Solución de problemas de firma de DNSSEC

La información de esta sección puede ayudarle a solucionar problemas con la firma de DNSSEC, incluidas la habilitación y deshabilitación, además de las claves de firma de claves (KSK).

Habilitación de DNSSEC

Asegúrese de leer los requisitos previos en Configuración de la firma de DNSSEC en Amazon Route 53 antes de habilitar la firma de DNSSEC.

Deshabilitación de DNSSEC

Para deshabilitar DNSSEC de manera segura, Route 53 comprobará si la zona de destino está en la cadena de confianza. Comprueba si el elemento principal de la zona de destino tiene algún registro de NS o de DS de la zona de destino. Si la zona de destino no se puede resolver públicamente, por ejemplo, al obtener una respuesta SERVFAIL al consultar NS y DS, Route 53 no puede determinar si es seguro deshabilitar DNSSEC. Puede contactar con su zona principal para solucionar esos problemas y volver a intentar deshabilitar DNSSEC más adelante.

El estado de KSK es Action needed (Acción necesaria)

Una KSK puede cambiar su estado a Acción necesaria (o ACTION_NEEDED en KeySigningKeyestado) cuando el DNSSEC de Route 53 pierde el acceso al correspondiente AWS KMS key (debido a un cambio en los permisos o a una eliminación). AWS KMS key

Si el estado de un KSK es Action needed (Acción necesaria), significa que eventualmente provocará una interrupción de la zona para los clientes que utilizan los solucionadores de validación de DNSSEC y debe actuar rápidamente para evitar que una zona de producción no pueda resolverse.

Para corregir el problema, asegúrese de que la clave administrada por el cliente en la que se basa su KSK está habilitada y tiene los permisos correctos. Para obtener más información sobre los permisos necesarios, consulte Permisos de clave administrados por el cliente de Route 53 necesarios para firmar DNSSEC.

Una vez que haya arreglado el KSK, actívelo de nuevo mediante la consola o el AWS CLI, tal y como se describe en. Paso 2: Habilitar la firma DNSSEC y crear un KSK

Para evitar este problema en el futuro, considere la posibilidad de añadir una Amazon CloudWatch métrica para rastrear el estado de la KSK, tal y como se sugiere enConfiguración de la firma de DNSSEC en Amazon Route 53.

El estado de la KSK es Internal failure (Error interno)

Cuando un KSK tiene el estado de fallo interno (o se encuentra INTERNAL_FAILURE en un KeySigningKeyestado), no puede trabajar con ninguna otra entidad del DNSSEC hasta que se resuelva el problema. Debe adoptar medidas antes de poder trabajar con la firma de DNSSEC, incluido el trabajo con esta KSK o con su otra KSK.

Para corregir el problema, vuelva a intentar activar o desactivar la KSK.

Para corregir el problema al trabajar con las API, prueba a habilitar la firma (EnableHostedZoneDNSSEC) o inhabilitarla (DNSSEC). DisableHostedZone

Es importante que corrija los problemas de tipo Internal failure (Error interno) lo antes posible. No puede realizar ningún otro cambio en la zona alojada hasta que corrija el problema, excepto las operaciones para corregir el Internal failure (Error interno).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Pruebas de inexistencia de DNSSEC en Route 53

Se utiliza AWS Cloud Map para crear registros y controles de estado