DNSSEC 签名的问题排查

在开始启用 DNSSEC 签名之前，请确保已阅读 在 Amazon Route 53 中配置 DNSSEC 签名 中的先决条件。

为了安全地禁用 DNSSEC，Route 53 将检查目标区域是否在信任链中。它检查目标区域的父区域是否有目标区域的任何 NS 记录和 DS 记录。如果目标区域无法公开解析，例如，在查询 NS 和 DS 时获得 SERVFAIL 响应，则 Route 53 无法确定禁用 DNSSEC 是否安全。您可以联系父区域来解决这些问题，并稍后重试禁用 DNSSEC。

Route 53 DNSSEC 失去对相应 Amazon KMS key（由于权限改变或 Amazon KMS key 删除）时，KSK 可以将其状态更改为 Action needed（需要操作）（或 KeySigningKey 状态中显示为 ACTION_NEEDED）。

如果 KSK 的状态是 Action needed（需要操作），这意味着最终会对使用 DNSSEC 验证解析程序的客户端造成区域中断，并且您必须迅速采取行动，防止生产区域变得无法解析。

要纠正此问题，请确保您的 KSK 所基于的客户托管式密钥已启用且具有正确的权限。有关所需权限的更多信息，请参阅DNSSEC 签名所需的 Route 53 客户托管密钥权限。

修复 KSK 之后，使用控制台或 Amazon CLI 将其激活，如 步骤 2：启用 DNSSEC 签名并创建 KSK 中所述。

为了防止将来出现此问题，请考虑按照 在 Amazon Route 53 中配置 DNSSEC 签名 中的建议添加 Amazon CloudWatch 指标来跟踪 KSK 状态。

当 KSK 的状态为 Internal failure（内部故障）时（或 KeySigningKey 状态中显示为 INTERNAL_FAILURE），在问题得到解决之前，您无法使用任何其它 DNSSEC 实体。在使用 DNSSEC 签名（包括使用此 KSK 或其它 KSK）之前，您必须采取措施。

要更正问题，请重试激活或停用 KSK。

使用 API 纠正问题时，请尝试启用签名 (EnableHostedZoneDNSSEC) 或禁用签名 (DisableHostedZoneDNSSEC)。

重要的是要及时纠正 Internal failure（内部故障）这一问题。在解决问题之前，您无法对托管区域进行任何其它更改，除了为修复 Internal failure（内部故障）所进行的操作。