Menonaktifkan penandatanganan DNSSEC - Amazon Route 53

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menonaktifkan penandatanganan DNSSEC

Langkah-langkah untuk menonaktifkan DNSSEC penandatanganan di Route 53 bervariasi, tergantung pada rantai kepercayaan yang menjadi bagian dari zona host Anda.

Misalnya, zona yang di-hosting Anda mungkin memiliki zona induk yang memiliki catatan Delegation Signer (DS), sebagai bagian dari rantai kepercayaan. Zona host Anda mungkin juga merupakan zona induk untuk zona anak yang telah mengaktifkan DNSSEC penandatanganan, yang merupakan bagian lain dari rantai kepercayaan. Selidiki dan tentukan rantai kepercayaan penuh untuk zona host Anda sebelum Anda mengambil langkah-langkah untuk menonaktifkan DNSSEC penandatanganan.

Rantai kepercayaan untuk zona host Anda yang memungkinkan DNSSEC penandatanganan harus dibatalkan dengan hati-hati saat Anda menonaktifkan penandatanganan. Untuk menghapus zona yang di-hosting dari rantai kepercayaan, Anda menghapus semua catatan DS yang ada untuk rantai kepercayaan yang mencakup zona yang di-hosting ini. Ini berarti Anda harus melakukan hal berikut, agar dapat:

  1. Menghapus catatan DS yang dimiliki zona yang di-hosting untuk zona anak yang merupakan bagian dari rantai kepercayaan.

  2. Hapus catatan DS dari zona induk. Lewati langkah ini jika Anda memiliki pulau kepercayaan (tidak ada catatan DS di zona induk dan tidak ada catatan DS untuk zona anak di zona ini).

  3. Jika Anda tidak dapat menghapus catatan DS, untuk menghapus zona dari rantai kepercayaan, hapus catatan NS dari zona induk. Untuk informasi selengkapnya, lihat Menambahkan atau mengubah server nama dan merekatkan catatan untuk domain.

Langkah-langkah tambahan berikut memungkinkan Anda untuk memantau efektivitas langkah-langkah individu untuk menghindari masalah DNS ketersediaan di zona Anda.

Untuk menonaktifkan DNSSEC penandatanganan

  1. Pantau ketersediaan zona.

    Anda dapat memantau zona untuk ketersediaan nama domain Anda. Ini dapat membantu Anda mengatasi masalah apa pun yang mungkin memerlukan mundur selangkah setelah Anda mengaktifkan DNSSEC penandatanganan. Anda dapat memantau nama domain Anda dengan sebagian besar lalu lintas dengan menggunakan pencatatan kueri. Untuk informasi selengkapnya tentang menyiapkan pencatatan kueri, lihatMemantau Amazon Route 53.

    Pemantauan dapat dilakukan melalui skrip shell, atau melalui layanan berbayar. Namun, seharusnya tidak menjadi satu-satunya sinyal untuk menentukan apakah rollback diperlukan. Anda mungkin juga mendapatkan umpan balik dari pelanggan Anda karena domain tidak tersedia.

  2. Temukan DS saat iniTTL.

    Anda dapat menemukan DS TTL dengan menjalankan perintah Unix berikut:

    dig -t DS example.com example.com

  3. Temukan NS maksimumTTL.

    Ada 2 set catatan NS yang terkait dengan zona Anda:

    • Catatan NS delegasi — ini adalah catatan NS untuk zona Anda yang dipegang oleh zona induk. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

      Pertama temukan NS zona induk Anda (jika zona Anda adalah example.com, zona induknya adalah com):

      dig -t NS com

      Pilih salah satu catatan NS dan kemudian jalankan yang berikut:

      dig @one of the NS records of your parent zone -t NS example.com

      Sebagai contoh:

      dig @b.gtld-servers.net. -t NS example.com

    • Catatan NS dalam zona — ini adalah catatan NS di zona Anda. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

      dig @one of the NS records of your zone -t NS example.com

      Sebagai contoh:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Perhatikan maksimum TTL untuk kedua zona.

  4. Hapus catatan DS dari zona induk.

    Hubungi pemilik zona induk untuk menghapus catatan DS.

    Rollback: masukkan kembali catatan DS, konfirmasikan penyisipan DS efektif, dan tunggu NS maksimum (bukan DS) TTL sebelum semua resolver mulai memvalidasi lagi.

  5. Konfirmasikan penghapusan DS efektif.

    Jika zona induk ada di DNS layanan Route 53, pemilik zona induk dapat mengonfirmasi propagasi penuh melalui. GetChangeAPI

    Jika tidak, Anda dapat secara berkala menyelidiki zona induk untuk catatan DS, dan kemudian menunggu 10 menit setelahnya untuk meningkatkan kemungkinan penghapusan catatan DS disebarkan sepenuhnya. Perhatikan bahwa beberapa pendaftar telah menjadwalkan penghapusan DS, misalnya sekali sehari.

  6. Tunggu DSTTL.

    Tunggu sampai semua resolver telah kedaluwarsa catatan DS dari cache mereka.

  7. Nonaktifkan DNSSEC penandatanganan dan nonaktifkan kunci penandatanganan kunci (). KSK

    CLI

    Panggilan DisableHostedZoneDNSSECdan DeactivateKeySigningKeyAPIs.

    Sebagai contoh:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    Untuk menonaktifkan DNSSEC penandatanganan

    1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

    2. Di panel navigasi, pilih Zona yang dihosting, lalu pilih zona yang dihosting yang ingin Anda nonaktifkan DNSSEC penandatanganan.

    3. Pada tab DNSSECpenandatanganan, pilih Nonaktifkan DNSSEC penandatanganan.

    4. Pada halaman Nonaktifkan DNSSEC penandatanganan, pilih salah satu opsi berikut, tergantung pada skenario untuk zona tempat Anda menonaktifkan DNSSEC penandatanganan.

      • Zona induk saja — Zona ini memiliki zona induk dengan catatan DS. Dalam skenario ini, Anda harus menghapus catatan DS zona induk.

      • Zona anak saja — Zona ini memiliki catatan DS untuk rantai kepercayaan dengan satu atau lebih zona anak. Dalam skenario ini, Anda harus menghapus catatan DS zona.

      • Zona induk dan anak — Zona ini memiliki catatan DS untuk rantai kepercayaan dengan satu atau lebih zona anak dan zona induk dengan catatan DS. Dalam skenario ini, lakukan hal-hal berikut, untuk dapat:

        1. Menghapus catatan DS zona.

        2. Menghapus catatan DS zona induk.

        Jika Anda memiliki pulau kepercayaan, Anda dapat melewati langkah ini.

    5. Tentukan apa yang TTL ada untuk setiap catatan DS yang Anda hapus di Langkah 4. , Pastikan TTL periode terpanjang telah kedaluwarsa.

    6. Pilih kotak centang untuk mengonfirmasi bahwa Anda telah mengikuti langkah-langkah secara berurutan.

    7. Ketik Nonaktifkan di bidang, seperti yang ditampilkan, lalu pilih Nonaktifkan.

    Untuk menonaktifkan kunci penandatanganan kunci () KSK

    1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

    2. Di panel navigasi, pilih Zona yang dihosting, lalu pilih zona yang dihosting yang ingin Anda nonaktifkan kunci penandatanganan kunci (). KSK

    3. Di bagian Tombol penandatanganan kunci (KSKs), pilih tombol yang ingin KSK Anda nonaktifkan, dan di bawah Tindakan, pilih Edit KSK, atur KSKstatus ke Tidak Aktif, lalu pilih Simpan. KSK

    Rollback: panggilan ActivateKeySigningKeydan. EnableHostedZoneDNSSECAPIs

    Sebagai contoh:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Konfirmasikan penonaktifan penandatanganan zona efektif.

    Gunakan Id dari EnableHostedZoneDNSSEC() panggilan untuk menjalankan GetChangeuntuk memastikan bahwa semua DNS Server Route 53 telah berhenti menandatangani tanggapan (status =INSYNC).

  9. Amati resolusi nama.

    Anda harus mengamati bahwa tidak ada masalah yang mengakibatkan resolver memvalidasi zona Anda. Biarkan 1-2 minggu untuk memperhitungkan waktu yang dibutuhkan pelanggan Anda untuk melaporkan masalah kepada Anda.

  10. (Opsional) Bersihkan.

    Jika Anda tidak akan mengaktifkan kembali penandatanganan, Anda dapat membersihkan KSKs DeleteKeySigningKeydan menghapus kunci yang dikelola pelanggan yang sesuai untuk menghemat biaya.