Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengaktifkan penandatanganan DNSSEC dan membuat rantai kepercayaan

PDF
RSS
Mode fokus
Mengaktifkan penandatanganan DNSSEC dan membuat rantai kepercayaan - Amazon Route 53
Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSECLangkah 2: Aktifkan penandatanganan DNSSEC dan buat KSKLangkah 3: Membangun rantai kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah-langkah tambahan berlaku untuk pemilik zona yang dihosting dan pengelola zona induk. Ini bisa menjadi orang yang sama, tetapi jika tidak, pemilik zona harus memberi tahu dan bekerja dengan pengelola zona induk.

Kami merekomendasikan mengikuti langkah-langkah dalam artikel ini agar zona Anda ditandatangani dan dimasukkan dalam rantai kepercayaan. Langkah-langkah berikut akan meminimalkan risiko orientasi ke DNSSEC.

catatan

Pastikan Anda membaca prasyarat sebelum memulai. Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53

Ada tiga langkah yang harus diambil untuk mengaktifkan penandatanganan DNSSEC, seperti yang dijelaskan di bagian berikut.

Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC

Langkah-langkah persiapan membantu Anda meminimalkan risiko orientasi ke DNSSEC dengan memantau ketersediaan zona dan menurunkan waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS).

Untuk mempersiapkan untuk mengaktifkan penandatanganan DNSSEC

  1. Pantau ketersediaan zona.

    Anda dapat memantau zona untuk ketersediaan nama domain Anda. Ini dapat membantu Anda mengatasi masalah apa pun yang mungkin memerlukan mundur selangkah setelah Anda mengaktifkan penandatanganan DNSSEC. Anda dapat memantau nama domain Anda dengan sebagian besar lalu lintas dengan menggunakan pencatatan kueri. Untuk informasi selengkapnya tentang menyiapkan pencatatan kueri, lihatMemantau Amazon Route 53.

    Pemantauan dapat dilakukan melalui skrip shell, atau melalui layanan pihak ketiga. Namun, seharusnya tidak menjadi satu-satunya sinyal untuk menentukan apakah rollback diperlukan. Anda mungkin juga mendapatkan umpan balik dari pelanggan Anda karena domain tidak tersedia.

  2. Turunkan TTL maksimum zona.

    TTL maksimum zona adalah rekor TTL terpanjang di zona tersebut. Di zona contoh berikut, TTL maksimum zona adalah 1 hari (86400 detik).

    Nama TTL Kelas rekam Jenis catatan Rekam data

    example.com.

    900

    DI DALAM

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    example.com.

    900

    DI DALAM

    NS

    ns1.example.com.

    route53.example.com.

    86400

    DI DALAM

    TXT

    some txt record

    Menurunkan TTL maksimum zona akan membantu mengurangi waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS). Kami merekomendasikan untuk menurunkan TTL maksimum zona menjadi 1 jam (3600 detik). Ini memungkinkan Anda untuk memutar kembali setelah hanya satu jam jika ada penyelesai yang memiliki masalah dengan catatan yang ditandatangani caching.

    Rollback: batalkan perubahan TTL.

  3. Turunkan bidang minimum SOA TTL dan SOA.

    Bidang minimum SOA adalah bidang terakhir dalam data catatan SOA. Dalam contoh berikut catatan SOA, bidang minimum memiliki nilai 5 menit (300 detik).

    Nama TTL Kelas rekam Jenis catatan Rekam data

    example.com.

    900

    DI DALAM

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    Bidang minimum SOA TTL dan SOA menentukan berapa lama resolver mengingat jawaban negatif. Setelah Anda mengaktifkan penandatanganan, server nama Route 53 mulai mengembalikan catatan NSEC untuk jawaban negatif. NSEC berisi informasi yang mungkin digunakan resolver untuk mensintesis jawaban negatif. Jika Anda harus memutar kembali karena informasi NSEC menyebabkan resolver mengasumsikan jawaban negatif untuk sebuah nama, maka Anda hanya perlu menunggu maksimum bidang minimum SOA TTL dan SOA agar resolver menghentikan asumsi.

    Rollback: batalkan perubahan SOA.

  4. Pastikan perubahan bidang minimum TTL dan SOA efektif.

    Gunakan GetChangeuntuk memastikan perubahan Anda sejauh ini telah disebarkan ke semua server DNS Route 53.

Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK

Anda dapat mengaktifkan penandatanganan DNSSEC dan membuat kunci penandatanganan kunci (KSK) dengan menggunakan AWS CLI atau di konsol Route 53.

Saat Anda menyediakan atau membuat kunci KMS yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC.

CLI

Anda dapat menggunakan kunci yang sudah Anda miliki, atau membuatnya dengan menjalankan AWS CLI perintah seperti berikut menggunakan nilai Anda sendiri untukhostedzone_id,cmk_arn,ksk_name, dan unique_string (untuk membuat permintaan unik):

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihatBekerja dengan kunci yang dikelola pelanggan untuk DNSSEC. Lihat juga CreateKeySigningKey.

Untuk mengaktifkan penandatanganan DNSSEC, jalankan AWS CLI perintah seperti berikut, menggunakan nilai Anda sendiri untuk: hostedzone_id

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Untuk informasi lebih lanjut, lihat enable-hosted-zone-dnssecdan EnableHostedZoneDNSSEC.

Console
Cara mengaktifkan penandatanganan DNSSEC dan membuat KSK

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih zona yang di-hosting, lalu pilih zona yang di-hosting dengan penandatanganan DNSSEC yang ingin Anda aktifkan.

  3. Di tab Penandatanganan DNSSEC, pilih Aktifkan penandatanganan DNSSEC.

    catatan

    Jika opsi di bagian ini adalah Nonaktifkan penandatanganan DNSSEC, Anda telah menyelesaikan langkah pertama dalam mengaktifkan penandatanganan DNSSEC. Pastikan bahwa Anda membuat, atau sudah ada, rantai kepercayaan bagi zona yang di-hosting untuk DNSSEC, lalu Anda selesai. Untuk informasi selengkapnya, lihat Langkah 3: Membangun rantai kepercayaan.

  4. Di bagian pembuatan Kunci Penandatanganan Kunci (KSK), pilih Buat KSK baru, dan di bawah Berikan nama KSK, masukkan nama untuk KSK yang akan dibuat Route 53 untuk Anda. Nama dapat mencakup angka, huruf, dan garis bawah (_). Nama ini harus unik.

  5. Di bawah CMK yang dikelola Pelanggan, pilih kunci terkelola pelanggan untuk Route 53 untuk digunakan saat membuat KSK untuk Anda. Anda dapat menggunakan kunci terkelola pelanggan yang sudah ada yang berlaku untuk penandatanganan DNSSEC, atau membuat kunci terkelola pelanggan baru.

    Saat Anda memberikan atau membuat kunci yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC.

  6. Masukkan alias untuk kunci terkelola pelanggan yang sudah ada. Jika Anda ingin menggunakan kunci terkelola pelanggan baru, masukkan alias untuk kunci yang dikelola pelanggan, dan Route 53 akan membuatnya untuk Anda.

    catatan

    Jika Anda memilih agar Route 53 membuat kunci terkelola pelanggan, ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Harga Layananan Manajemen Kunci AWS.

  7. Pilih Aktifkan penandatanganan DNSSEC.

anchoranchor

Anda dapat menggunakan kunci yang sudah Anda miliki, atau membuatnya dengan menjalankan AWS CLI perintah seperti berikut menggunakan nilai Anda sendiri untukhostedzone_id,cmk_arn,ksk_name, dan unique_string (untuk membuat permintaan unik):

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihatBekerja dengan kunci yang dikelola pelanggan untuk DNSSEC. Lihat juga CreateKeySigningKey.

Untuk mengaktifkan penandatanganan DNSSEC, jalankan AWS CLI perintah seperti berikut, menggunakan nilai Anda sendiri untuk: hostedzone_id

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Untuk informasi lebih lanjut, lihat enable-hosted-zone-dnssecdan EnableHostedZoneDNSSEC.

Setelah Anda mengaktifkan penandatanganan zona, selesaikan langkah-langkah berikut (apakah Anda menggunakan konsol atau CLI):

  1. Pastikan penandatanganan zona efektif.

    Jika digunakan AWS CLI, Anda dapat menggunakan Id operasi dari output EnableHostedZoneDNSSEC() panggilan untuk menjalankan get-change atau GetChangeuntuk memastikan bahwa semua Server DNS Route 53 menandatangani tanggapan (status =). INSYNC

  2. Tunggu setidaknya TTL maksimum zona sebelumnya.

    Tunggu resolver untuk menghapus semua catatan yang tidak ditandatangani dari cache mereka. Untuk mencapai ini, Anda harus menunggu setidaknya TTL maksimum zona sebelumnya. Di example.com zona di atas, waktu tunggu adalah 1 hari.

  3. Memantau laporan masalah pelanggan.

    Setelah Anda mengaktifkan penandatanganan zona, pelanggan Anda mungkin mulai melihat masalah yang terkait dengan perangkat jaringan dan resolver. Periode pemantauan yang disarankan adalah 2 minggu.

    Berikut ini adalah contoh masalah yang mungkin Anda lihat:

    • Beberapa perangkat jaringan dapat membatasi ukuran respons DNS hingga di bawah 512 byte, yang terlalu kecil untuk beberapa respons yang ditandatangani. Perangkat jaringan ini harus dikonfigurasi ulang untuk memungkinkan ukuran respons DNS yang lebih besar.

    • Beberapa perangkat jaringan melakukan inspeksi mendalam pada respons DNS dan menghapus catatan tertentu yang tidak dimengerti, seperti yang digunakan untuk DNSSEC. Perangkat ini harus dikonfigurasi ulang.

    • Beberapa resolver pelanggan mengklaim bahwa mereka dapat menerima respons UDP yang lebih besar daripada dukungan jaringan mereka. Anda dapat menguji kemampuan jaringan Anda dan mengkonfigurasi resolver Anda dengan tepat. Untuk informasi selengkapnya lihat, DNS Reply Size Test Server.

Rollback: panggil DisableHostedZoneDNSSEC lalu kembalikan langkah-langkahnya. Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC

Langkah 3: Membangun rantai kepercayaan

Setelah Anda mengaktifkan penandatanganan DNSSEC untuk zona yang di-hosting di Route 53, buat rantai kepercayaan untuk zona yang di-hosting guna menyelesaikan penyiapan penandatanganan DNSSEC. Anda melakukan ini dengan membuat catatan Delegation Signer (DS) di zona yang di-hosting induk, untuk zona yang di-hosting, menggunakan informasi yang disediakan Route 53. Tergantung pada tempat domain terdaftar, Anda menambahkan catatan ke zona yang di-hosting induk di Route 53 atau registrar domain lain.

Cara membuat rantai kepercayaan untuk penandatanganan DNSSEC

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih zona yang di-hosting, lalu pilih zona yang di-hosting yang ingin dibuatkan rantai kepercayaan DNSSEC. Anda harus mengaktifkan penandatanganan DNSSEC terlebih dahulu.

  3. Di tab Penandatanganan DNSSEC, di bawah Penandatanganan DNSSEC, pilih Lihat informasi untuk membuat catatan DS.

    catatan

    Jika tidak melihat Lihat informasi untuk membuat catatan DS di bagian ini, Anda harus mengaktifkan penandatanganan DNSSEC sebelum membuat rantai kepercayaan. Pilih Aktifkan penandatanganan DNSSEC dan selesaikan langkah-langkah seperti yang dijelaskanLangkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK, lalu kembali ke langkah-langkah ini untuk membangun rantai kepercayaan.

  4. Di bawah Buat rantai kepercayaan, pilih salah satu Registrar Route 53 atau Registrar domain lainnya, tergantung tempat domain Anda terdaftar.

  5. Gunakan nilai yang disediakan dari langkah 3 untuk membuat catatan DS untuk zona host induk di Route 53. Jika domain Anda tidak di-host di Route 53, gunakan nilai yang disediakan untuk membuat catatan DS di situs web registrar domain Anda.

    Membangun rantai kepercayaan untuk zona induk:

    • Jika domain Anda dikelola melalui Route 53, ikuti langkah-langkah berikut:

      Pastikan Anda mengonfigurasi algoritma penandatanganan yang benar (ECDSAP256SHA256 dan ketik 13) dan algoritma intisari (SHA-256 dan tipe 2).

      Jika Route 53 adalah registrar Anda, lakukan hal berikut di konsol Route 53:

      1. Catat nilai Jenis kunci, Algoritme, dan Kunci publik. Di panel navigasi, pilih Domain terdaftar.

      2. Pilih domain, lalu di samping Status DNSSEC, pilih Kelola kunci.

      3. Dalam kotak dialog Kelola kunci DNSSEC, pilih jenis Kunci dan Algoritma yang sesuai untuk registrar Route 53 dari menu tarik-turun.

      4. Salin Kunci publik untuk registrar Route 53. Di kotak dialog Kelola kunci DNSSEC, tempelkan nilainya ke kotak kunci Publik.

      5. Pilih Tambahkan.

        Route 53 akan menambahkan catatan DS ke zona induk dari kunci publik. Misalnya, jika domain Andaexample.com, catatan DS ditambahkan ke zona DNS.com.

    • Jika domain Anda dikelola di registri lain, ikuti instruksi di bagian Registrar domain lain.

      Untuk memastikan langkah-langkah berikut berjalan lancar, perkenalkan DS TTL rendah ke zona induk. Kami merekomendasikan pengaturan DS TTL ke 5 menit (300 detik) untuk pemulihan yang lebih cepat jika Anda perlu mengembalikan perubahan Anda.

      • Membangun rantai kepercayaan untuk zona anak:

        Jika zona induk Anda dikelola oleh registri lain, hubungi registrar Anda untuk memperkenalkan catatan DS untuk zona Anda. Biasanya Anda tidak akan dapat menyesuaikan TTL dari catatan DS.

      • Jika zona induk Anda di-host di Route 53, hubungi pemilik zona induk untuk memperkenalkan catatan DS untuk zona Anda.

        Berikan $ds_record_value kepada pemilik zona induk. Anda bisa mendapatkannya dengan mengklik Lihat Informasi untuk membuat catatan DS di konsol dan menyalin bidang catatan DS, atau dengan memanggil GetDNSSec API dan mengambil nilai bidang '': DSRecord

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        Pemilik zona induk dapat memasukkan catatan melalui konsol Route 53 atau CLI.

        • Untuk menyisipkan catatan DS dengan menggunakan AWS CLI, pemilik zona induk membuat dan memberi nama file JSON yang mirip dengan contoh berikut. Pemilik zona induk mungkin memberi nama file seperti ituinserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          Kemudian jalankan perintah berikut:

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Untuk memasukkan catatan DS dengan menggunakan konsol,

          Buka konsol Route 53 di https://console.aws.amazon.com/route53/.

          Di panel navigasi, pilih Zona yang dihosting, nama zona yang dihosting, lalu tombol Buat rekam. Pastikan Anda memilih Perutean sederhana untuk kebijakan Routing.

          Di bidang Nama rekam masukkan nama yang sama dengan$zone_name, pilih DS dari tarik-turun Jenis rekaman, dan masukkan nilai $ds_record_value ke dalam bidang Nilai, dan pilih Buat catatan.

    Rollback: hapus DS dari zona induk, tunggu DS TTL, lalu putar kembali langkah-langkah untuk membangun kepercayaan. Jika zona induk di-host di Route 53, pemilik zona induk dapat mengubah Action dari UPSERT ke DELETE dalam file JSON, dan menjalankan kembali contoh CLI di atas.

  6. Tunggu pembaruan disebarkan, berdasarkan TTL untuk catatan domain Anda.

    Jika zona induk ada di layanan DNS Route 53, pemilik zona induk dapat mengonfirmasi propagasi penuh melalui API. GetChange

    Jika tidak, Anda dapat secara berkala menyelidiki zona induk untuk catatan DS, dan kemudian menunggu 10 menit setelahnya untuk meningkatkan kemungkinan penyisipan catatan DS disebarkan sepenuhnya. Perhatikan bahwa beberapa pendaftar telah menjadwalkan penyisipan DS, misalnya, sekali sehari.

Saat Anda memperkenalkan catatan Penandatangan Delegasi (DS) di zona induk, resolver tervalidasi yang telah mengambil DS akan mulai memvalidasi tanggapan dari zona tersebut.

Untuk memastikan langkah-langkah membangun kepercayaan berjalan lancar, selesaikan hal-hal berikut:

  1. Temukan NS TTL maksimum.

    Ada 2 set catatan NS yang terkait dengan zona Anda:

    • Catatan NS delegasi — ini adalah catatan NS untuk zona Anda yang dipegang oleh zona induk. Anda dapat menemukannya dengan menjalankan perintah Unix berikut (jika zona Anda adalah example.com, zona induknya adalah com):

      dig -t NS com

      Pilih salah satu catatan NS dan kemudian jalankan yang berikut ini:

      dig @one of the NS records of your parent zone -t NS example.com

      Sebagai contoh:

      dig @b.gtld-servers.net. -t NS example.com

    • Catatan NS dalam zona — ini adalah catatan NS di zona Anda. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

      dig @one of the NS records of your zone -t NS example.com

      Sebagai contoh:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Perhatikan TTL maksimum untuk kedua zona.

  2. Tunggu NS TTL maksimum.

    Sebelum penyisipan DS, resolver mendapatkan respons yang ditandatangani, tetapi tidak memvalidasi tanda tangan. Ketika catatan DS dimasukkan, resolver tidak akan melihatnya sampai catatan NS untuk zona berakhir. Ketika resolver mengambil kembali catatan NS, catatan DS kemudian akan dikembalikan.

    Jika pelanggan Anda menjalankan resolver pada host dengan jam yang tidak sinkron, pastikan jam berada dalam 1 jam dari waktu yang benar.

    Setelah menyelesaikan langkah ini, semua resolver yang sadar DNSSEC akan memvalidasi zona Anda.

  3. Amati resolusi nama.

    Anda harus memperhatikan bahwa tidak ada masalah dengan resolver yang memvalidasi zona Anda. Pastikan Anda juga memperhitungkan waktu yang dibutuhkan pelanggan Anda untuk melaporkan masalah kepada Anda.

    Kami merekomendasikan pemantauan hingga 2 minggu.

  4. (Opsional) Perpanjang DS dan NS TTLs.

    Jika Anda puas dengan pengaturan, Anda dapat menyimpan perubahan TTL dan SOA yang Anda buat. Perhatikan bahwa Rute 53 membatasi TTL hingga 1 minggu untuk zona yang ditandatangani. Untuk informasi selengkapnya, lihat Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53.

    Jika Anda dapat mengubah DS TTL, kami sarankan Anda mengaturnya ke 1 jam.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.