DNSSEC 签名的问题排查 - Amazon Route 53
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DNSSEC 签名的问题排查

本部分中的信息可以帮助您解决 DNSSEC 签名问题,包括启用、禁用和使用密钥签名密钥(KSK)的问题。

启用 DNSSEC

在开始启用 DNSSEC 签名之前,请确保已阅读 在 Amazon Route 53 中配置 DNSSEC 签名 中的先决条件。

禁用 DNSSEC

为了安全地禁用 DNSSEC,Route 53 将检查目标区域是否在信任链中。它检查目标区域的父区域是否有目标区域的任何 NS 记录和 DS 记录。如果目标区域无法公开解析,例如,在查询 NS 和 DS 时获得 SERVFAIL 响应,则 Route 53 无法确定禁用 DNSSEC 是否安全。您可以联系父区域来解决这些问题,并稍后重试禁用 DNSSEC。

KSK 状态为 Action needed(需要操作)

当 Route 53 DNSSEC 无法访问相应的(由于权限更改或ACTION_NEEDED删除)时,KSK 可以将其KeySigningKey状态更改为 “需要操作” Amazon KMS key (或 Amazon KMS key 处于状态)。

如果 KSK 的状态是 Action needed(需要操作),这意味着最终会对使用 DNSSEC 验证解析程序的客户端造成区域中断,并且您必须迅速采取行动,防止生产区域变得无法解析。

要纠正此问题,请确保您的 KSK 所基于的客户托管式密钥已启用且具有正确的权限。有关所需权限的更多信息,请参阅 DNSSEC 签名所需的 Route 53 客户托管密钥权限

修复 KSK 后,使用控制台或(如所述)再次将其激活。 Amazon CLI步骤 2:启用 DNSSEC 签名并创建 KSK

为了防止将来出现此问题,请考虑按照中的建议添加一个 Amazon CloudWatch 指标来跟踪 KSK 的状态。在 Amazon Route 53 中配置 DNSSEC 签名

KSK 状态为 Internal failure(内部故障)

当 KSK 的状态为内部故障(或处于KeySigningKey状态)时,INTERNAL_FAILURE在问题得到解决之前,您无法使用任何其他 DNSSEC 实体。在使用 DNSSEC 签名(包括使用此 KSK 或其它 KSK)之前,您必须采取措施。

要更正问题,请重试激活或停用 KSK。

要在使用 API 时更正此问题,请尝试启用签名 (EnableHostedZoneDNSSEC) 或禁用签名 (DisableHostedZoneD NSSEC)。

重要的是要及时纠正 Internal failure(内部故障)这一问题。在解决问题之前,您无法对托管区域进行任何其它更改,除了为修复 Internal failure(内部故障)所进行的操作。