Risoluzione dei problemi DNSSEC di firma

Le informazioni contenute in questa sezione possono aiutarti a risolvere i problemi relativi DNSSEC alla firma, tra cui l'attivazione, la disabilitazione e l'utilizzo delle chiavi per la firma dei tasti (). KSKs

Abilitazione DNSSEC

Assicurati di aver letto i prerequisiti Configurazione dell'DNSSECaccesso in Amazon Route 53 prima di iniziare ad abilitare la DNSSEC firma.

Disabilitazione DNSSEC

Per disattivarla in modo sicuroDNSSEC, Route 53 verificherà se la zona bersaglio rientra nella catena di fiducia. Verifica se l'elemento padre della zona di destinazione ha dei record NS e dei record DS della zona di destinazione. Se la zona di destinazione non è risolvibile pubblicamente, ad esempio se riceve una SERVFAIL risposta quando si eseguono interrogazioni per NS e DS, Route 53 non è in grado di determinare se è sicuro disattivarla. DNSSEC Puoi contattare la tua zona principale per risolvere questi problemi e riprovare a disattivarla in un secondo momento. DNSSEC

KSKlo stato è Azione necessaria

A KSK può cambiare il suo stato in Azione necessaria (o ACTION_NEEDED in uno KeySigningKeystato), quando Route 53 DNSSEC perde l'accesso a un corrispondente AWS KMS key (a causa di una modifica delle autorizzazioni o dell' AWS KMS key eliminazione).

Se lo stato di a KSK è Azione necessaria, significa che alla fine causerà un'interruzione della zona per i clienti che utilizzano resolver di DNSSEC convalida e che è necessario agire rapidamente per evitare che una zona di produzione diventi irrisolvibile.

Per risolvere il problema, assicurati che la chiave gestita dal cliente su cui si basa KSK sia abilitata e disponga delle autorizzazioni corrette. Per ulteriori informazioni sulle autorizzazioni richieste, consulta Autorizzazioni chiave gestite dal cliente Route 53 necessarie per la firma DNSSEC.

Dopo aver risolto il problemaKSK, riattivalo utilizzando la console o il AWS CLI, come descritto inPassaggio 2: abilitare la DNSSEC firma e creare un KSK.

Per evitare che questo problema si verifichi in futuro, prendi in considerazione l'aggiunta di una Amazon CloudWatch metrica per tracciare lo stato diKSK, come suggerito inConfigurazione dell'DNSSECaccesso in Amazon Route 53.

KSKlo stato è Errore interno

Quando a KSK ha lo stato di errore interno (o INTERNAL_FAILURE KeySigningKeylo stato), non è possibile lavorare con altre DNSSEC entità finché il problema non viene risolto. È necessario agire prima di poter lavorare con la DNSSEC firma, incluso lavorare con questa KSK o con l'altraKSK.

Per risolvere il problema, riprova ad attivare o disattivare ilKSK.

Per risolvere il problema quando lavori conAPIs, prova ad abilitare la firma (EnableHostedZoneDNSSEC) o disabilitare la firma (DisableHostedZoneDNSSEC).

È importante correggere i problemi Errore internoquanto prima. Non è possibile apportare altre modifiche alla zona ospitata fino a quando non si corregge il problema, ad eccezione delle operazioni per risolvere Errore interno.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

DNSSECprove di inesistenza nella Route 53

AWS Cloud Map Utilizzato per creare record e controlli sanitari