Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Permettre DNSSEC la signature et établir une chaîne de confiance
Les étapes progressives s'appliquent au propriétaire de la zone hébergée et au responsable de la zone parent. Il peut s'agir de la même personne, mais si ce n'est pas le cas, le propriétaire de la zone doit en informer le responsable de la zone parent et collaborer avec celui-ci.
Nous vous recommandons de suivre les étapes décrites dans cet article pour signer et inclure votre zone dans la chaîne d'approbation. Les étapes suivantes minimiseront les risques liés à l'intégration. DNSSEC
Note
Assurez-vous de lire les prérequis avant de vous lancer dans Configuration de DNSSEC la signature dans Amazon Route 53.
Trois étapes sont nécessaires pour activer la DNSSEC signature, comme décrit dans les sections suivantes.
Rubriques
Étape 1 : Préparation à l'activation de DNSSEC la signature
Les étapes de préparation vous aident à minimiser les risques liés à l'intégration DNSSEC en surveillant la disponibilité des zones et en réduisant les temps d'attente entre l'activation de la signature et l'insertion de l'enregistrement du signataire de délégation (DS).
Pour préparer l'activation de DNSSEC la signature
-
Contrôlez la disponibilité de la zone.
Vous pouvez contrôler la zone de disponibilité des noms de domaine. Cela peut vous aider à résoudre les problèmes susceptibles de justifier l'annulation d'une étape une fois que vous avez activé DNSSEC la signature. Vous pouvez contrôler les noms de domaine ayant le plus de trafic à l'aide de la journalisation des requêtes. Pour plus d'informations sur la configuration de la journalisation des requêtes, consultez Surveillance d'Amazon Route 53.
Vous pouvez effectuer la surveillance via un script shell ou via un service tiers. Il ne devrait toutefois pas s'agir du seul signal permettant de déterminer si une restauration est nécessaire. Vous recevrez peut-être également des commentaires de vos clients en raison de l'indisponibilité d'un domaine.
-
Réduisez le maximum de la zoneTTL.
Le maximum de la zone TTL est l'TTLenregistrement le plus long de la zone. Dans l'exemple de zone suivant, le maximum de la zone TTL est de 1 jour (86 400 secondes).
Nom TTL Classe de registre Type de registre Données de registre exemple.com.
900
IN
SOA
ns1.exemple.com. hostmaster.exemple.com. 2002022401 10800 15 604800 300
exemple.com.
900
IN
NS
ns1.exemple.com.
route53.exemple.com.
86400
IN
TXT
some txt record
La réduction du maximum de la zone TTL permettra de réduire le temps d'attente entre l'activation de la signature et l'insertion de l'enregistrement du signataire de délégation (DS). Nous recommandons de réduire le maximum de la zone TTL à 1 heure (3 600 secondes). Cela vous permet de revenir en arrière après seulement une heure si un résolveur rencontre des problèmes avec la mise en cache des registres signés.
Annulation : annule les TTL modifications.
-
Réduisez le champ SOA TTL et le champ SOA minimum.
Le champ SOA minimum est le dernier champ des données d'SOAenregistrement. Dans l'exemple d'SOAenregistrement suivant, le champ minimum a la valeur de 5 minutes (300 secondes).
Nom TTL Classe de registre Type de registre Données de registre exemple.com.
900
IN
SOA
ns1.exemple.com. hostmaster.exemple.com. 2002022401 10800 15 604800 300
Le champ SOA TTL et SOA minimum détermine la durée pendant laquelle les résolveurs mémorisent les réponses négatives. Une fois que vous avez activé la signature, les serveurs de noms Route 53 commencent à renvoyer NSEC des enregistrements pour les réponses négatives. NSECIl contient des informations que les résolveurs peuvent utiliser pour synthétiser une réponse négative. Si vous devez revenir en arrière parce que les NSEC informations ont amené le résolveur à supposer une réponse négative pour un nom, il vous suffit d'attendre que le champ maximum SOA TTL et le champ SOA minimum soient atteints pour que le résolveur arrête l'hypothèse.
Annulation : annule les SOA modifications.
-
Assurez-vous que les modifications de champ TTL et les modifications SOA minimales sont effectives.
Utilisez-le GetChangepour vous assurer que les modifications que vous avez apportées jusqu'à présent ont été propagées à tous les DNS serveurs Route 53.
Étape 2 : activer DNSSEC la signature et créer un KSK
Vous pouvez activer DNSSEC la signature et créer une clé de signature clé (KSK) en utilisant AWS CLI ou sur la console Route 53.
Lorsque vous fournissez ou créez une KMS clé gérée par le client, plusieurs exigences s'appliquent. Pour de plus amples informations, veuillez consulter Utilisation de clés gérées par le client pour DNSSEC.
Après avoir activé la signature de zone, effectuez les étapes suivantes (que vous ayez utilisé la console ou leCLI) :
-
Assurez-vous que la signature de zone est effective.
Si vous l'avez utilisé AWS CLI, vous pouvez utiliser l'identifiant d'opération indiqué dans la sortie de l'
EnableHostedZoneDNSSEC()
appel pour exécuter get-change ou GetChangepour vous assurer que tous les DNS serveurs Route 53 signent les réponses (status =INSYNC
). -
Attendez au moins le maximum de la zone précédenteTTL.
Attendez que les résolveurs vident tous les registres non signés de leur cache. Pour ce faire, vous devez attendre au moins le maximum de la zone précédenteTTL. Dans la zone
example.com
ci-dessus, le temps d'attente serait de 1 jour. -
Contrôlez les rapports des problèmes de clients.
Une fois que vous avez activé la signature de zone, vos clients remarqueront peut-être des problèmes liés aux périphériques réseau et aux résolveurs. La période de surveillance recommandée est de 2 semaines.
Voici des exemples de problèmes que vous pourriez constater :
-
Certains périphériques réseau peuvent limiter la taille des DNS réponses à moins de 512 octets, ce qui est trop petit pour certaines réponses signées. Ces périphériques réseau doivent être reconfigurés pour permettre des tailles de DNS réponse plus importantes.
-
Certains périphériques réseau inspectent en profondeur les DNS réponses et suppriment certains enregistrements qu'ils ne comprennent pas, comme ceux pour lesquels ils ont été utilisésDNSSEC. Ces périphériques doivent être reconfigurés.
-
Les résolveurs de certains clients affirment qu'ils peuvent accepter une UDP réponse plus importante que celle prise en charge par leur réseau. Vous pouvez tester la capacité de votre réseau et configurer vos résolveurs de manière appropriée. Pour plus d'informations, voir Serveur de test de taille de DNS réponse
.
-
Annulation : appelez DisableHostedZoneDNSSECpuis annulez les étapes. Étape 1 : Préparation à l'activation de DNSSEC la signature
Étape 3 : Établir une chaîne d'approbation
Après avoir activé DNSSEC la signature pour une zone hébergée dans Route 53, établissez une chaîne de confiance pour la zone hébergée afin de terminer la configuration de DNSSEC signature. Pour ce faire, créez un registre Delegation Signer dans la zone hébergée parent, pour votre zone hébergée, à l'aide des informations fournies par Route 53. Selon l'emplacement dans lequel votre domaine est membre, ajoutez le registre à la zone hébergée parent dans Route 53 ou dans un autre bureau d'enregistrement de domaine.
Pour établir une chaîne de confiance pour la DNSSEC signature
Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/
. -
Dans le volet de navigation, choisissez Zones hébergées, puis choisissez une zone hébergée pour laquelle vous souhaitez établir une DNSSEC chaîne de confiance. Vous devez d'abord activer DNSSEC la signature.
-
Dans l'onglet DNSSECSignature, sous DNSSECSignature, choisissez Afficher les informations pour créer un enregistrement DS.
Note
Si vous ne voyez pas Afficher les informations pour créer un enregistrement DS dans cette section, vous devez activer la DNSSEC signature avant d'établir la chaîne de confiance. Choisissez Activer la DNSSEC signature et suivez les étapes décrites dansÉtape 2 : activer DNSSEC la signature et créer un KSK, puis revenez à ces étapes pour établir la chaîne de confiance.
-
Sous Establish a chain of trust (Établir une chaîne d'approbation), choisissez Route 53 registrar (Bureau d'enregistrement Route 53) ou Another domain registrar (Autre bureau d'enregistrement de domaine), en fonction de l'emplacement dans lequel votre domaine est membre.
-
Utiliser les valeurs fournies à partir de l'étape 3 pour créer un registre DS pour la zone hébergée parent dans Route 53. Si votre domaine n'est pas hébergé sur Route 53, utilisez les valeurs fournies pour créer un registre DS sur le site Web de votre bureau d'enregistrement de domaines.
-
Si la zone parent est un domaine géré via Route 53, procédez comme suit :
Assurez-vous de configurer l'algorithme de signature (ECDSAP256SHA256et le type 13) et l'algorithme de synthèse (SHA-256 et type 2) corrects.
Si Route 53 est votre bureau d'enregistrement, procédez comme suit dans la console Route 53 :
-
Notez les valeurs Key type (Type de clé), Signing algorithm (Algorithme de signature) et Public key (Clé publique). Dans le panneau de navigation, choisissez Registered domains (Domaines membres).
-
Sélectionnez un domaine, puis, à côté de l'DNSSECétat, choisissez Gérer les clés.
-
Dans la boîte de dialogue Gérer DNSSEC les clés, choisissez le type de clé et l'algorithme appropriés pour le registraire Route 53 dans les menus déroulants.
-
Copiez la Public key (Clé publique) pour le bureau d'enregistrement Route 53. Dans la boîte de dialogue Gérer DNSSEC les clés, collez la valeur dans la zone Clé publique.
-
Choisissez Add (Ajouter).
Route 53 ajoute le registre DS à la zone parent à partir de la clé publique. Par exemple, si votre domaine est
example.com
, l'enregistrement DS est ajouté à la DNS zone .com.
-
-
Si la zone parent est hébergée sur Route 53 ou si le domaine est géré sur un autre registre, contactez le propriétaire de la zone parent ou de l'enregistrement du domaine pour suivre ces instructions :
Pour garantir le bon déroulement des étapes suivantes, introduisez un DS TTL faible dans la zone parent. Nous vous recommandons de régler le DS TTL sur 5 minutes (300 secondes) pour une restauration plus rapide si vous devez annuler vos modifications.
-
Si votre zone parent est administrée par un autre registre, contactez votre bureau d'enregistrement pour présenter le registre DS de votre zone. En général, vous ne pourrez pas ajuster TTL l'enregistrement DS.
-
Si votre zone parent est hébergée sur Route 53, contactez le propriétaire de la zone parent pour présenter le registre DS de votre zone.
Fournissez
$ds_record_value
au propriétaire de la zone parent. Vous pouvez l'obtenir en cliquant sur Afficher les informations pour créer un enregistrement DS dans la console et en copiant le champ d'enregistrement DS, ou en appelant DNSSECAPIGet et en récupérant la valeur du champ « DSRecord » :aws --region us-east-1 route53 get-dnssec --hosted-zone-id $hostedzone_id
Le propriétaire de la zone parent peut insérer l'enregistrement via la console Route 53 ouCLI.
Pour insérer l'enregistrement DS à l'aide de AWS CLI, le propriétaire de la zone parent crée et nomme un JSON fichier similaire à l'exemple suivant. Le propriétaire de la zone parent peut nommer le fichier de manière semblable :
inserting_ds.json
.{ "HostedZoneId": "$parent_zone_id", "ChangeBatch": { "Comment": "Inserting DS for zone $zone_name", "Changes": [ { "Action": "UPSERT", "ResourceRecordSet": { "Name": "$zone_name", "Type": "DS", "TTL": 300, "ResourceRecords": [ { "Value": "$ds_record_value" } ] } } ] } }
Ensuite, exécutez la commande suivante :
aws --region us-east-1 route53 change-resource-record-sets --cli-input-json file://inserting_ds.json
Pour insérer le registre DS à l'aide de la console,
Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/
. Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), le nom de votre zone hébergée, puis le bouton Create record (Créer un registre). Assurez-vous de choisir le routage simple pour la Routing policy(Politique de routage).
Dans le champ Record name (Nom du registre), saisissez le même nom que celui de
$zone_name
, sélectionnez DS dans la liste déroulante Record type (Type de registre), puis saisissez la valeur de$ds_record_value
dans le champ Value (Valeur) et choisissez Create records (Créer des registres).
-
Annulation : supprimez le DS de la zone parent, attendez le DSTTL, puis annulez les étapes pour établir la confiance. Si la zone parent est hébergée sur Route 53, le propriétaire de la zone parent peut modifier le
Action
format deUPSERT
versDELETE
dans le JSON fichier et réexécuter l'exemple CLI ci-dessus. -
-
Attendez que les mises à jour se propagent, en fonction des enregistrements TTL de votre domaine.
Si la zone parent est desservie par le DNS service Route 53, le propriétaire de la zone parent peut confirmer la propagation complète via le GetChangeAPI.
Sinon, vous pouvez rechercher périodiquement le registre DS dans la zone parent, puis attendre ensuite 10 minutes de plus pour augmenter la probabilité de propagation complète de l'insertion du registre DS. Notez que certains bureaux d'enregistrement ont planifié l'insertion de DS, par exemple une fois par jour.
Lorsque vous présentez le registre Delegation Signer (DS) dans la zone parent, les résolveurs validés qui ont récupéré le DS commenceront à valider les réponses à partir de la zone.
Pour vous assurer que les étapes d'établissement de l'approbation se déroulent correctement, renseignez les informations suivantes :
-
Trouvez le maximum de NSTTL.
2 jeux de registres NS sont associés à vos zones :
-
Registre NS de délégation : il s'agit du registre NS de votre zone détenu par la zone parent. Pour le trouver, exécutez les commandes Unix suivantes (si votre zone est exemple.com, la zone parent est com) :
dig -t NS
com
Choisissez l'un des registres NS, puis exécutez les éléments suivants :
dig @
one of the NS records of your parent zone
-t NS example.comPar exemple :
dig @b.gtld-servers.net. -t NS example.com
-
Registre NS dans la zone : il s'agit du registre NS de votre zone. Pour le trouver, exécutez la commande Unix suivante :
dig @
one of the NS records of your zone
-t NS example.comPar exemple :
dig @ns-0000.awsdns-00.co.uk. -t NS example.com
Notez le maximum TTL pour les deux zones.
-
-
Attendez le maximum de NSTTL.
Avant l'insertion de DS, les résolveurs reçoivent une réponse signée, mais ne valident pas la signature. Lorsque le registre DS est inséré, les résolveurs ne le verront pas avant l'expiration du registre NS de la zone. Lorsque les résolveurs extraient à nouveau le registre NS, le registre DS est également renvoyé.
Si votre client exécute un résolveur sur un hôte dont l'horloge n'est pas synchronisée, assurez-vous que l'horloge n'avance pas ni ne recule de 1 heure de l'heure correcte.
Une fois cette étape terminée, tous les DNSSEC résolveurs avertis valideront votre zone.
-
Observez la résolution des noms.
Vous devez noter qu'il n'existe aucun problème avec les résolveurs qui valident votre zone. Assurez-vous également de prendre en compte le temps nécessaire à vos clients pour vous signaler les problèmes.
Nous vous recommandons d'effectuer la surveillance pendant 2 semaines au maximum.
-
(Facultatif) Allongez le DS et le NS. TTLs
Si vous êtes satisfait de la configuration, vous pouvez enregistrer TTL les SOA modifications que vous avez apportées. Notez que la Route 53 limite la durée TTL à une semaine pour les zones signalisées. Pour de plus amples informations, veuillez consulter Configuration de DNSSEC la signature dans Amazon Route 53.
Si vous pouvez modifier le DSTTL, nous vous recommandons de le régler sur 1 heure.