Mengaktifkan DNSSEC penandatanganan dan membangun rantai kepercayaan - Amazon Route 53
Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSECLangkah 2: Aktifkan DNSSEC penandatanganan dan buat KSKLangkah 3: Membangun rantai kepercayaan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengaktifkan DNSSEC penandatanganan dan membangun rantai kepercayaan

Langkah-langkah tambahan berlaku untuk pemilik zona yang dihosting dan pengelola zona induk. Ini bisa menjadi orang yang sama, tetapi jika tidak, pemilik zona harus memberi tahu dan bekerja dengan pengelola zona induk.

Kami merekomendasikan mengikuti langkah-langkah dalam artikel ini agar zona Anda ditandatangani dan dimasukkan dalam rantai kepercayaan. Langkah-langkah berikut akan meminimalkan risiko orientasi keDNSSEC.

catatan

Pastikan Anda membaca prasyarat sebelum memulai. Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53

Ada tiga langkah yang harus diambil untuk mengaktifkan DNSSEC penandatanganan, seperti yang dijelaskan di bagian berikut.

Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC

Langkah-langkah persiapan membantu Anda meminimalkan risiko orientasi DNSSEC dengan memantau ketersediaan zona dan menurunkan waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS).

Untuk mempersiapkan untuk mengaktifkan penandatanganan DNSSEC

  1. Pantau ketersediaan zona.

    Anda dapat memantau zona untuk ketersediaan nama domain Anda. Ini dapat membantu Anda mengatasi masalah apa pun yang mungkin memerlukan mundur selangkah setelah Anda mengaktifkan DNSSEC penandatanganan. Anda dapat memantau nama domain Anda dengan sebagian besar lalu lintas dengan menggunakan pencatatan kueri. Untuk informasi selengkapnya tentang menyiapkan pencatatan kueri, lihatMemantau Amazon Route 53.

    Pemantauan dapat dilakukan melalui skrip shell, atau melalui layanan pihak ketiga. Namun, seharusnya tidak menjadi satu-satunya sinyal untuk menentukan apakah rollback diperlukan. Anda mungkin juga mendapatkan umpan balik dari pelanggan Anda karena domain tidak tersedia.

  2. Turunkan maksimum zonaTTL.

    Maksimum zona TTL adalah TTL rekor terpanjang di zona tersebut. Di zona contoh berikut, maksimum zona TTL adalah 1 hari (86400 detik).

    Nama TTL Kelas rekam Jenis catatan Rekam data

    example.com.

    900

    DI DALAM

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    example.com.

    900

    DI DALAM

    NS

    ns1.example.com.

    route53.example.com.

    86400

    DI DALAM

    TXT

    some txt record

    Menurunkan maksimum zona TTL akan membantu mengurangi waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS). Sebaiknya turunkan zona maksimum TTL menjadi 1 jam (3600 detik). Ini memungkinkan Anda untuk memutar kembali setelah hanya satu jam jika ada penyelesai yang memiliki masalah dengan catatan yang ditandatangani caching.

    Rollback: batalkan perubahan. TTL

  3. Turunkan bidang SOA minimum SOA TTL dan minimum.

    Bidang SOA minimum adalah bidang terakhir dalam data SOA catatan. Dalam SOA catatan contoh berikut, bidang minimum memiliki nilai 5 menit (300 detik).

    Nama TTL Kelas rekam Jenis catatan Rekam data

    example.com.

    900

    DI DALAM

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    Bidang SOA TTL dan SOA minimum menentukan berapa lama resolver mengingat jawaban negatif. Setelah Anda mengaktifkan penandatanganan, server nama Route 53 mulai mengembalikan NSEC catatan untuk jawaban negatif. NSECBerisi informasi yang mungkin digunakan resolver untuk mensintesis jawaban negatif. Jika Anda harus memutar kembali karena NSEC informasi tersebut menyebabkan resolver mengasumsikan jawaban negatif untuk sebuah nama, maka Anda hanya perlu menunggu bidang maksimum SOA TTL dan SOA minimum agar resolver menghentikan asumsi tersebut.

    Rollback: batalkan perubahan. SOA

  4. Pastikan perubahan bidang TTL dan SOA minimum efektif.

    Gunakan GetChangeuntuk memastikan perubahan Anda sejauh ini telah disebarkan ke semua DNS server Route 53.

Langkah 2: Aktifkan DNSSEC penandatanganan dan buat KSK

Anda dapat mengaktifkan DNSSEC penandatanganan dan membuat kunci penandatanganan kunci (KSK) dengan menggunakan AWS CLI atau di konsol Route 53.

Saat Anda memberikan atau membuat KMS kunci yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC.

CLI

Anda dapat menggunakan kunci yang sudah Anda miliki, atau membuatnya dengan menjalankan AWS CLI perintah seperti berikut menggunakan nilai Anda sendiri untukhostedzone_id,cmk_arn,ksk_name, dan unique_string (untuk membuat permintaan unik):

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihatBekerja dengan kunci yang dikelola pelanggan untuk DNSSEC. Lihat juga CreateKeySigningKey.

Untuk mengaktifkan DNSSEC penandatanganan, jalankan AWS CLI perintah seperti berikut, menggunakan nilai Anda sendiri untukhostedzone_id:

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Untuk informasi lebih lanjut, lihat enable-hosted-zone-dnssecdan EnableHostedZoneDNSSEC.

Console
Untuk mengaktifkan DNSSEC penandatanganan dan membuat KSK

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Zona yang dihosting, lalu pilih zona yang dihosting yang ingin Anda aktifkan DNSSEC penandatanganan.

  3. Pada tab DNSSECpenandatanganan, pilih Aktifkan DNSSEC penandatanganan.

    catatan

    Jika opsi di bagian ini adalah Nonaktifkan DNSSEC penandatanganan, Anda telah menyelesaikan langkah pertama dalam mengaktifkan DNSSEC penandatanganan. Pastikan Anda menetapkan, atau bahwa sudah ada, rantai kepercayaan untuk zona yang dihosting untukDNSSEC, dan kemudian Anda selesai. Untuk informasi selengkapnya, lihat Langkah 3: Membangun rantai kepercayaan.

  4. Di bagian pembuatan kunci penandatanganan kunci (KSK), pilih Buat baru KSK, dan di bawah Berikan KSK nama, masukkan nama untuk Route 53 KSK yang akan dibuat untuk Anda. Nama dapat mencakup angka, huruf, dan garis bawah (_). Nama ini harus unik.

  5. Di bawah Customer managed CMK, pilih kunci terkelola pelanggan untuk Route 53 untuk digunakan saat membuat KSK untuk Anda. Anda dapat menggunakan kunci terkelola pelanggan yang sudah ada yang berlaku untuk DNSSEC penandatanganan, atau membuat kunci terkelola pelanggan baru.

    Saat Anda memberikan atau membuat kunci yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC.

  6. Masukkan alias untuk kunci terkelola pelanggan yang sudah ada. Jika Anda ingin menggunakan kunci terkelola pelanggan baru, masukkan alias untuk kunci yang dikelola pelanggan, dan Route 53 akan membuatnya untuk Anda.

    catatan

    Jika Anda memilih agar Route 53 membuat kunci terkelola pelanggan, ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Harga Layananan Manajemen Kunci AWS.

  7. Pilih Aktifkan DNSSEC penandatanganan.

Setelah Anda mengaktifkan penandatanganan zona, selesaikan langkah-langkah berikut (apakah Anda menggunakan konsol atauCLI):

  1. Pastikan penandatanganan zona efektif.

    Jika digunakan AWS CLI, Anda dapat menggunakan Id operasi dari output EnableHostedZoneDNSSEC() panggilan untuk menjalankan get-change atau GetChangeuntuk memastikan bahwa semua DNS Server Route 53 menandatangani tanggapan (status =INSYNC).

  2. Tunggu setidaknya maksimum zona sebelumnyaTTL.

    Tunggu resolver untuk menghapus semua catatan yang tidak ditandatangani dari cache mereka. Untuk mencapai ini, Anda harus menunggu setidaknya maksimum zona sebelumnyaTTL. Di example.com zona di atas, waktu tunggu adalah 1 hari.

  3. Memantau laporan masalah pelanggan.

    Setelah Anda mengaktifkan penandatanganan zona, pelanggan Anda mungkin mulai melihat masalah yang terkait dengan perangkat jaringan dan resolver. Periode pemantauan yang disarankan adalah 2 minggu.

    Berikut ini adalah contoh masalah yang mungkin Anda lihat:

    • Beberapa perangkat jaringan dapat membatasi ukuran DNS respons hingga di bawah 512 byte, yang terlalu kecil untuk beberapa tanggapan yang ditandatangani. Perangkat jaringan ini harus dikonfigurasi ulang untuk memungkinkan ukuran DNS respons yang lebih besar.

    • Beberapa perangkat jaringan melakukan inspeksi mendalam pada DNS tanggapan dan menghapus catatan tertentu yang tidak dimengerti, seperti yang digunakanDNSSEC. Perangkat ini harus dikonfigurasi ulang.

    • Beberapa resolver pelanggan mengklaim bahwa mereka dapat menerima UDP respons yang lebih besar daripada dukungan jaringan mereka. Anda dapat menguji kemampuan jaringan Anda dan mengkonfigurasi resolver Anda dengan tepat. Untuk informasi selengkapnya lihat, DNSBalas Server Uji Ukuran.

Rollback: panggil DisableHostedZoneDNSSEClalu kembalikan langkah-langkahnya. Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC

Langkah 3: Membangun rantai kepercayaan

Setelah Anda mengaktifkan DNSSEC penandatanganan untuk zona yang dihosting di Route 53, buat rantai kepercayaan untuk zona yang dihosting untuk menyelesaikan penyiapan DNSSEC penandatanganan Anda. Anda melakukan ini dengan membuat catatan Delegation Signer (DS) di zona yang di-hosting induk, untuk zona yang di-hosting, menggunakan informasi yang disediakan Route 53. Tergantung pada tempat domain terdaftar, Anda menambahkan catatan ke zona yang di-hosting induk di Route 53 atau registrar domain lain.

Untuk membangun rantai kepercayaan untuk DNSSEC penandatanganan

  1. Masuk ke AWS Management Console dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

  2. Di panel navigasi, pilih Zona yang dihosting, lalu pilih zona yang dihosting yang ingin Anda buat DNSSEC rantai kepercayaan. Anda harus mengaktifkan DNSSEC penandatanganan terlebih dahulu.

  3. Pada tab DNSSECpenandatanganan, di bawah DNSSECpenandatanganan, pilih Lihat informasi untuk membuat catatan DS.

    catatan

    Jika Anda tidak melihat Lihat informasi untuk membuat catatan DS di bagian ini, Anda harus mengaktifkan DNSSEC penandatanganan sebelum membuat rantai kepercayaan. Pilih Aktifkan DNSSEC penandatanganan dan selesaikan langkah-langkah seperti yang dijelaskanLangkah 2: Aktifkan DNSSEC penandatanganan dan buat KSK, lalu kembali ke langkah-langkah ini untuk membangun rantai kepercayaan.

  4. Di bawah Buat rantai kepercayaan, pilih salah satu Registrar Route 53 atau Registrar domain lainnya, tergantung tempat domain Anda terdaftar.

  5. Gunakan nilai yang disediakan dari langkah 3 untuk membuat catatan DS untuk zona host induk di Route 53. Jika domain Anda tidak di-host di Route 53, gunakan nilai yang disediakan untuk membuat catatan DS di situs web registrar domain Anda.

    • Jika zona induk adalah domain yang dikelola melalui Route 53, ikuti langkah-langkah berikut:

      Pastikan Anda mengonfigurasi algoritma penandatanganan yang benar (ECDSAP256SHA256dan ketik 13) dan algoritma intisari (SHA-256 dan tipe 2).

      Jika Route 53 adalah registrar Anda, lakukan hal berikut di konsol Route 53:

      1. Catat nilai Jenis kunci, Algoritme, dan Kunci publik. Di panel navigasi, pilih Domain terdaftar.

      2. Pilih domain, lalu, di samping DNSSECstatus, pilih Kelola kunci.

      3. Dalam kotak dialog Kelola DNSSEC kunci, pilih jenis Kunci dan Algoritma yang sesuai untuk registrar Route 53 dari menu tarik-turun.

      4. Salin Kunci publik untuk registrar Route 53. Di kotak dialog Kelola DNSSEC kunci, tempelkan nilainya ke kotak kunci Publik.

      5. Pilih Tambahkan.

        Route 53 akan menambahkan catatan DS ke zona induk dari kunci publik. Misalnya, jika domain Andaexample.com, catatan DS ditambahkan ke DNS zona.com.

    • Jika zona induk di-host di Route 53 atau domain dikelola di registri lain, hubungi zona induk atau pemilik registrasi domain untuk mengikuti petunjuk berikut:

      Untuk memastikan langkah-langkah berikut berjalan lancar, perkenalkan DS rendah TTL ke zona induk. Kami merekomendasikan pengaturan DS TTL ke 5 menit (300 detik) untuk pemulihan yang lebih cepat jika Anda perlu memutar kembali perubahan Anda.

      • Jika zona induk Anda dikelola oleh registri lain, hubungi registrar Anda untuk memperkenalkan catatan DS untuk zona Anda. Biasanya Anda tidak akan dapat menyesuaikan TTL catatan DS.

      • Jika zona induk Anda di-host di Route 53, hubungi pemilik zona induk untuk memperkenalkan catatan DS untuk zona Anda.

        Berikan $ds_record_value kepada pemilik zona induk. Anda bisa mendapatkannya dengan mengklik Lihat Informasi untuk membuat catatan DS di konsol dan menyalin bidang catatan DS, atau dengan memanggil Dapatkan DNSSEC API dan mengambil nilai bidang 'DSRecord':

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        Pemilik zona induk dapat memasukkan catatan melalui konsol Route 53 atauCLI.

        • Untuk menyisipkan catatan DS dengan menggunakan AWS CLI, pemilik zona induk membuat dan memberi nama JSON file yang mirip dengan contoh berikut. Pemilik zona induk mungkin memberi nama file sepertiinserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          Kemudian jalankan perintah berikut:

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Untuk memasukkan catatan DS dengan menggunakan konsol,

          Buka konsol Route 53 di https://console.aws.amazon.com/route53/.

          Di panel navigasi, pilih Zona yang dihosting, nama zona yang dihosting, lalu tombol Buat rekam. Pastikan Anda memilih Perutean sederhana untuk kebijakan Routing.

          Di bidang Nama rekam masukkan nama yang sama dengan$zone_name, pilih DS dari tarik-turun Jenis rekaman, dan masukkan nilai $ds_record_value ke dalam bidang Nilai, dan pilih Buat catatan.

    Rollback: hapus DS dari zona induk, tunggu DSTTL, lalu putar kembali langkah-langkah untuk membangun kepercayaan. Jika zona induk di-host di Route 53, pemilik zona induk dapat mengubah Action dari UPSERT ke DELETE dalam JSON file, dan menjalankan kembali contoh di CLI atas.

  6. Tunggu pembaruan menyebar, berdasarkan catatan domain Anda. TTL

    Jika zona induk ada di DNS layanan Route 53, pemilik zona induk dapat mengonfirmasi propagasi penuh melalui. GetChangeAPI

    Jika tidak, Anda dapat secara berkala menyelidiki zona induk untuk catatan DS, dan kemudian menunggu 10 menit setelahnya untuk meningkatkan kemungkinan penyisipan catatan DS disebarkan sepenuhnya. Perhatikan bahwa beberapa pendaftar telah menjadwalkan penyisipan DS, misalnya, sekali sehari.

Saat Anda memperkenalkan catatan Penandatangan Delegasi (DS) di zona induk, resolver tervalidasi yang telah mengambil DS akan mulai memvalidasi tanggapan dari zona tersebut.

Untuk memastikan langkah-langkah membangun kepercayaan berjalan lancar, selesaikan hal-hal berikut:

  1. Temukan NS maksimumTTL.

    Ada 2 set catatan NS yang terkait dengan zona Anda:

    • Catatan NS delegasi — ini adalah catatan NS untuk zona Anda yang dipegang oleh zona induk. Anda dapat menemukannya dengan menjalankan perintah Unix berikut (jika zona Anda adalah example.com, zona induknya adalah com):

      dig -t NS com

      Pilih salah satu catatan NS dan kemudian jalankan yang berikut:

      dig @one of the NS records of your parent zone -t NS example.com

      Sebagai contoh:

      dig @b.gtld-servers.net. -t NS example.com

    • Catatan NS dalam zona — ini adalah catatan NS di zona Anda. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

      dig @one of the NS records of your zone -t NS example.com

      Sebagai contoh:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Perhatikan maksimum TTL untuk kedua zona.

  2. Tunggu NS maksimumTTL.

    Sebelum penyisipan DS, resolver mendapatkan respons yang ditandatangani, tetapi tidak memvalidasi tanda tangan. Ketika catatan DS dimasukkan, resolver tidak akan melihatnya sampai catatan NS untuk zona kedaluwarsa. Ketika resolver mengambil kembali catatan NS, catatan DS kemudian akan dikembalikan.

    Jika pelanggan Anda menjalankan resolver pada host dengan jam yang tidak sinkron, pastikan jam berada dalam 1 jam dari waktu yang benar.

    Setelah menyelesaikan langkah ini, semua resolver DNSSEC -aware akan memvalidasi zona Anda.

  3. Amati resolusi nama.

    Anda harus memperhatikan bahwa tidak ada masalah dengan resolver yang memvalidasi zona Anda. Pastikan Anda juga memperhitungkan waktu yang dibutuhkan pelanggan Anda untuk melaporkan masalah kepada Anda.

    Kami merekomendasikan pemantauan hingga 2 minggu.

  4. (Opsional) Perpanjang DS dan NSTTLs.

    Jika Anda puas dengan pengaturan, Anda dapat menyimpan TTL dan SOA perubahan yang Anda buat. Perhatikan bahwa Rute 53 membatasi TTL hingga 1 minggu untuk zona yang ditandatangani. Untuk informasi selengkapnya, lihat Mengonfigurasi DNSSEC penandatanganan di Amazon Route 53.

    Jika Anda dapat mengubah DSTTL, kami sarankan Anda mengaturnya menjadi 1 jam.