Verifikasi domain Anda dengan sertifikat X.509 Verifikasi domain Anda dengan DNS TXT catatan

Verifikasi kontrol domain

Sebelum Anda membawa rentang alamat IP AWS, Anda harus menggunakan salah satu opsi yang dijelaskan di bagian ini untuk memverifikasi bahwa Anda mengontrol ruang alamat IP. Kemudian, ketika Anda membawa rentang alamat IP ke AWS, AWS memvalidasi bahwa Anda mengontrol rentang alamat IP. Validasi ini memastikan bahwa pelanggan tidak dapat menggunakan rentang IP milik orang lain, mencegah masalah perutean dan keamanan.

Ada dua metode yang dapat Anda gunakan untuk memverifikasi bahwa Anda mengontrol rentang:

Sertifikat X.509: Jika rentang alamat IP Anda terdaftar dengan Internet Registry yang mendukung RDAP (sepertiARIN, RIPE danAPNIC), Anda dapat menggunakan sertifikat X.509 untuk memverifikasi kepemilikan domain Anda.
DNSTXTcatatan: Terlepas dari apakah Registri Internet Anda mendukungRDAP, Anda dapat menggunakan token verifikasi dan DNS TXT catatan untuk memverifikasi kepemilikan domain Anda.

Daftar Isi

Verifikasi domain Anda dengan sertifikat X.509
Verifikasi domain Anda dengan DNS TXT catatan

Verifikasi domain Anda dengan sertifikat X.509

Bagian ini menjelaskan cara memverifikasi domain Anda dengan sertifikat X.509 sebelum Anda membawa rentang alamat IP Anda. IPAM

Untuk memverifikasi domain Anda dengan sertifikat X.509

Selesaikan tiga langkah dalam prasyarat Orientasi untuk BYOIP rentang alamat Anda di Panduan Pengguna Amazon. EC2

catatan
Saat Anda membuatROAs, untuk IPv4 CIDRs Anda harus mengatur panjang maksimum awalan alamat IP ke/24. Karena IPv6CIDRs, jika Anda menambahkannya ke kumpulan yang dapat diiklankan, panjang maksimum awalan alamat IP harus. /48 Ini memastikan bahwa Anda memiliki fleksibilitas penuh untuk membagi alamat IP publik Anda di seluruh AWS Wilayah. IPAMmemberlakukan panjang maksimum yang Anda tetapkan. Panjang maksimum adalah pengumuman panjang awalan terkecil yang akan Anda izinkan untuk rute ini. Misalnya, jika Anda membawa /20 CIDR blok ke AWS, dengan menetapkan panjang maksimum/24, Anda dapat membagi blok yang lebih besar dengan cara apa pun yang Anda suka (seperti dengan/21,/22, atau/24) dan mendistribusikan CIDR blok yang lebih kecil itu ke Wilayah mana pun. Jika Anda menetapkan panjang maksimum/23, Anda tidak akan dapat membagi dan mengiklankan a /24 dari blok yang lebih besar. Juga, perhatikan bahwa itu /24 adalah IPv4 blok terkecil dan /48 merupakan IPv6 blok terkecil yang dapat Anda iklankan dari Wilayah ke internet.
Selesaikan langkah 1 dan 2 hanya di bawah Menyediakan rentang alamat yang dapat diiklankan secara publik di AWS Panduan EC2 Pengguna Amazon, dan jangan berikan rentang alamat (langkah 3). Simpan text_message dansigned_message. Anda akan membutuhkannya nanti dalam proses ini.

Setelah Anda menyelesaikan langkah-langkah ini, lanjutkan dengan Bawa IP Anda sendiri untuk IPAM menggunakan AWS Management Console dan AWS CLI atauBawa IP Anda sendiri CIDR untuk hanya IPAM menggunakan AWS CLI.

Verifikasi domain Anda dengan DNS TXT catatan

Selesaikan langkah-langkah di bagian ini untuk memverifikasi domain Anda dengan DNS TXT catatan sebelum Anda membawa rentang alamat IP AndaIPAM.

Anda dapat menggunakan DNS TXT catatan untuk memvalidasi bahwa Anda mengontrol rentang alamat IP publik. DNSTXTcatatan adalah jenis DNS catatan yang berisi informasi tentang nama domain Anda. Fitur ini memungkinkan Anda untuk membawa alamat IP yang terdaftar dengan registri internet apa pun (sepertiJPNIC,LACNIC, danAFRINIC), bukan hanya yang mendukung validasi berbasis catatan RDAP (Registration Data Access Protocol) (sepertiARIN, dan). RIPE APNIC

penting

Sebelum Anda dapat melanjutkan, Anda harus sudah membuat IPAM di Tingkat Gratis atau Tingkat Lanjut. Jika Anda tidak memilikiIPAM, selesaikan Buat sebuah IPAM dulu.

Daftar Isi

Langkah 1: Buat ROA jika Anda tidak memilikinya
Langkah 2. Buat token verifikasi
Langkah 3. Siapkan DNS zona dan TXT rekam

Langkah 1: Buat ROA jika Anda tidak memilikinya

Anda harus memiliki Otorisasi Asal Rute (ROA) di Regional Internet Registry (RIR) untuk rentang alamat IP yang ingin Anda iklankan. Jika Anda tidak memiliki ROA di dalam AndaRIR, selesaikan 3. Buat ROA objek di Panduan EC2 Pengguna Amazon. RIR Abaikan langkah-langkah lainnya.

Rentang IPv4 alamat paling spesifik yang dapat Anda bawa adalah/24. Rentang IPv6 alamat paling spesifik yang dapat Anda bawa adalah/48 untuk CIDRs yang dapat diiklankan secara publik dan /60 untuk CIDRs yang tidak dapat diiklankan secara publik.

Langkah 2. Buat token verifikasi

Token verifikasi adalah nilai acak AWS yang dihasilkan yang dapat Anda gunakan untuk membuktikan kontrol sumber daya eksternal. Misalnya, Anda dapat menggunakan token verifikasi untuk memvalidasi bahwa Anda mengontrol rentang alamat IP publik saat Anda membawa rentang alamat IP ke AWS (BYOIP).

Selesaikan langkah-langkah di bagian ini untuk membuat token verifikasi yang Anda perlukan di langkah selanjutnya dalam tutorial ini untuk membawa rentang alamat IP AndaIPAM. Gunakan petunjuk di bawah ini untuk AWS konsol atau AWS CLI.

AWS Management Console

Untuk membuat token verifikasi

Buka IPAM konsol di https://console.aws.amazon.com/ipam/.
Di Konsol AWS Manajemen, pilih AWS Wilayah tempat Anda membuatIPAM.
Di panel navigasi kiri, pilih IPAMs.
Pilih tab Anda IPAM dan kemudian pilih tab Token verifikasi.
Pilih Buat token verifikasi.
Setelah Anda membuat token, biarkan tab browser ini terbuka. Anda akan memerlukan nilai Token, nama Token di langkah berikutnya dan ID Token di langkah selanjutnya.

Perhatikan hal berikut:

Setelah Anda membuat token verifikasi, Anda dapat menggunakan kembali token untuk beberapa BYOIP CIDRs yang Anda berikan dari Anda IPAM dalam waktu 72 jam. Jika Anda ingin menyediakan lebih banyak CIDRs setelah 72 jam, Anda memerlukan token baru.
Anda dapat membuat hingga 100 token. Jika Anda mencapai batas, hapus token kedaluwarsa.

Command line

Permintaan yang IPAM membuat token verifikasi yang akan Anda gunakan untuk DNS konfigurasi dengan create-ipam-external-resource-verification-token:


aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

Ini akan mengembalikan token IpamExternalResourceVerificationTokenId dan dengan TokenName danTokenValue, dan waktu kedaluwarsa (NotAfter) token.


{ 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

Perhatikan hal berikut:

Setelah Anda membuat token verifikasi, Anda dapat menggunakan kembali token untuk beberapa BYOIP CIDRs yang Anda berikan dari Anda IPAM dalam waktu 72 jam. Jika Anda ingin menyediakan lebih banyak CIDRs setelah 72 jam, Anda memerlukan token baru.
Anda dapat melihat token Anda menggunakan describe-ipam-external-resource-verification-token.
Anda dapat membuat hingga 100 token. Jika Anda mencapai batas, Anda dapat menghapus token kedaluwarsa menggunakan delete-ipam-external-resource-verification-token.

Langkah 3. Siapkan DNS zona dan TXT rekam

Selesaikan langkah-langkah di bagian ini untuk mengatur DNS zona dan TXT merekam. Jika Anda tidak menggunakan Route53 sebagai milik AndaDNS, ikuti dokumentasi yang disediakan oleh DNS penyedia Anda untuk menyiapkan DNS Zona dan menambahkan catatanTXT.

Jika Anda menggunakan Route53, perhatikan hal berikut:

Untuk membuat Zona Pencarian Terbalik di AWS konsol, lihat Membuat zona yang dihosting publik di Panduan Pengembang Amazon Route 53 atau gunakan AWS CLI perintah create-hosted-zone.
Untuk membuat rekaman di Zona Pencarian Terbalik di AWS konsol, lihat Membuat catatan menggunakan konsol Amazon Route 53 di Panduan Pengembang Amazon Route 53 atau gunakan AWS CLI perintah change-resource-record-sets.
Setelah Anda selesai membuat zona yang dihosting, delegasikan zona yang dihosting dari Anda RIR ke server nama yang disediakan oleh Route53 (seperti untuk LACNICatau). APNIC

Apakah Anda menggunakan DNS penyedia lain atau Route53, ketika Anda mengatur TXT catatan, perhatikan hal berikut:

Nama rekaman harus nama token Anda.
Jenis rekaman harusTXT.
ResourceRecord Nilai harus menjadi nilai token.

Contoh:

Nama: 86950620.113.0.203.in-addr.arpa
Jenis: TXT
ResourceRecords Nilai: a34597c3-5317-4238-9ce7-50da5b6e6dc8

Di mana:

86950620adalah nama token verifikasi.
113.0.203.in-addr.arpaadalah nama Reverse Lookup Zone.
TXTadalah tipe rekaman.
a34597c3-5317-4238-9ce7-50da5b6e6dc8adalah nilai token verifikasi.

catatan

Bergantung pada ukuran awalan yang akan dibawaBYOIP, satu atau lebih catatan otentikasi harus dibuat di file. IPAM DNS Catatan otentikasi ini adalah jenis catatan TXT dan harus ditempatkan ke zona terbalik dari awalan itu sendiri atau awalan induknya.

UntukIPv4, catatan otentikasi perlu menyelaraskan ke rentang pada batas oktet yang membentuk awalan.
- Contoh
- Untuk 198.18.123.0/24, yang sudah disejajarkan pada batas oktet, Anda perlu membuat catatan otentikasi tunggal di:
  - token-name.123.18.198.in-addr.arpa. IN TXT “token-value”
- Untuk 198.18.12.0/22, yang dengan sendirinya tidak selaras dengan batas oktet, Anda perlu membuat empat catatan otentikasi. Catatan ini harus mencakup subnet 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24, dan 198.18.15.0/24 yang disejajarkan pada batas oktet. DNSEntri yang sesuai harus:
  - token-name.12.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.13.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.14.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.15.18.198.in-addr.arpa. IN TXT “token-value”
- Untuk 198.18.0.0/16, yang sudah disejajarkan pada batas oktet, Anda perlu membuat catatan otentikasi tunggal:
  - token-name.18.198.in-addr.arpa. IN TXT “token-value”
UntukIPv6, catatan otentikasi perlu disejajarkan ke rentang pada batas gigitan yang membentuk awalan. Nilai gigitan yang valid adalah misalnya 32, 36, 40, 44, 48, 52, 56, dan 60.
- Contoh
  - Untuk 2001:0 db8: :/40, yang sudah disejajarkan pada batas nibble, Anda perlu membuat catatan otentikasi tunggal:
    
    token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
  - Untuk 2001:0 db 8:80: :/42, yang dengan sendirinya tidak selaras pada batas menggigit, Anda perlu membuat empat catatan otentikasi. Catatan ini harus mencakup subnet 2001:db 8:80: :/44, 2001:db 8:90: :/44, 2001:db8:a0: :/44, dan 2001:db8:b0: :/44 yang disejajarkan pada batas menggigit. DNSEntri yang sesuai harus:
    
    token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
  - Untuk rentang yang tidak diiklankan 2001:db 8:0:1000: :/54, yang dengan sendirinya tidak selaras pada batas menggigit, Anda perlu membuat empat catatan otentikasi. Catatan ini harus mencakup subnet 2001:db 8:0:1000: :/56, 2001:db 8:0:1100: :/56, 2001:db 8:0:1200: :/56, dan 2001:db 8:0:1300: :/56 yang disejajarkan pada batas menggigit. DNSEntri yang sesuai harus:
    
    token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
- Untuk memvalidasi jumlah angka heksadesimal yang benar antara nama token dan string “ip6.arpa”, kalikan angka dengan empat. Hasilnya harus sesuai dengan panjang awalan. Misalnya, untuk awalan /56 Anda harus memiliki 14 digit heksadesimal.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bawa alamat IP Anda ke IPAM

BYOIPdengan AWS konsol dan CLI