Deaktivieren der DNSSEC-Signatur - Amazon Route 53

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Deaktivieren der DNSSEC-Signatur

Die Schritte zum Deaktivieren der DNSSEC-Signierung in Route 53 variieren je nach Vertrauenskette, zu der Ihre gehostete Zone gehört.

Beispielsweise kann Ihre gehostete Zone eine übergeordnete Zone mit einem DS-Datensatz (Delegation Signer) als Teil einer Vertrauenskette aufweisen. Ihre gehostete Zone kann auch selbst eine übergeordnete Zone für untergeordnete Zonen sein, die die DNSSEC-Signatur aktiviert haben. Dies ist ein weiterer Teil der Vertrauenskette. Untersuchen und ermitteln Sie die vollständige Vertrauenskette für Ihre gehostete Zone, bevor Sie die DNSSEC-Signatur deaktivieren.

Die Vertrauenskette für Ihre gehostete Zone, die die DNSSEC-Signatur aktiviert, muss beim Deaktivieren der Signatur sorgfältig rückgängig gemacht werden. Um die gehostete Zone aus der Vertrauenskette zu entfernen, entfernen Sie alle DS-Datensätze, die für die Vertrauenskette vorhanden sind, die diese gehostete Zone enthält. Dies bedeutet, dass Sie Folgendes tun müssen, um:

  1. Entfernen Sie alle DS-Datensätze, die diese gehostete Zone für untergeordnete Zonen enthält, die Teil einer Vertrauenskette sind.

  2. Entfernen Sie den DS-Datensatz aus der übergeordneten Zone. Überspringen Sie diesen Schritt, wennn Sie über eine Vertrauensinsel verfügen (es gibt keine DS-Datensätze in der übergeordneten Zone und keine DS-Datensätze für untergeordnete Zonen in dieser Zone).

  3. Wenn Sie DS-Datensätze nicht entfernen können, entfernen Sie NS-Datensätze aus der übergeordneten Zone, um die Zone aus der Vertrauenskette zu entfernen. Weitere Informationen finden Sie unter Hinzufügen oder Ändern der Nameserver und Glue-Datensätze in einer Domäne.

Mit den folgenden inkrementellen Schritten können Sie die Effektivität der einzelnen Schritte überwachen, um Probleme mit der DNS-Verfügbarkeit in Ihrer Zone zu vermeiden.

So deaktivieren Sie die DNSSEC-Signatur

  1. Überwachen Sie die Verfügbarkeit der Zone.

    Sie können die Zone auf die Verfügbarkeit Ihrer Domänennamen überwachen. Dies kann Ihnen helfen, alle Probleme zu beheben, die einen Schritt zurücksetzen könnten, nachdem Sie die DNSSEC-Signatur aktiviert haben. Sie können Ihre Domänennamen mit dem größten Datenverkehr überwachen, indem Sie die Abfrageprotokollierung verwenden. Für weitere Informationen zum Einrichten einer Abfrage-Protokollierung siehe Amazon Route 53 überwachen.

    Die Überwachung kann über ein Shell-Skript oder über einen kostenpflichtigen Dienst erfolgen. Dies sollte jedoch nicht das einzige Signal sein, um festzustellen, ob ein Rollback erforderlich ist. Möglicherweise erhalten Sie auch Feedback von Ihren Kunden, da eine Domäne nicht verfügbar ist.

  2. Suchen Sie die aktuelle DS TTL.

    Sie können die DS TTL finden, indem Sie den folgenden Unix-Befehl ausführen:

    dig -t DS example.com example.com

  3. Suchen Sie die maximale NS TTL.

    Es gibt 2 Sätze von NS-Datensätzen, die Ihren Zonen zugeordnet sind:

    • Der NS-Datensatz der Delegation – dies ist der NS-Datensatz für Ihre Zone, die von der übergeordneten Zone gehalten wird. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:

      Suchen Sie zuerst den NS Ihrer übergeordneten Zone (wenn Ihre Zone beispiel.com ist, ist die übergeordnete Zone com):

      dig -t NS com

      Wählen Sie einen der NS-Datensätze aus und führen Sie dann Folgendes aus:

      dig @one of the NS records of your parent zone -t NS example.com

      Zum Beispiel:

      dig @b.gtld-servers.net. -t NS example.com

    • Der NS-Datensatz in der Zone – dies ist der NS-Datensatz in Ihrer Zone. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:

      dig @one of the NS records of your zone -t NS example.com

      Zum Beispiel:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Beachten Sie die maximale TTL für beide Zonen.

  4. Entfernen Sie den DS-Eintrag aus der übergeordneten Zone.

    Kontaktieren Sie den Besitzer der übergeordneten Zone, um den DS-Datensatz zu entfernen.

    Rollback: Fügen Sie den DS-Datensatz erneut ein, bestätigen Sie, dass die DS-Einfügung wirksam ist, und warten Sie für die maximale TTL von NS (nicht DS). Danach starten alle Resolver wieder mit der Validierung.

  5. Bestätigen Sie, dass die DS-Entfernung wirksam ist.

    Wenn sich die übergeordnete Zone im Route-53-DNS-Service befindet, kann der Besitzer der übergeordneten Zone die vollständige Verbreitung über die GetChange API bestätigen.

    Andernfalls können Sie die übergeordnete Zone regelmäßig auf den DS-Datensatz untersuchen und danach weitere 10 Minuten warten, um die Wahrscheinlichkeit zu erhöhen, dass die Entfernung des DS-Datensatzes vollständig verbreitet wird. Beachten Sie, dass einige Registraren die DS-Entfernung geplant haben, z. B. einmal am Tag.

  6. Warten Sie auf die DS TTL.

    Warten Sie, bis alle Resolver den DS-Datensatz aus ihren Caches abgelaufen sind.

  7. Deaktivieren Sie die DNSSEC-Signatur und deaktivieren Sie den Schlüsselsignierungsschlüssel (KSK).

    CLI

    Rufen Sie DisableHostedZoneDNSSEC und DeactivateKeySigningKey APIs auf.

    Beispielsweise:

    
aws --region us-east-1 route53 disable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

aws --region us-east-1 route53 deactivate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name
    Console

    So deaktivieren Sie die DNSSEC-Signatur

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

    2. Wählen Sie im NavigationsbereichGehostete ZonenWählen Sie dann eine gehostete Zone aus, für die Sie die DNSSEC-Signatur deaktivieren möchten.

    3. Klicken Sie auf derDNSSECWählen Sie auf der RegisterkarteDNSSEC-Signatur deaktivierenaus.

    4. Klicken Sie auf derDNSSEC-Signatur deaktivierenWählen Sie je nach Szenario für die Zone, für die Sie die DNSSEC-Signatur deaktivieren, eine der folgenden Optionen aus.

      • Nur übergeordnete Zone— Diese Zone hat eine übergeordnete Zone mit einem DS-Eintrag. In diesem Szenario müssen Sie den DS-Eintrag der übergeordneten Zone entfernen.

      • Nur untergeordnete Zonen— Diese Zone verfügt über einen DS-Eintrag für eine Vertrauenskette mit einer oder mehreren untergeordneten Zonen. In diesem Szenario müssen Sie die DS-Einträge der Zone entfernen.

      • Übergeordnet und untergeordnet— Diese Zone verfügt über einen DS-Datensatz für eine Vertrauenskette mit einer oder mehreren untergeordneten Zonenundeine übergeordnete Zone mit einem DS-Datensatz. Führen Sie für dieses Szenario die folgenden Schritte in aus:

        1. Entfernen Sie die DS-Einträge der Zone.

        2. Entfernen Sie den DS-Eintrag der übergeordneten Zone.

        Wenn Sie eine Insel des Vertrauens haben, können Sie diesen Schritt überspringen.

    5. Bestimmen Sie die TTL für jeden DS-Datensatz, den Sie in Schritt 4 entfernen. Stellen Sie sicher, dass der längste TTL-Zeitraum abgelaufen ist.

    6. Wählen Sie das Kontrollkästchen, um zu bestätigen, dass Sie die Schritte der Reihe nach befolgt haben.

    7. GebenSie disable wie gezeigt in das Feld und wählen Sie Deaktivieren aus.

    So deaktivieren Sie den Schlüsselsignierungschlüssel (KSK)

    1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

    2. Wählen Sie im Navigationsbereich Hosted Zones (Gehostete Zonen) und wählen Sie dann eine gehostete Zone aus, für die Sie den Schlüsselsignierungsschlüssel (KSK) deaktivieren möchten.

    3. Wählen Sie im Abschnitt Key-signing keys (KSKs) (Schlüsselsignierungschlüssel (KSKs) den KSK aus, den Sie deaktivieren möchten, und wählen Sie unter Actions (Aktionen) Edit KSK (KSK bearbeitenK), setzen Sie den KSK status (KSK-Status) auf Inactive (Inaktiv) und wählen Sie dann Save KSK (KSK speichern) aus.

    Rollback: Rufen Sie ActivateKeySigningKey und EnableHostedZoneDNSSEC-APIs auf.

    Beispielsweise:

    
aws --region us-east-1 route53 activate-key-signing-key \
            --hosted-zone-id $hostedzone_id --name $ksk_name

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
            --hosted-zone-id $hostedzone_id

  8. Bestätigen Sie, dass das Deaktivieren der Zonensignierung wirksam ist.

    Verwenden Sie die ID aus dem EnableHostedZoneDNSSEC() Aufruf, um GetChange sicherzustellen, dass alle Route-53-DNS-Server keine Antworten mehr signieren (Status = INSYNC).

  9. Beachten Sie die Namensauflösung.

    Sie sollten beachten, dass es keine Probleme gibt, die dazu führen, dass Resolver Ihre Zone validieren. Planen Sie 1-2 Wochen ein, um auch die Zeit zu berücksichtigen, die Ihre Kunden benötigen, um Ihnen Probleme zu melden.

  10. (Optional) Bereinigen.

    Wenn Sie die Signatur nicht erneut aktivieren, können Sie die KSKs durch bereinigen DeleteKeySigningKey und den entsprechenden vom Kunden verwalteten Schlüssel löschen, um Kosten zu sparen.