禁用 DNSSEC 签名 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用 DNSSEC 签名

在 Route 53 中禁用 DNSSEC 签名的步骤有所不同,具体取决于托管区域所属的信任链。

例如,您的托管区域可能具有具有委派签名者 (DS) 记录的父区域,作为信任链的一部分。托管区域本身也可能是启用 DNSSEC 签名的子区域的父区域,这是信任链的另一部分。在执行禁用 DNSSEC 签名的步骤之前,请调查并确定托管区域的完整信任链。

在禁用签名时,必须仔细撤消托管区域启用 DNSSEC 签名的信任链。要从信任链中删除托管区域,请删除包含此托管区域的信任链的所有 DS 记录。这意味着您必须按照顺序执行以下操作:

  1. 删除此托管区域对于属于信任链一部分的子区域具有的所有 DS 记录。

  2. 从父区域中删除 DS 记录(除非您具有信任岛)。

这些步骤将在下面的过程中引用。

删除 DS 记录时,您必须等待,直到您删除的 DS 记录的最长 TTL 已过期,然后完成禁用 DNSSEC 签名的步骤。

重要

如果在 DNS 更改传播之前禁用托管区域的 DNSSEC 签名,则您的域可能在互联网上变得不可用。目前,验证更改是否已传播的唯一方式是使用GetChangeaction.

确定托管区域的相关信任链 DS 记录的位置后,请按照此处的步骤禁用 DNSSEC 签名。

禁用 DNSSEC 签名

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择要禁用 DNSSEC 签名的托管区域。

  3. 在存储库的DNSSEC 登录选项卡上,选择禁用 DNSSEC 签名.

  4. 在存储库的禁用 DNSSEC 签名页面上,根据您要禁用 DNSSEC 签名的区域的方案,选择下列选项之一。

    • 仅限父区域— 此区域具有带有 DS 记录的父区域。在这种情况下,您必须删除父区域的 DS 记录。

    • 仅限子区域— 此区域具有具有一个或多个子区域的信任链的 DS 记录。在这种情况下,您必须删除区域的 DS 记录。

    • 父区域和子区域— 此区域包含一个或多个子区域的信任链的 DS 记录具有 DS 记录的父区域。在这一场景中,请按照顺序执行以下操作:

      1. 删除区域的 DS 记录。

      2. 删除父区域的 DS 记录。

      如果您有信任岛(父区域中没有 DS 记录,此区域中的子区域没有 DS 记录),则可以跳过此步骤。

  5. 确定您在步骤 4 中删除的每个 DS 记录的 TTL,并在继续之前,请确保最长的 TTL 周期已过期。

  6. 选中复选框以确认您已按顺序执行步骤。

  7. 类型disable,如图所示,然后选择禁用.