Memecahkan masalah penandatanganan DNSSEC

Informasi di bagian ini dapat membantu Anda mengatasi masalah dengan penandatanganan DNSSEC, termasuk mengaktifkan, menonaktifkan, dan dengan kunci penandatanganan kunci (KSK) Anda.

Mengaktifkan DNSSEC

Pastikan Anda telah membaca prasyarat Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53 sebelum Anda mulai mengaktifkan penandatanganan DNSSEC.

Menonaktifkan DNSSEC

Untuk menonaktifkan DNSSEC dengan aman, Route 53 akan memeriksa apakah zona target berada dalam rantai kepercayaan. Ini memeriksa apakah induk dari zona target memiliki catatan NS dari zona target dan catatan DS dari zona target. Jika zona target tidak dapat diselesaikan secara publik, misalnya, mendapatkan respons SERVFAIL saat menanyakan NS dan DS, Route 53 tidak dapat menentukan apakah aman untuk menonaktifkan DNSSEC. Anda dapat menghubungi zona induk Anda untuk memperbaiki masalah tersebut, dan coba lagi menonaktifkan DNSSEC nanti.

Status KSK adalah Diperlukan tindakan

KSK dapat mengubah statusnya menjadi Tindakan yang diperlukan (atau ACTION_NEEDED dalam KeySigningKeystatus), ketika Route 53 DNSSEC kehilangan akses ke yang sesuai AWS KMS key (karena perubahan izin atau penghapusan). AWS KMS key

Jika status KSK diperlukan Tindakan, itu berarti bahwa pada akhirnya akan menyebabkan pemadaman zona untuk klien yang menggunakan DNSSEC memvalidasi resolver dan Anda harus bertindak cepat untuk mencegah zona produksi menjadi tidak dapat diselesaikan.

Untuk memperbaiki masalah, pastikan bahwa kunci terkelola pelanggan yang menjadi dasar KSK Anda diaktifkan dan memiliki izin yang benar. Untuk informasi lebih lanjut tentang izin yang diperlukan, lihat Route 53 izin kunci terkelola pelanggan yang diperlukan untuk penandatanganan DNSSEC.

Setelah Anda memperbaiki KSK, aktifkan lagi dengan menggunakan konsol atau AWS CLI, seperti yang dijelaskan dalamLangkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK.

Untuk mencegah masalah ini di masa mendatang, pertimbangkan untuk menambahkan Amazon CloudWatch metrik untuk melacak keadaan KSK seperti yang disarankan diMengonfigurasi penandatanganan DNSSEC di Amazon Route 53.

Status KSK adalah Kegagalan internal

Ketika KSK memiliki status kegagalan internal (atau INTERNAL_FAILURE dalam KeySigningKeystatus), Anda tidak dapat bekerja dengan entitas DNSSEC lainnya sampai masalah teratasi. Anda harus mengambil tindakan sebelum dapat bekerja dengan penandatanganan DNSSEC, termasuk bekerja dengan KSK ini atau KSK lainnya.

Untuk memperbaiki masalah, coba aktifkan lagi atau nonaktifkan KSK.

Untuk memperbaiki masalah saat bekerja dengan API, coba aktifkan penandatanganan (EnableHostedZoneDNSSEC) atau nonaktifkan penandatanganan (DNSSEC). DisableHostedZone

Anda harus segera memperbaiki masalah Kegagalan internal. Anda tidak dapat membuat perubahan lain ke zona yang di-hosting hingga masalah diperbaiki, kecuali operasi untuk memperbaiki Kegagalan internal.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bukti DNSSEC tentang ketidakberadaan di Route 53

Menggunakan AWS Cloud Map untuk membuat catatan dan pemeriksaan kesehatan