation, choisissez Registered domains (Domaines membres).

      2. Sélectionnez un domaine, puis, en regard de DNSSEC status (Statut DNSSEC), choisissez Manage keys (Gérer les clés).

      3. Dans la boîte de dialogue Manage DNSSEC keys (Gérer les clés DNSSEC), choisissez le Key type (Type de clé) et l'Algorithm (Algorithme) appropriés au Route 53 registrar (Bureau d'enregistrement Route 53) dans les menus déroulants.

      4. Copiez la Public key (Clé publique) pour le bureau d'enregistrement Route 53. Dans la boîte de dialogue Manage DNSSEC keys (Gérer les clés DNSSEC), collez la valeur dans la zone Public key (Clé publique).

      5. Choisissez Add (Ajouter).

        Route 53 ajoute le registre DS à la zone parent à partir de la clé publique. Par exemple, si votre domaine est example.com, le registre DS est ajouté à la zone DNS .com.

    • Si votre domaine est géré sur un autre registre, suivez les instructions de la section Autre bureau d'enregistrement de domaines.

      Pour vous assurer que les étapes suivantes se déroulent correctement, présentez une TTL DS faible à la zone parent. Nous vous recommandons de définir la TTL DS sur 5 minutes (300 secondes) pour une récupération plus rapide si vous devez annuler vos modifications.

      • Établissez une chaîne de confiance pour la zone enfant :

        Si votre zone parent est administrée par un autre registre, contactez votre bureau d'enregistrement pour présenter le registre DS de votre zone. En règle générale, vous ne pourrez pas ajuster la TTL du registre DS.

      • Si votre zone parent est hébergée sur Route 53, contactez le propriétaire de la zone parent pour présenter le registre DS de votre zone.

        Fournissez $ds_record_value au propriétaire de la zone parent. Vous pouvez l'obtenir en cliquant sur Afficher les informations pour créer un enregistrement DS dans la console et en copiant le champ d'enregistrement DS, ou en appelant l'API GetDNSSEC et en récupérant la valeur du champ « » : DSRecord

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        Le propriétaire de la zone parent peut insérer le registre via la console Route 53 ou la CLI.

        • Pour insérer l'enregistrement DS à l'aide de AWS CLI, le propriétaire de la zone parent crée et nomme un fichier JSON similaire à l'exemple suivant. Le propriétaire de la zone parent peut nommer le fichier de manière semblable : inserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          Ensuite, exécutez la commande suivante :

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Pour insérer le registre DS à l'aide de la console,

          Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

          Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), le nom de votre zone hébergée, puis le bouton Create record (Créer un registre). Assurez-vous de choisir le routage simple pour la Routing policy(Politique de routage).

          Dans le champ Record name (Nom du registre), saisissez le même nom que celui de $zone_name, sélectionnez DS dans la liste déroulante Record type (Type de registre), puis saisissez la valeur de $ds_record_value dans le champ Value (Valeur) et choisissez Create records (Créer des registres).

    Restauration : supprimez le DS de la zone parent, attendez la TTL DS, puis annulez les étapes d'établissement de l'approbation. Si la zone parent est hébergée sur Route 53, le propriétaire de la zone parent peut passer Action de UPSERT à DELETE dans le fichier JSON, puis réexécuter l'exemple de CLI ci-dessus.

  6. Attendez que les mises à jour se propagent, en fonction de la TTL pour vos registres de domaine.

    Si la zone parent est sur le service DNS Route 53, le propriétaire de la zone parent peut confirmer la propagation complète via l'GetChangeAPI.

    Sinon, vous pouvez rechercher périodiquement le registre DS dans la zone parent, puis attendre ensuite 10 minutes de plus pour augmenter la probabilité de propagation complète de l'insertion du registre DS. Notez que certains bureaux d'enregistrement ont planifié l'insertion de DS, par exemple une fois par jour.

Lorsque vous présentez le registre Delegation Signer (DS) dans la zone parent, les résolveurs validés qui ont récupéré le DS commenceront à valider les réponses à partir de la zone.

Pour vous assurer que les étapes d'établissement de l'approbation se déroulent correctement, renseignez les informations suivantes :

  1. Trouvez la TTL NS maximale.

    2 jeux de registres NS sont associés à vos zones :

    • Registre NS de délégation : il s'agit du registre NS de votre zone détenu par la zone parent. Pour le trouver, exécutez les commandes Unix suivantes (si votre zone est exemple.com, la zone parent est com) :

      dig -t NS com

      Choisissez l'un des registres NS, puis exécutez les éléments suivants :

      dig @one of the NS records of your parent zone -t NS example.com

      Par exemple :

      dig @b.gtld-servers.net. -t NS example.com

    • Registre NS dans la zone : il s'agit du registre NS de votre zone. Pour le trouver, exécutez la commande Unix suivante :

      dig @one of the NS records of your zone -t NS example.com

      Par exemple :

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Notez la TTL maximale pour les deux zones.

  2. Attendez la TTL NS maximale.

    Avant l'insertion de DS, les résolveurs reçoivent une réponse signée, mais ne valident pas la signature. Lorsque le registre DS est inséré, les résolveurs ne le verront pas avant l'expiration du registre NS de la zone. Lorsque les résolveurs extraient à nouveau le registre NS, le registre DS est également renvoyé.

    Si votre client exécute un résolveur sur un hôte dont l'horloge n'est pas synchronisée, assurez-vous que l'horloge n'avance pas ni ne recule de 1 heure de l'heure correcte.

    Une fois cette étape terminée, tous les résolveurs compatibles avec DNSSEC valideront votre zone.

  3. Observez la résolution des noms.

    Vous devez noter qu'il n'existe aucun problème avec les résolveurs qui valident votre zone. Assurez-vous également de prendre en compte le temps nécessaire à vos clients pour vous signaler les problèmes.

    Nous vous recommandons d'effectuer la surveillance pendant 2 semaines au maximum.

  4. (Facultatif) Allongez le DS et le NS. TTLs

    Si la configuration vous convient, vous pouvez enregistrer les modifications de TTL et de SOA que vous avez apportées. Notez que Route 53 limite la TTL à une semaine pour les zones signées. Pour de plus amples informations, veuillez consulter Configuration de la signature DNSSEC dans Amazon Route 53.

    Si vous pouvez modifier la TTL DS, nous vous recommandons de la définir sur 1 heure.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.