Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Deaktivieren der DNSSEC-Signatur
Die Schritte zum Deaktivieren der DNSSEC-Signierung in Route 53 variieren je nach Vertrauenskette, zu der Ihre gehostete Zone gehört.
Beispielsweise kann Ihre gehostete Zone eine übergeordnete Zone mit einem DS-Datensatz (Delegation Signer) als Teil einer Vertrauenskette aufweisen. Ihre gehostete Zone kann auch selbst eine übergeordnete Zone für untergeordnete Zonen sein, die die DNSSEC-Signatur aktiviert haben. Dies ist ein weiterer Teil der Vertrauenskette. Untersuchen und ermitteln Sie die vollständige Vertrauenskette für Ihre gehostete Zone, bevor Sie die DNSSEC-Signatur deaktivieren.
Die Vertrauenskette für Ihre gehostete Zone, die die DNSSEC-Signatur aktiviert, muss beim Deaktivieren der Signatur sorgfältig rückgängig gemacht werden. Um die gehostete Zone aus der Vertrauenskette zu entfernen, entfernen Sie alle DS-Datensätze, die für die Vertrauenskette vorhanden sind, die diese gehostete Zone enthält. Dies bedeutet, dass Sie Folgendes tun müssen, um:
-
Entfernen Sie alle DS-Datensätze, die diese gehostete Zone für untergeordnete Zonen enthält, die Teil einer Vertrauenskette sind.
-
Entfernen Sie den DS-Datensatz aus der übergeordneten Zone. Überspringen Sie diesen Schritt, wennn Sie über eine Vertrauensinsel verfügen (es gibt keine DS-Datensätze in der übergeordneten Zone und keine DS-Datensätze für untergeordnete Zonen in dieser Zone).
Wenn Sie DS-Datensätze nicht entfernen können, entfernen Sie NS-Datensätze aus der übergeordneten Zone, um die Zone aus der Vertrauenskette zu entfernen. Weitere Informationen finden Sie unter Hinzufügen oder Ändern der Nameserver und Glue-Datensätze in einer Domäne.
Mit den folgenden inkrementellen Schritten können Sie die Effektivität der einzelnen Schritte überwachen, um Probleme mit der DNS-Verfügbarkeit in Ihrer Zone zu vermeiden.
So deaktivieren Sie die DNSSEC-Signatur
-
Überwachen Sie die Verfügbarkeit der Zone.
Sie können die Zone auf die Verfügbarkeit Ihrer Domänennamen überwachen. Dies kann Ihnen helfen, alle Probleme zu beheben, die einen Schritt zurücksetzen könnten, nachdem Sie die DNSSEC-Signatur aktiviert haben. Sie können Ihre Domänennamen mit dem größten Datenverkehr überwachen, indem Sie die Abfrageprotokollierung verwenden. Für weitere Informationen zum Einrichten einer Abfrage-Protokollierung siehe Amazon Route 53 überwachen.
Die Überwachung kann über ein Shell-Skript oder über einen kostenpflichtigen Dienst erfolgen. Dies sollte jedoch nicht das einzige Signal sein, um festzustellen, ob ein Rollback erforderlich ist. Möglicherweise erhalten Sie auch Feedback von Ihren Kunden, da eine Domäne nicht verfügbar ist.
-
Suchen Sie die aktuelle DS TTL.
Sie können die DS TTL finden, indem Sie den folgenden Unix-Befehl ausführen:
dig -t DS example.com
example.com
-
Suchen Sie die maximale NS TTL.
Es gibt 2 Sätze von NS-Datensätzen, die Ihren Zonen zugeordnet sind:
-
Der NS-Datensatz der Delegation – dies ist der NS-Datensatz für Ihre Zone, die von der übergeordneten Zone gehalten wird. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:
Suchen Sie zuerst den NS Ihrer übergeordneten Zone (wenn Ihre Zone beispiel.com ist, ist die übergeordnete Zone com):
dig -t NS com
Wählen Sie einen der NS-Datensätze aus und führen Sie dann Folgendes aus:
dig @
one of the NS records of your parent zone
-t NS example.comZum Beispiel:
dig @b.gtld-servers.net. -t NS example.com
-
Der NS-Datensatz in der Zone – dies ist der NS-Datensatz in Ihrer Zone. Sie können dies suchen, indem Sie den folgenden Unix-Befehl ausführen:
dig @
one of the NS records of your zone
-t NS example.comZum Beispiel:
dig @ns-0000.awsdns-00.co.uk. -t NS example.com
Beachten Sie die maximale TTL für beide Zonen.
-
-
Entfernen Sie den DS-Eintrag aus der übergeordneten Zone.
Kontaktieren Sie den Besitzer der übergeordneten Zone, um den DS-Datensatz zu entfernen.
Rollback: Fügen Sie den DS-Datensatz erneut ein, bestätigen Sie, dass die DS-Einfügung wirksam ist, und warten Sie für die maximale TTL von NS (nicht DS). Danach starten alle Resolver wieder mit der Validierung.
-
Bestätigen Sie, dass die DS-Entfernung wirksam ist.
Wenn sich die übergeordnete Zone im Route-53-DNS-Service befindet, kann der Besitzer der übergeordneten Zone die vollständige Verbreitung über die GetChange API bestätigen.
Andernfalls können Sie die übergeordnete Zone regelmäßig auf den DS-Datensatz untersuchen und danach weitere 10 Minuten warten, um die Wahrscheinlichkeit zu erhöhen, dass die Entfernung des DS-Datensatzes vollständig verbreitet wird. Beachten Sie, dass einige Registraren die DS-Entfernung geplant haben, z. B. einmal am Tag.
-
Warten Sie auf die DS TTL.
Warten Sie, bis alle Resolver den DS-Datensatz aus ihren Caches abgelaufen sind.
-
Deaktivieren Sie die DNSSEC-Signatur und deaktivieren Sie den Schlüsselsignierungsschlüssel (KSK).
Rollback: Rufen Sie ActivateKeySigningKey und EnableHostedZoneDNSSEC-APIs auf.
Beispielsweise:
aws --region us-east-1 route53 activate-key-signing-key \ --hosted-zone-id $hostedzone_id --name $ksk_name aws --region us-east-1 route53 enable-hosted-zone-dnssec \ --hosted-zone-id $hostedzone_id
-
Bestätigen Sie, dass das Deaktivieren der Zonensignierung wirksam ist.
Verwenden Sie die ID aus dem
EnableHostedZoneDNSSEC()
Aufruf, um GetChange sicherzustellen, dass alle Route-53-DNS-Server keine Antworten mehr signieren (Status =INSYNC
). -
Beachten Sie die Namensauflösung.
Sie sollten beachten, dass es keine Probleme gibt, die dazu führen, dass Resolver Ihre Zone validieren. Planen Sie 1-2 Wochen ein, um auch die Zeit zu berücksichtigen, die Ihre Kunden benötigen, um Ihnen Probleme zu melden.
-
(Optional) Bereinigen.
Wenn Sie die Signatur nicht erneut aktivieren, können Sie die KSKs durch bereinigen DeleteKeySigningKey und den entsprechenden vom Kunden verwalteten Schlüssel löschen, um Kosten zu sparen.