DNSSEC 签名的问题排查 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

DNSSEC 签名的问题排查

本部分中的信息可以帮助您解决 DNSSEC 签名问题,包括密钥签名密钥 (KSK) 的问题。

KSK 状态为 Action needed(需要操作)

Route 53 DNSSEC 失去对相应 Amazon KMS key(由于权限改变或 Amazon KMS key 删除)时,KSK 可以将其状态更改为 Action needed(需要操作)(或 KeySigningKey 状态中显示为 ACTION_NEEDED)。

如果 KSK 的状态是 Action needed(需要操作),这意味着最终会对使用 DNSSEC 验证解析程序的客户端造成区域中断,并且您必须迅速采取行动,防止生产区域变得无法解析。

要纠正此问题,请确保您的 KSK 所基于的客户托管式密钥已启用且具有正确的权限。有关所需权限的更多信息,请参阅DNSSEC 签名所需的 Route 53 客户托管密钥权限

修复 KSK 之后,使用控制台或 Amazon CLI 将其激活,如 步骤 2:启用 DNSSEC 签名并创建 KSK 中所述。

为了防止将来出现此问题,请考虑按照 在 Amazon Route 53 中配置 DNSSEC 签名 中的建议添加 Amazon CloudWatch 指标来跟踪 KSK 状态。

KSK 状态为 Internal failure(内部故障)

当 KSK 的状态为 Internal failure(内部故障)时(或 KeySigningKey 状态中显示为 INTERNAL_FAILURE),在问题得到解决之前,您无法使用任何其它 DNSSEC 实体。在使用 DNSSEC 签名(包括使用此 KSK 或其它 KSK)之前,您必须采取措施。

要更正问题,请重试激活或停用 KSK。

使用 API 纠正问题时,请尝试启用签名 (EnableHostedZoneDNSSEC) 或禁用签名 (DisableHostedZoneDNSSEC)。

重要的是要及时纠正 Internal failure(内部故障)这一问题。在解决问题之前,您无法对托管区域进行任何其它更改,除了为修复 Internal failure(内部故障)所进行的操作。