Permettre DNSSEC la signature et établir une chaîne de confiance - Amazon Route 53

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Permettre DNSSEC la signature et établir une chaîne de confiance

Les étapes progressives s'appliquent au propriétaire de la zone hébergée et au responsable de la zone parent. Il peut s'agir de la même personne, mais si ce n'est pas le cas, le propriétaire de la zone doit en informer le responsable de la zone parent et collaborer avec celui-ci.

Nous vous recommandons de suivre les étapes décrites dans cet article pour signer et inclure votre zone dans la chaîne d'approbation. Les étapes suivantes minimiseront les risques liés à l'intégration. DNSSEC

Note

Assurez-vous de lire les prérequis avant de vous lancer dans Configuration de DNSSEC la signature dans Amazon Route 53.

Trois étapes sont nécessaires pour activer la DNSSEC signature, comme décrit dans les sections suivantes.

Étape 1 : Préparation à l'activation de DNSSEC la signature

Les étapes de préparation vous aident à minimiser les risques liés à l'intégration DNSSEC en surveillant la disponibilité des zones et en réduisant les temps d'attente entre l'activation de la signature et l'insertion de l'enregistrement du signataire de délégation (DS).

Pour préparer l'activation de DNSSEC la signature
  1. Contrôlez la disponibilité de la zone.

    Vous pouvez contrôler la zone de disponibilité des noms de domaine. Cela peut vous aider à résoudre les problèmes susceptibles de justifier l'annulation d'une étape une fois que vous avez activé DNSSEC la signature. Vous pouvez contrôler les noms de domaine ayant le plus de trafic à l'aide de la journalisation des requêtes. Pour plus d'informations sur la configuration de la journalisation des requêtes, consultez Surveillance d'Amazon Route 53.

    Vous pouvez effectuer la surveillance via un script shell ou via un service tiers. Il ne devrait toutefois pas s'agir du seul signal permettant de déterminer si une restauration est nécessaire. Vous recevrez peut-être également des commentaires de vos clients en raison de l'indisponibilité d'un domaine.

  2. Réduisez le maximum de la zoneTTL.

    Le maximum de la zone TTL est l'TTLenregistrement le plus long de la zone. Dans l'exemple de zone suivant, le maximum de la zone TTL est de 1 jour (86 400 secondes).

    Nom TTL Classe de registre Type de registre Données de registre

    exemple.com.

    900

    IN

    SOA

    ns1.exemple.com. hostmaster.exemple.com. 2002022401 10800 15 604800 300

    exemple.com.

    900

    IN

    NS

    ns1.exemple.com.

    route53.exemple.com.

    86400

    IN

    TXT

    some txt record

    La réduction du maximum de la zone TTL permettra de réduire le temps d'attente entre l'activation de la signature et l'insertion de l'enregistrement du signataire de délégation (DS). Nous recommandons de réduire le maximum de la zone TTL à 1 heure (3 600 secondes). Cela vous permet de revenir en arrière après seulement une heure si un résolveur rencontre des problèmes avec la mise en cache des registres signés.

    Annulation : annule les TTL modifications.

  3. Réduisez le champ SOA TTL et le champ SOA minimum.

    Le champ SOA minimum est le dernier champ des données d'SOAenregistrement. Dans l'exemple d'SOAenregistrement suivant, le champ minimum a la valeur de 5 minutes (300 secondes).

    Nom TTL Classe de registre Type de registre Données de registre

    exemple.com.

    900

    IN

    SOA

    ns1.exemple.com. hostmaster.exemple.com. 2002022401 10800 15 604800 300

    Le champ SOA TTL et SOA minimum détermine la durée pendant laquelle les résolveurs mémorisent les réponses négatives. Une fois que vous avez activé la signature, les serveurs de noms Route 53 commencent à renvoyer NSEC des enregistrements pour les réponses négatives. NSECIl contient des informations que les résolveurs peuvent utiliser pour synthétiser une réponse négative. Si vous devez revenir en arrière parce que les NSEC informations ont amené le résolveur à supposer une réponse négative pour un nom, il vous suffit d'attendre que le champ maximum SOA TTL et le champ SOA minimum soient atteints pour que le résolveur arrête l'hypothèse.

    Annulation : annule les SOA modifications.

  4. Assurez-vous que les modifications de champ TTL et les modifications SOA minimales sont effectives.

    Utilisez-le GetChangepour vous assurer que les modifications que vous avez apportées jusqu'à présent ont été propagées à tous les DNS serveurs Route 53.

Étape 2 : activer DNSSEC la signature et créer un KSK

Vous pouvez activer DNSSEC la signature et créer une clé de signature clé (KSK) en utilisant AWS CLI ou sur la console Route 53.

Lorsque vous fournissez ou créez une KMS clé gérée par le client, plusieurs exigences s'appliquent. Pour de plus amples informations, veuillez consulter Utilisation de clés gérées par le client pour DNSSEC.

CLI

Vous pouvez utiliser une clé que vous possédez déjà ou en créer une en exécutant une commande AWS CLI telle que la suivante, en utilisant vos propres valeurs pour hostedzone_id, cmk_arn, ksk_name et unique_string (pour rendre la demande unique) :

aws --region us-east-1 route53 create-key-signing-key \ --hosted-zone-id $hostedzone_id \ --key-management-service-arn $cmk_arn --name $ksk_name \ --status ACTIVE \ --caller-reference $unique_string

Pour plus d'informations sur les clés gérées par le client, consultez Utilisation de clés gérées par le client pour DNSSEC. Voir aussi CreateKeySigningKey.

Pour activer DNSSEC la signature, exécutez une AWS CLI commande comme celle-ci, en utilisant votre propre valeur pour hostedzone_id :

aws --region us-east-1 route53 enable-hosted-zone-dnssec \ --hosted-zone-id $hostedzone_id

Pour plus d'informations, reportez-vous enable-hosted-zone-dnssecaux sections et EnableHostedZoneDNSSEC.

Console
Pour activer DNSSEC la signature et créer un KSK
  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le volet de navigation, choisissez Zones hébergées, puis choisissez une zone hébergée pour laquelle vous souhaitez activer DNSSEC la signature.

  3. Dans l'onglet DNSSECSignature, choisissez Activer DNSSEC la signature.

    Note

    Si l'option de cette section est Désactiver DNSSEC la signature, vous avez déjà effectué la première étape d'activation de DNSSEC la signature. Assurez-vous que vous avez établi, ou qu'il existe déjà, une chaîne de confiance pour la zone hébergée pourDNSSEC, et vous avez terminé. Pour de plus amples informations, veuillez consulter Étape 3 : Établir une chaîne d'approbation.

  4. Dans la section Création de la clé de signature par clé (KSK), choisissez Créer une nouvelle cléKSK, puis sous Fournir un KSK nom, entrez le nom KSK que Route 53 créera pour vous. Le nom peut contenir des chiffres, des lettres et des traits de soulignement (_). Il doit être unique.

  5. Sous Gestion par le client CMK, choisissez la clé gérée par le client que Route 53 utilisera lors de la création de la clé KSK pour vous. Vous pouvez utiliser une clé gérée par le client existante qui s'applique à DNSSEC la signature, ou créer une nouvelle clé gérée par le client.

    Lorsque vous fournissez ou créez une clé gérée par le client, plusieurs exigences s'appliquent. Pour plus d'informations, consultez Utilisation de clés gérées par le client pour DNSSEC.

  6. Saisissez l'alias d'une clé gérée par le client existante. Si vous souhaitez utiliser une nouvelle clé gérée par le client, saisissez un alias pour la clé gérée par le client et Route 53 en créera un pour vous.

    Note

    Si vous choisissez que Route 53 crée une clé gérée par le client, sachez que des frais distincts s'appliquent pour chaque clé gérée par le client. Pour plus d'informations, consultez Tarification d'AWS Key Management Service.

  7. Choisissez Activer DNSSEC la signature.

Après avoir activé la signature de zone, effectuez les étapes suivantes (que vous ayez utilisé la console ou leCLI) :

  1. Assurez-vous que la signature de zone est effective.

    Si vous l'avez utilisé AWS CLI, vous pouvez utiliser l'identifiant d'opération indiqué dans la sortie de l'EnableHostedZoneDNSSEC()appel pour exécuter get-change ou GetChangepour vous assurer que tous les DNS serveurs Route 53 signent les réponses (status =INSYNC).

  2. Attendez au moins le maximum de la zone précédenteTTL.

    Attendez que les résolveurs vident tous les registres non signés de leur cache. Pour ce faire, vous devez attendre au moins le maximum de la zone précédenteTTL. Dans la zone example.com ci-dessus, le temps d'attente serait de 1 jour.

  3. Contrôlez les rapports des problèmes de clients.

    Une fois que vous avez activé la signature de zone, vos clients remarqueront peut-être des problèmes liés aux périphériques réseau et aux résolveurs. La période de surveillance recommandée est de 2 semaines.

    Voici des exemples de problèmes que vous pourriez constater :

    • Certains périphériques réseau peuvent limiter la taille des DNS réponses à moins de 512 octets, ce qui est trop petit pour certaines réponses signées. Ces périphériques réseau doivent être reconfigurés pour permettre des tailles de DNS réponse plus importantes.

    • Certains périphériques réseau inspectent en profondeur les DNS réponses et suppriment certains enregistrements qu'ils ne comprennent pas, comme ceux pour lesquels ils ont été utilisésDNSSEC. Ces périphériques doivent être reconfigurés.

    • Les résolveurs de certains clients affirment qu'ils peuvent accepter une UDP réponse plus importante que celle prise en charge par leur réseau. Vous pouvez tester la capacité de votre réseau et configurer vos résolveurs de manière appropriée. Pour plus d'informations, voir Serveur de test de taille de DNS réponse.

Annulation : appelez DisableHostedZoneDNSSECpuis annulez les étapes. Étape 1 : Préparation à l'activation de DNSSEC la signature

Étape 3 : Établir une chaîne d'approbation

Après avoir activé DNSSEC la signature pour une zone hébergée dans Route 53, établissez une chaîne de confiance pour la zone hébergée afin de terminer la configuration de DNSSEC signature. Pour ce faire, créez un registre Delegation Signer dans la zone hébergée parent, pour votre zone hébergée, à l'aide des informations fournies par Route 53. Selon l'emplacement dans lequel votre domaine est membre, ajoutez le registre à la zone hébergée parent dans Route 53 ou dans un autre bureau d'enregistrement de domaine.

Pour établir une chaîne de confiance pour la DNSSEC signature
  1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/route53/.

  2. Dans le volet de navigation, choisissez Zones hébergées, puis choisissez une zone hébergée pour laquelle vous souhaitez établir une DNSSEC chaîne de confiance. Vous devez d'abord activer DNSSEC la signature.

  3. Dans l'onglet DNSSECSignature, sous DNSSECSignature, choisissez Afficher les informations pour créer un enregistrement DS.

    Note

    Si vous ne voyez pas Afficher les informations pour créer un enregistrement DS dans cette section, vous devez activer la DNSSEC signature avant d'établir la chaîne de confiance. Choisissez Activer la DNSSEC signature et suivez les étapes décrites dansÉtape 2 : activer DNSSEC la signature et créer un KSK, puis revenez à ces étapes pour établir la chaîne de confiance.

  4. Sous Establish a chain of trust (Établir une chaîne d'approbation), choisissez Route 53 registrar (Bureau d'enregistrement Route 53) ou Another domain registrar (Autre bureau d'enregistrement de domaine), en fonction de l'emplacement dans lequel votre domaine est membre.

  5. Utiliser les valeurs fournies à partir de l'étape 3 pour créer un registre DS pour la zone hébergée parent dans Route 53. Si votre domaine n'est pas hébergé sur Route 53, utilisez les valeurs fournies pour créer un registre DS sur le site Web de votre bureau d'enregistrement de domaines.

    • Si la zone parent est un domaine géré via Route 53, procédez comme suit :

      Assurez-vous de configurer l'algorithme de signature (ECDSAP256SHA256et le type 13) et l'algorithme de synthèse (SHA-256 et type 2) corrects.

      Si Route 53 est votre bureau d'enregistrement, procédez comme suit dans la console Route 53 :

      1. Notez les valeurs Key type (Type de clé), Signing algorithm (Algorithme de signature) et Public key (Clé publique). Dans le panneau de navigation, choisissez Registered domains (Domaines membres).

      2. Sélectionnez un domaine, puis, à côté de l'DNSSECétat, choisissez Gérer les clés.

      3. Dans la boîte de dialogue Gérer DNSSEC les clés, choisissez le type de clé et l'algorithme appropriés pour le registraire Route 53 dans les menus déroulants.

      4. Copiez la Public key (Clé publique) pour le bureau d'enregistrement Route 53. Dans la boîte de dialogue Gérer DNSSEC les clés, collez la valeur dans la zone Clé publique.

      5. Choisissez Add (Ajouter).

        Route 53 ajoute le registre DS à la zone parent à partir de la clé publique. Par exemple, si votre domaine estexample.com, l'enregistrement DS est ajouté à la DNS zone .com.

    • Si la zone parent est hébergée sur Route 53 ou si le domaine est géré sur un autre registre, contactez le propriétaire de la zone parent ou de l'enregistrement du domaine pour suivre ces instructions :

      Pour garantir le bon déroulement des étapes suivantes, introduisez un DS TTL faible dans la zone parent. Nous vous recommandons de régler le DS TTL sur 5 minutes (300 secondes) pour une restauration plus rapide si vous devez annuler vos modifications.

      • Si votre zone parent est administrée par un autre registre, contactez votre bureau d'enregistrement pour présenter le registre DS de votre zone. En général, vous ne pourrez pas ajuster TTL l'enregistrement DS.

      • Si votre zone parent est hébergée sur Route 53, contactez le propriétaire de la zone parent pour présenter le registre DS de votre zone.

        Fournissez $ds_record_value au propriétaire de la zone parent. Vous pouvez l'obtenir en cliquant sur Afficher les informations pour créer un enregistrement DS dans la console et en copiant le champ d'enregistrement DS, ou en appelant DNSSECAPIGet et en récupérant la valeur du champ « DSRecord » :

        aws --region us-east-1 route53 get-dnssec --hosted-zone-id $hostedzone_id

        Le propriétaire de la zone parent peut insérer l'enregistrement via la console Route 53 ouCLI.

        • Pour insérer l'enregistrement DS à l'aide de AWS CLI, le propriétaire de la zone parent crée et nomme un JSON fichier similaire à l'exemple suivant. Le propriétaire de la zone parent peut nommer le fichier de manière semblable : inserting_ds.json.

          { "HostedZoneId": "$parent_zone_id", "ChangeBatch": { "Comment": "Inserting DS for zone $zone_name", "Changes": [ { "Action": "UPSERT", "ResourceRecordSet": { "Name": "$zone_name", "Type": "DS", "TTL": 300, "ResourceRecords": [ { "Value": "$ds_record_value" } ] } } ] } }

          Ensuite, exécutez la commande suivante :

          aws --region us-east-1 route53 change-resource-record-sets --cli-input-json file://inserting_ds.json
        • Pour insérer le registre DS à l'aide de la console,

          Ouvrez la console Route 53 à l'adresse https://console.aws.amazon.com/route53/.

          Dans le panneau de navigation, choisissez Hosted zones (Zones hébergées), le nom de votre zone hébergée, puis le bouton Create record (Créer un registre). Assurez-vous de choisir le routage simple pour la Routing policy(Politique de routage).

          Dans le champ Record name (Nom du registre), saisissez le même nom que celui de $zone_name, sélectionnez DS dans la liste déroulante Record type (Type de registre), puis saisissez la valeur de $ds_record_value dans le champ Value (Valeur) et choisissez Create records (Créer des registres).

    Annulation : supprimez le DS de la zone parent, attendez le DSTTL, puis annulez les étapes pour établir la confiance. Si la zone parent est hébergée sur Route 53, le propriétaire de la zone parent peut modifier le Action format de UPSERT vers DELETE dans le JSON fichier et réexécuter l'exemple CLI ci-dessus.

  6. Attendez que les mises à jour se propagent, en fonction des enregistrements TTL de votre domaine.

    Si la zone parent est desservie par le DNS service Route 53, le propriétaire de la zone parent peut confirmer la propagation complète via le GetChangeAPI.

    Sinon, vous pouvez rechercher périodiquement le registre DS dans la zone parent, puis attendre ensuite 10 minutes de plus pour augmenter la probabilité de propagation complète de l'insertion du registre DS. Notez que certains bureaux d'enregistrement ont planifié l'insertion de DS, par exemple une fois par jour.

Lorsque vous présentez le registre Delegation Signer (DS) dans la zone parent, les résolveurs validés qui ont récupéré le DS commenceront à valider les réponses à partir de la zone.

Pour vous assurer que les étapes d'établissement de l'approbation se déroulent correctement, renseignez les informations suivantes :

  1. Trouvez le maximum de NSTTL.

    2 jeux de registres NS sont associés à vos zones :

    • Registre NS de délégation : il s'agit du registre NS de votre zone détenu par la zone parent. Pour le trouver, exécutez les commandes Unix suivantes (si votre zone est exemple.com, la zone parent est com) :

      dig -t NS com

      Choisissez l'un des registres NS, puis exécutez les éléments suivants :

      dig @one of the NS records of your parent zone -t NS example.com

      Par exemple :

      dig @b.gtld-servers.net. -t NS example.com

    • Registre NS dans la zone : il s'agit du registre NS de votre zone. Pour le trouver, exécutez la commande Unix suivante :

      dig @one of the NS records of your zone -t NS example.com

      Par exemple :

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Notez le maximum TTL pour les deux zones.

  2. Attendez le maximum de NSTTL.

    Avant l'insertion de DS, les résolveurs reçoivent une réponse signée, mais ne valident pas la signature. Lorsque le registre DS est inséré, les résolveurs ne le verront pas avant l'expiration du registre NS de la zone. Lorsque les résolveurs extraient à nouveau le registre NS, le registre DS est également renvoyé.

    Si votre client exécute un résolveur sur un hôte dont l'horloge n'est pas synchronisée, assurez-vous que l'horloge n'avance pas ni ne recule de 1 heure de l'heure correcte.

    Une fois cette étape terminée, tous les DNSSEC résolveurs avertis valideront votre zone.

  3. Observez la résolution des noms.

    Vous devez noter qu'il n'existe aucun problème avec les résolveurs qui valident votre zone. Assurez-vous également de prendre en compte le temps nécessaire à vos clients pour vous signaler les problèmes.

    Nous vous recommandons d'effectuer la surveillance pendant 2 semaines au maximum.

  4. (Facultatif) Allongez le DS et le NS. TTLs

    Si vous êtes satisfait de la configuration, vous pouvez enregistrer TTL les SOA modifications que vous avez apportées. Notez que la Route 53 limite la durée TTL à une semaine pour les zones signalisées. Pour de plus amples informations, veuillez consulter Configuration de DNSSEC la signature dans Amazon Route 53.

    Si vous pouvez modifier le DSTTL, nous vous recommandons de le régler sur 1 heure.