本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
停用DNSSEC簽署
在 Route 53 中禁用DNSSEC登錄的步驟會有所不同,具體取決於託管區域所屬的信任鏈。
例如,您的託管區域可能有一個具有委派簽署人 (DS) 記錄的父區域,其做為信任鏈的一部分。您的託管區域本身也可能是已啟用DNSSEC簽名的子區域的父區域,這是信任鏈的另一部分。請先調查並判斷託管區域的完整信任鏈,然後再採取停用DNSSEC簽署的步驟。
當您停用簽署時,必須小心復原啟用DNSSEC簽署的託管區域的信任鏈。若要從信任鏈中移除託管區域,您可以移除包含此託管區域之信任鏈的所有 DS 記錄。這表示您必須依序執行下列作業:
-
針對屬於信任鏈一部分的子區域,移除此託管區域擁有的任何 DS 記錄。
-
移除父區域的 DS 記錄。如果您擁有信任島 (父區域中沒有 DS 記錄,且此區域中沒有子區域的 DS 記錄),則可以略過此步驟。
如果您無法移除 DS 記錄,則為了從信任鏈中移除區域,請從父區域移除 NS 記錄。如需詳細資訊,請參閱新增或變更網域的名稱伺服器和黏附記錄。
下列漸進步驟可讓您監視個別步驟的有效性,以避免區域中的DNS可用性問題。
若要停用DNSSEC簽署
-
監控區域可用性。
您可以監控該區域在您網域名稱中的可用性。這可協助您解決啟用DNSSEC簽署後可能需要退回一步的任何問題。您可以藉由使用查詢日誌記錄,監控具有大部分流量的網域名稱。如需設定查詢日誌記錄的詳細資訊,請參閱 監控 Amazon Route 53。
可以透過 Shell 指令碼或透過付費服務進行監控。但是,其不應是判斷是否需要回復的唯一信號。您也可能會因為網域名稱不可用,而得到來自客戶的反饋。
-
查找當前的 DS TTL。
您可以TTL通過運行以下 Unix 命令找到 DS:
dig -t DS example.com
example.com
-
找到最大 NS TTL。
有兩組與您的區域相關聯的 NS 記錄:
-
委派 NS 記錄 — 這是父區域所持有的您區域的 NS 記錄。您可以藉由執行以下 Unix 命令來查找此記錄:
首先,找到父區域的 NS(如果您的區域是 example.com,則父區域是 com):
dig -t NS com
選擇其中一個 NS 記錄,然後執行以下操作:
dig @
one of the NS records of your parent zone
-t NS example.com例如:
dig @b.gtld-servers.net. -t NS example.com
-
區域內 NS 記錄 — 這是在您區域中的 NS 記錄。您可以藉由執行以下 Unix 命令來查找此記錄:
dig @
one of the NS records of your zone
-t NS example.com例如:
dig @ns-0000.awsdns-00.co.uk. -t NS example.com
請注意兩個區域TTL的最大值。
-
-
移除父區域的 DS 記錄。
請聯絡父區域擁有者以移除 DS 記錄。
回復:重新插入 DS 記錄,確認 DS 插入是有效的,並等待最大 NS(不是 DS),TTL然後所有解析器都將再次開始驗證。
-
確認 DS 移除已生效。
如果父區域位於 Route 53 DNS 服務上,父區域擁有者可以透過 GetChangeAPI.
否則,您可以定期探測 DS 記錄的父區域,之後再等待 10 分鐘,以提高 DS 記錄移除已完全傳播的概率。請注意,有些註冊商已有 DS 移除排程,例如,每天一次。
-
等待 DS TTL。
等到所有解析器都已使其快取中的 DS 記錄過期。
-
停用DNSSEC簽署並停用金鑰簽署金鑰 (KSK)。
回滾:調用ActivateKeySigningKey和EnableHostedZoneDNSSECAPIs。
例如:
aws --region us-east-1 route53 activate-key-signing-key \ --hosted-zone-id $hostedzone_id --name $ksk_name aws --region us-east-1 route53 enable-hosted-zone-dnssec \ --hosted-zone-id $hostedzone_id
-
確認停用區域簽署已生效。
使用來執行
EnableHostedZoneDNSSEC()
呼叫的 Id,GetChange以確保所有 Route 53 DNS 伺服器都已停止簽署回應 (狀態 =INSYNC
)。 -
請觀察名稱解析。
您應該觀察到,沒有會導致解析器驗證您區域的問題。允許 1 到 2 週以將客戶向您報告問題所需要的時間一併納入考慮。
-
(選用) 清除。
如果您不重新啟用簽署,您可以清除KSKs透過DeleteKeySigningKey並刪除對應的客戶管理金鑰,以節省成本。