停用DNSSEC簽署 - Amazon Route 53

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

停用DNSSEC簽署

在 Route 53 中禁用DNSSEC登錄的步驟會有所不同,具體取決於託管區域所屬的信任鏈。

例如,您的託管區域可能有一個具有委派簽署人 (DS) 記錄的父區域,其做為信任鏈的一部分。您的託管區域本身也可能是已啟用DNSSEC簽名的子區域的父區域,這是信任鏈的另一部分。請先調查並判斷託管區域的完整信任鏈,然後再採取停用DNSSEC簽署的步驟。

當您停用簽署時,必須小心復原啟用DNSSEC簽署的託管區域的信任鏈。若要從信任鏈中移除託管區域,您可以移除包含此託管區域之信任鏈的所有 DS 記錄。這表示您必須依序執行下列作業:

  1. 針對屬於信任鏈一部分的子區域,移除此託管區域擁有的任何 DS 記錄。

  2. 移除父區域的 DS 記錄。如果您擁有信任島 (父區域中沒有 DS 記錄,且此區域中沒有子區域的 DS 記錄),則可以略過此步驟。

  3. 如果您無法移除 DS 記錄,則為了從信任鏈中移除區域,請從父區域移除 NS 記錄。如需詳細資訊,請參閱新增或變更網域的名稱伺服器和黏附記錄

下列漸進步驟可讓您監視個別步驟的有效性,以避免區域中的DNS可用性問題。

若要停用DNSSEC簽署

  1. 監控區域可用性。

    您可以監控該區域在您網域名稱中的可用性。這可協助您解決啟用DNSSEC簽署後可能需要退回一步的任何問題。您可以藉由使用查詢日誌記錄,監控具有大部分流量的網域名稱。如需設定查詢日誌記錄的詳細資訊,請參閱 監控 Amazon Route 53

    可以透過 Shell 指令碼或透過付費服務進行監控。但是,其不應是判斷是否需要回復的唯一信號。您也可能會因為網域名稱不可用,而得到來自客戶的反饋。

  2. 查找當前的 DS TTL。

    您可以TTL通過運行以下 Unix 命令找到 DS:

    dig -t DS example.com example.com

  3. 找到最大 NS TTL。

    有兩組與您的區域相關聯的 NS 記錄:

    • 委派 NS 記錄 — 這是父區域所持有的您區域的 NS 記錄。您可以藉由執行以下 Unix 命令來查找此記錄:

      首先,找到父區域的 NS(如果您的區域是 example.com,則父區域是 com):

      dig -t NS com

      選擇其中一個 NS 記錄,然後執行以下操作:

      dig @one of the NS records of your parent zone -t NS example.com

      例如:

      dig @b.gtld-servers.net. -t NS example.com

    • 區域內 NS 記錄 — 這是在您區域中的 NS 記錄。您可以藉由執行以下 Unix 命令來查找此記錄:

      dig @one of the NS records of your zone -t NS example.com

      例如:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      請注意兩個區域TTL的最大值。

  4. 移除父區域的 DS 記錄。

    請聯絡父區域擁有者以移除 DS 記錄。

    回復:重新插入 DS 記錄,確認 DS 插入是有效的,並等待最大 NS(不是 DS),TTL然後所有解析器都將再次開始驗證。

  5. 確認 DS 移除已生效。

    如果父區域位於 Route 53 DNS 服務上,父區域擁有者可以透過 GetChangeAPI.

    否則,您可以定期探測 DS 記錄的父區域,之後再等待 10 分鐘,以提高 DS 記錄移除已完全傳播的概率。請注意,有些註冊商已有 DS 移除排程,例如,每天一次。

  6. 等待 DS TTL。

    等到所有解析器都已使其快取中的 DS 記錄過期。

  7. 停用DNSSEC簽署並停用金鑰簽署金鑰 (KSK)。

    CLI

    呼叫DisableHostedZoneDNSSECDeactivateKeySigningKeyAPIs。

    例如:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    若要停用DNSSEC簽署

    1. 登入 AWS Management Console 並開啟 Route 53 主控台,位於https://console.aws.amazon.com/route53/

    2. 在功能窗格中,選擇 [託管區域],然後選擇您要停用DNSSEC簽署的託管區域。

    3. DNSSEC簽署索引標籤上,選擇 [停用DNSSEC簽署]。

    4. 在 [停用DNSSEC簽署] 頁面上,根據您要停用DNSSEC簽署之區域的案例,選擇下列其中一個選項。

      • 僅限父區域 — 此區域具有包含 DS 記錄的父區域。在此案例中,您必須移除父區域的 DS 記錄。

      • 僅限子區域 — 此區域具有一或多個子區域之信任鏈的 DS 記錄。在此案例中,您必須移除區域的 DS 記錄。

      • 父區域和子區域 — 此區域同時具有一或多個子區域之信任鏈的 DS 記錄包含 DS 記錄的父區域。對於此案例,請按順序執行下列動作:

        1. 移除區域的 DS 記錄。

        2. 移除父區域的 DS 記錄。

        如果您有信任島,則可以略過此步驟。

    5. 決定您TTL在步驟 4 中移除的每個 DS 記錄的內容。 ,請確定最長的TTL期間已過期。

    6. 選取核取方塊,確認您已按順序執行這些步驟。

    7. 在欄位中鍵入 disable (停用),如圖所示,然後選擇 Disable (停用)

    停用金鑰簽署金鑰 () KSK

    1. 登入 AWS Management Console 並開啟 Route 53 主控台,位於https://console.aws.amazon.com/route53/

    2. 在功能窗格中,選擇 [託管區域],然後選擇您要停用金鑰簽署金鑰的託管區域 (KSK)。

    3. 金鑰簽署金鑰 (KSKs) 區段中,選擇KSK您要停用的金鑰,然後在「動作」下選擇「編輯 KSK」,將KSK狀態設定為「作用中」,然後選擇「儲存 KSK」。

    回滾:調用ActivateKeySigningKeyEnableHostedZoneDNSSECAPIs。

    例如:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. 確認停用區域簽署已生效。

    使用來執行EnableHostedZoneDNSSEC()呼叫的 Id,GetChange以確保所有 Route 53 DNS 伺服器都已停止簽署回應 (狀態 =INSYNC)。

  9. 請觀察名稱解析。

    您應該觀察到,沒有會導致解析器驗證您區域的問題。允許 1 到 2 週以將客戶向您報告問題所需要的時間一併納入考慮。

  10. (選用) 清除。

    如果您不重新啟用簽署,您可以清除KSKs透過DeleteKeySigningKey並刪除對應的客戶管理金鑰,以節省成本。