启用 DNSSEC 签名和建立信任链 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 DNSSEC 签名和建立信任链

本节提供了有关在 Amazon Route 53 控制台中启用和禁用 DNSSEC 签名的分步信息。启用 DNSSEC 签名有两个步骤:启用签名和让 Route 53 创建密钥签名密钥 (KSK),以及建立信任链。

要以编程方式启用 DNSSEC 签名,请参阅使用Amazon用于启用 DNSSEC 签名的 CLI.

启用 DNSSEC 签名并创建 KSK

若要开始使用 Route 53 中的 DNSSEC 签名,您可以启用 DNSSEC 签名,然后 Route 53 根据您选择的客户管理客户主密钥 (CMK) 为您创建密钥签名密钥 (KSK)。

当您提供或创建客户管理的 CMK 时,有几个要求。有关更多信息,请参阅 使用用于 DNSSEC 的客户管理 CMK

启用 DNSSEC 签名并创建 KSK

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择您要为其启用 DNSSEC 签名的托管区域。

  3. 在存储库的DNSSEC 登录选项卡上,选择启用 DNSSEC 签名.

    注意

    如果本节中的选项为禁用 DNSSEC 签名,您已完成启用 DNSSEC 签名的第一步。请确保您为 DNSSEC 的托管区域建立了信任链,或者已经存在信任链,然后完成。有关更多信息,请参阅 建立信任链

  4. UNDERKSK中,输入 Route 53 将为您创建的 KSK 的名称。名称可包括数字、字母和下划线 (_)。它必须是唯一的。

  5. UNDER客户托管 CMK中,为 Route 53 选择客户管理的 CMK,以便在为您创建 KSK 时使用。您可以使用适用于 DNSSEC 签名的现有客户管理 CMK,也可以创建新的客户管理 CMK。

    当您提供或创建客户管理的 CMK 时,有几个要求。有关更多信息,请参阅 使用用于 DNSSEC 的客户管理 CMK

  6. 输入现有客户托管 CMK 的别名。如果您要使用新的客户托管 CMK,请为客户托管 CMK 输入别名,Route 53 将为您创建别名。

    注意

    如果您选择让 Route 53 创建一个客户管理的 CMK,请注意,每个客户管理的 CMK 都会收取单独的费用。有关更多信息,请参阅 。AmazonKey Management Service.

  7. 选择启用 DNSSEC 签名.

建立信任链

在 Route 53 中为托管区域启用 DNSSEC 签名后,为托管区域建立信任链,以完成 DNSSEC 签名设置。您可以通过创建委派签名者 (DS) 记录在parent托管区域,并使用 Route 53 提供的信息。根据域注册的位置,您可以将记录添加到 Route 53 中的父托管区域或其他域注册商。

建立 DNSSEC 签名信任链

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择要为其建立 DNSSEC 信任链的托管区域。您必须首先启用 DNSSEC 签名。

  3. 在存储库的DNSSEC 登录选项卡,在DNSSEC 登录中,选择查看创建 DS 记录的信息.

    注意

    如果您没有看到查看创建 DS 记录的信息,那么在建立信任链之前,必须启用 DNSSEC 签名。选择启用 DNSSEC 签名并完成这些步骤,然后返回到这些步骤以建立信任链。

  4. UNDER建立信任链,选择Route 53或者另一域注册商,具体取决于您的域名注册位置。

  5. 使用提供的值为 Route 53 中的父托管区域创建 DS 记录,或者,如果您的域未托管在 Route 53 上,则使用提供的值在域注册商网站上创建 DS 记录。

    请确保配置了正确的签名算法(ECDSAP256SHA256 和类型 13)和摘要算法(SHA-256 和类型 2)。

    如果 Route 53 是您的注册商:

    1. 请注意密钥类型签名算法, 和Public key有效值。在导航窗格中,选择 Registered domains

    2. 选择一个域,然后在DNSSEC 状态中,选择管理密钥.

    3. 管理 DNSSEC 密钥对话框中,选择适当的密钥类型算法(对于 )Route 53从下拉菜单中选择。

    4. 复制Public key查看 Route 53 注册商。在管理 DNSSEC 密钥对话框中,将值粘贴到Public key

    5. 选择 Add

  6. 等待更新传播,基于域记录的 TTL。

注意

您的新记录需要一定时间才会传播 Route 53 DNS 服务器。目前,验证更改是否已传播的唯一方式是使用GetChangeaction. 更改通常在 60 秒内传播到所有 Route 53 名称服务器。

使用现有 KSK 启用 DNSSEC 签名

如果您已经至少有一个密钥签名密钥 (KSK),则可以使用现有 KSK 为托管区域启用 DNSSEC 签名。请按照以下步骤启用 DNSSEC 签名在此场景中。

使用现有 KSK 启用 DNSSEC 签名

  1. 登录到Amazon Web Services Management Console通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/.

  2. 在导航窗格中,选择托管区域,然后选择您要为其启用 DNSSEC 签名的托管区域。

  3. 在存储库的DNSSEC 登录选项卡上,选择启用 DNSSEC 签名.

    注意

    如果本节中的选项为禁用 DNSSEC 签名,您已完成启用 DNSSEC 签名的第一步。请确保您为 DNSSEC 的托管区域建立了信任链,或者已经存在信任链,然后完成。有关更多信息,请参阅 建立信任链

  4. UNDERKSK中,选择使用活动的 KSK或者创建新的 KSK.

  5. 如果您选择创建新的 KSK,请输入适用于 DNSSEC 签名的客户管理 CMK 的别名,或输入新的客户管理 CMK 的别名。

    注意

    如果您选择让 Route 53 创建一个客户管理的 CMK,请注意,每个客户管理的 CMK 都会收取单独的费用。有关更多信息,请参阅 Amazon Key Management Service 定价

  6. 选择启用 DNSSEC 签名.