Abilitazione della firma DNSSEC e creazione di una catena di attendibilità - Amazon Route 53
Fase 1: preparazione per l'abilitazione della firma DNSSECFase 2: abilitazione della firma DNSSEC e creazione di una KSKFase 3: come stabilire una catena di attendibilità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilitazione della firma DNSSEC e creazione di una catena di attendibilità

I passaggi incrementali si applicano al proprietario della zona ospitata e al manutentore della zona padre. Questa può essere la stessa persona, ma qualora non fosse cos', il proprietario della zona dovrebbe notificare e lavorare con il manutentore della zona padre.

Ti suggeriamo di seguire i passaggi di questo articolo per far firmare e includere la tua zona nella catena di fiducia. I seguenti passaggi ridurranno al minimo il rischio di onboarding su DNSSEC.

Nota

Assicurati di leggere i prerequisiti prima di iniziare in Configurazione della firma DNSSEC in Amazon Route 53.

Per abilitare la firma DNSSEC, è necessario seguire tre fasi, come descritto nelle sezioni seguenti.

Fase 1: preparazione per l'abilitazione della firma DNSSEC

Le fasi di preparazione consentono di ridurre al minimo il rischio di onboarding su DNSSEC monitorando la disponibilità della zona e riducendo i tempi di attesa tra l'abilitazione della firma e l'inserimento del registro Delegation Signer (DS).

Per preparare l'abilitazione della firma DNSSEC

  1. Monitora la disponibilità della zona.

    È possibile monitorare la zona per verificare la disponibilità dei nomi di dominio. Questo può aiutarti a risolvere eventuali problemi che potrebbero giustificare un ripristino dello stato precedente dopo aver abilitato la firma DNSSEC. È possibile monitorare i nomi di dominio con la maggior parte del traffico utilizzando la registrazione delle query. Per ulteriori informazioni su come impostare la registrazione delle query, consulta Monitoraggio di Amazon Route 53.

    Il monitoraggio può essere effettuato tramite uno script di shell o un servizio di terze parti. Tuttavia, non dovrebbe essere l'unico segnale per determinare se sia necessario un ripristino dello stato precedente. Inoltre, potresti ricevere feedback dai tuoi clienti a causa della mancata disponibilità di un dominio.

  2. Abbassa il TTL massimo della zona.

    Il TTL massimo della zona è il registro TTL più lungo della zona. Nella seguente zona di esempio, il TTL massimo della zona è 1 giorno (86.400 secondi).

    Nome TTL Classe registro Tipo di record Dati registro

    esempio.com.

    900

    IN

    SOA

    ns1.esempio.com. hostmaster.esempio.com. 2002022401 10800 15 604800 300

    esempio.com.

    900

    IN

    NS

    ns1.esempio.com.

    route53.esempio.com.

    86400

    IN

    TXT

    some txt record

    L'abbassamento del TTL massimo della zona contribuirà a ridurre il tempo di attesa tra l'abilitazione della firma e l'inserimento del registro Delegation Signer (DS). Ti suggeriamo di abbassare il TTL massimo della zona a 1 ora (3.600 secondi). Ciò permette di eseguire il ripristino allo stato precedente dopo appena un'ora, se un resolver ha problemi con la memorizzazione nella cache dei registri firmati.

    Ripristino dello stato precedente: annulla le modifiche TTL.

  3. Abbassa il campo minimo SOA TTL e SOA.

    Il campo minimo SOA è l'ultimo campo nei dati del registro SOA. Nel seguente registro SOA di esempio, il campo minimo ha il valore di 5 minuti (300 secondi).

    Nome TTL Classe registro Tipo di record Dati registro

    esempio.com.

    900

    IN

    SOA

    ns1.esempio.com. hostmaster.esempio.com. 2002022401 10800 15 604800 300

    Il campo minimo SOA TTL e SOA determina per quanto tempo i resolver ricordano le risposte negative. Dopo aver abilitato la firma, i server dei nomi Route 53 iniziano a restituire i registri NSEC per le risposte negative. L'NSEC contiene informazioni che i resolver potrebbero utilizzare per sintetizzare una risposta negativa. Se è necessario eseguire il ripristino dello stato precedente a causa di informazioni NSEC che hanno causato l'assunzione di una risposta negativa per un nome da parte di un resolver, è sufficiente attendere il massimo del campo SOA TTL e il campo minimo SOA affinché il resolver interrompa l'assunzione.

    Ripristino dello stato precedente: annulla le modifiche SOA.

  4. Assicurati che le modifiche ai campi minimi TTL e SOA siano efficaci.

    Utilizzalo GetChangeper assicurarti che le modifiche apportate finora siano state propagate a tutti i server DNS di Route 53.

Fase 2: abilitazione della firma DNSSEC e creazione di una KSK

È possibile abilitare la firma DNSSEC e creare una chiave di firma delle chiavi (KSK) utilizzando AWS CLI o sulla console Route 53.

Quando fornisci o crei una chiave KMS gestita dal cliente, esistono diversi requisiti da rispettare. Per ulteriori informazioni, consulta Utilizzo delle chiavi gestite dal cliente per DNSSEC.

CLI

Puoi usare una chiave già esistente, oppure crearne una eseguendo un comando AWS CLI come il seguente usando i propri valori per hostedzone_id, cmk_arn, ksk_name, e unique_string (per rendere unica la richiesta):

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Per ulteriori informazioni sulle chiavi gestite dal cliente, consulta Utilizzo delle chiavi gestite dal cliente per DNSSEC. Consulta anche CreateKeySigningKey.

Per abilitare la firma DNSSEC, esegui un AWS CLI comando come il seguente, utilizzando il tuo valore per: hostedzone_id

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Per ulteriori informazioni, vedere enable-hosted-zone-dnssece EnableHostedZone DNSSEC.

Console
Come abilitare la firma DNSSEC e creare una KSK

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata per la quale desideri abilitare la firma DNSSEC.

  3. Nella scheda Firma DNSSEC, scegli Abilita firma DNSSEC.

    Nota

    Se l'opzione in questa sezione è Disabilita firma DNSSEC, allora la fase iniziale dell'abilitazione della firma DNSSEC è già stata completata. Assicurati di stabilire, o che esista già, una catena di attendibilità per la zona ospitata per DNSSEC. Per ulteriori informazioni, consulta Fase 3: come stabilire una catena di attendibilità.

  4. Nella sezione Key-signing key (KSK) creation (Creazione di chiave di firma chiave (KSK)), scegli Create new KSK (Crea una nuova KSK), e sotto Provide KSK name Fornisci il nome KSK), inserisci un nome per il KSK che Route 53 creerà per te. I nomi possono contenere solo lettere, numeri e caratteri di sottolineatura (_). Deve essere univoco.

  5. In CMK gestita dal cliente, scegli la chiave gestita dal cliente per Route 53 da utilizzare quando crea la KSK. È possibile utilizzare una chiave gestita dal cliente esistente che si applica alla firma DNSSEC oppure creare una nuova chiave gestita dal cliente.

    Quando fornisci o crei una chiave gestita dal cliente, esistono diversi requisiti da rispettare. Per ulteriori informazioni, consulta Utilizzo delle chiavi gestite dal cliente per DNSSEC.

  6. Specifica l'alias per una chiave gestita dal cliente esistente. Se desideri utilizzare una nuova chiave gestita dal cliente, inserisci un alias per la chiave gestita dal cliente e Route 53 ne creerà una automaticamente.

    Nota

    Se scegli di fare in modo che Route 53 crei una chiave gestita dal cliente, tieni presente che si applicano addebiti separati per ogni chiave gestita dal cliente. Per ulteriori informazioni, consulta Prezzi di AWS Key Management Service.

  7. Scegli Abilita firma DNSSEC.

Dopo aver abilitato la firma della zona, completa i seguenti passagi: (che tu utilizzi la console o la CLI):

  1. Assicurati che la firma della zona sia efficace.

    Se lo hai utilizzato AWS CLI, puoi utilizzare l'ID dell'operazione dall'output della EnableHostedZoneDNSSEC() chiamata per eseguire get-change o GetChangeper assicurarti che tutti i server DNS di Route 53 firmino le risposte (status =). INSYNC

  2. Attendi almeno il TTL massimo della zona precedente.

    Attendi che i resolver svuotino tutti i registri non firmati dalla cache. Per raggiungere questo obiettivo è necessario attendere almeno il TTL massimo della zona precedente. Nella zona example.com sopra, il tempo di attesa sarebbe di 1 giorno.

  3. Monitoraggio della presenza di segnalazioni di problemi dei clienti.

    Dopo aver abilitato la firma della zona, i clienti potrebbero iniziare a vedere dei problemi relativi ai dispositivi di rete e ai resolver. Il periodo di monitoraggio suggerito è di 2 settimane.

    Di seguito sono riportati esempi dei problemi che potresti incontrare:

    • Alcuni dispositivi di rete potrebbero limitare le dimensioni della risposta DNS a meno di 512 byte, il che è troppo poco per alcune risposte firmate. Questi dispositivi di rete devono essere riconfigurati per permettere dimensioni di risposta DNS più grandi.

    • Alcuni dispositivi di rete eseguono un'ispezione approfondita sulle risposte DNS e ne eliminano alcuni registri che non capisce, come quelli usati per DNSSEC. Questi dispositivi devono essere riconfigurati.

    • Alcuni resolver di clienti attestano di poter accettare una risposta UDP più ampia, rispetto a quella supportata dalla rete. È possibile testare le funzionalità di rete e configurare i resolver in modo appropriato. Per ulteriori informazioni, consulta Server di test delle dimensioni delle risposte DNS.

Rollback: chiama DisableHostedZoneDNSSEC, quindi ripristina i passaggi. Fase 1: preparazione per l'abilitazione della firma DNSSEC

Fase 3: come stabilire una catena di attendibilità

Dopo aver abilitato la firma DNSSEC per una zona ospitata in Route 53, stabilisci una catena di attendibilità per la zona ospitata per completare la configurazione della firma DNSSEC. A tale scopo è possibile creare un record Delegation Signer (DS) nella zona ospitata padre, per la zona ospitata, utilizzando le informazioni fornite da Route 53. A seconda della posizione in cui il dominio è registrato, aggiungi il record alla zona ospitata padre in Route 53 o in un altro registrar di dominio.

Come stabilire una catena di attendibilità per la firma DNSSEC

  1. Accedi AWS Management Console e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Nel pannello di navigazione scegli Zone ospitate e seleziona una zona ospitata per la quale stabilire una catena di attendibilità di DNSSEC. È necessario abilitare prima la firma DNSSEC.

  3. Nella scheda Firma DNSSEC, in Firma DNSSEC, scegli Visualizza informazioni per creare record DS.

    Nota

    Se l'opzione Visualizza le informazioni per creare un record DS non viene visualizzata in questa sezione, prima di stabilire la catena di attendibilità è necessario abilitare la firma DNSSEC. Scegli Enable DNSSEC signing (Abilita firma DNSSEC) e completa le fasi come descritte in Fase 2: abilitazione della firma DNSSEC e creazione di una KSK, quindi torna a queste fasi per stabilire la catena di attendibilità.

  4. In Stabilisci una catena di attendibilità, scegli Registrar Route 53 o Un altro registrar di dominio, a seconda di dove è registrato il tuo dominio.

  5. Usa i valori forniti dalla fase 3 per creare un registro DS per la zona ospitata padre in Route 53. Se il tuo dominio non è ospitato su Route 53, utilizza i valori forniti per creare un registro DS sul sito Web del registrar di domini.

    • Se la zona principale è un dominio gestito tramite Route 53, procedi nel seguente modo:

      Assicurati di configurare l'algoritmo di firma corretto (ECDSAP256SHA256 e tipo 13) e l'algoritmo digest (SHA-256 e tipo 2).

      Se Route 53 è il tuo registrar, procedi come segue nella console Route 53:

      1. Prendi nota dei valori di Tipo di chiave,Algoritmo di firma e Chiave pubblica. Nel riquadro di navigazione seleziona Registered domains (Domini registrati).

      2. Seleziona un dominio, quindi, accanto a Stato DNSSEC, scegli Gestisci chiavi.

      3. Nella finestra di dialogo Manage DNSSEC keys (Gestisci le chiavi DNSSEC), scegli l'opzione appropriata di Key type (Tipo di chiave) e Algorithm (Algoritmo) per Route 53 registrar (Registrar Route 53) dai menu a discesa.

      4. Copia la chiave pubblica per il registrar Route 53. Nella finestra di dialogo Manage DNSSEC keys (Gestisci chiavi DNSSEC), incolla il valore nella casella Public key (Chiave pubblica).

      5. Scegli Aggiungi.

        Route 53 aggiungerà il record DS alla zona padre dalla chiave pubblica. Ad esempio, se il dominio è example.com, il record DS viene aggiunto alla zona DNS .com.

    • Se la zona principale è ospitata su Route 53 o il dominio è gestito su un altro registro, contatta la zona principale o il proprietario della registrazione del dominio per seguire queste istruzioni:

      Per assicurarti che i passaggi seguenti procedano senza intoppi, introduci un DS TTL basso nella zona padre. Qualora sia necessario ripristinare lo stato precedente delle modifiche, per un ripristino più rapido, noi suggeriamo di impostare DS TTL su 5 minuti (300 secondi).

      • Se la tua zona padre è amministrata da un altro registro, contatta il registrar per introdurre il registro DS per la tua zona. In genere non è possibile regolare il TTL del registro DS.

      • Se la tua zona padre è ospitata su Route 53, contatta il proprietario della zona padre per introdurre il registro DS per la tua zona.

        Fornisci il $ds_record_value al proprietario della zona padre. Puoi ottenerlo cliccando su View Information to create DS record (Visualizza informazioni per creare un registro DS) nella console e copiando il campo Record DS (Registro DS) o chiamando l'API GetDNSSEC e recuperando il valore del campo "DSRecord":

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        Il proprietario della zona padre può inserire il registro cord tramite la console Route 53 o la CLI.

        • Per inserire il record DS utilizzando AWS CLI, il proprietario della zona principale crea e nomina un file JSON simile all'esempio seguente. Il proprietario della zona padre potrebbe nominare il file in modo simile a questo: inserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          Quindi, esegui il comando riportato di seguito:

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Per inserire il registro cord DS utilizzando la console,

          Apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

          Nel pannello di navigazione, scegli Hosted zones (Zone ospitate), il nome della tua zona ospitata e quindi cliccare il pulsante Create record (Crea registro). In Routing policy (Policy di routing), assicurati di scegliere il routing semplice.

          Nel campo Record name (Nome registro), immetti lo stesso nome di $zone_name, seleziona DS dal menu a discesa Record type (Tipo di registro) e inserisci il valore di $ds_record_value nel campo Value (Valore), e scegli Create records (Crea registri).

    Ripristino dello stato precedente: rimuovi il DS dalla zona padre, attendi il DS TTL e quindi esegui il ripristino dello stato precedente dei passaggi per stabilire l'attendibilità. Se la zona padre è ospitata su Route 53, il proprietario della zona padre può modificare l'Action da UPSERT aDELETE nel file JSON ed esegui nuovamente l'interfaccia CLI di esempio sopra.

  6. Attendi la propagazione degli aggiornamenti in base al TTL per i record di dominio.

    Se la zona principale si trova sul servizio DNS Route 53, il proprietario della zona principale può confermare la propagazione completa tramite l'API. GetChange

    In caso contrario, è possibile sondare periodicamente la zona padre per verificare la presenza del registro DS, quindi attendere altri 10 minuti dopo per aumentare la probabilità che l'inserimento del registro DS venga completamente propagato. Si noti che alcuni registrar hanno pianificato l'inserimento di DS, ad esempio una volta al giorno.

Quando si introduce il registro Delegation Signer (DS) nella zona padre, i resolver convalidati che hanno raccolto il DS inizieranno a convalidare le risposte dalla zona.

Per assicurarti che i passaggi per stabilire l'attendibilità procedano senza intoppi, completa quanto segue:

  1. Trova il massimo NS TTL.

    Sono disponibili 2 set di registri NS associati alle zone:

    • Registro NS delegation: questo è il registro NS per la tua zona detenuto dalla zona padre. Puoi trovarlo eseguendo i seguenti comandi Unix (se la tua zona è example.com, la zona padre è com):

      dig -t NS com

      Seleziona uno dei registri NS e quindi esegui quanto segue:

      dig @one of the NS records of your parent zone -t NS example.com

      Ad esempio:

      dig @b.gtld-servers.net. -t NS example.com

    • Il registro NS nella zona: questo è il registro NS nella tua zona. Per aggiungerlo, puoi eseguire il comando Unix seguente:

      dig @one of the NS records of your zone -t NS example.com

      Ad esempio:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Nota il TTL massimo per entrambe le zone.

  2. Attendi il massimo NS TTL.

    Prima dell'inserimento del DS, i resolver ricevono una risposta firmata, ma non convalidano la firma. Quando il registro DS viene inserito, i resolver non lo vedono fino alla scadenza del registri NS per la zona. Quando i resolver recupererà nuovamente il registro NS, verrà restituito anche il registro DS.

    Se il cliente sta eseguendo un resolver su un host con un clock non sincronizzato, assicurati che quest'ultimo sia entro 1 ora dall'ora corretta.

    Dopo aver completato questo passaggio, tutti i resolver compatibili con DNSSEC convalideranno la tua zona.

  3. Osserva la risoluzione dei nomi.

    Dovresti osservare che non ci sono problemi con i resolver che convalidano la tua zona. Assicurati di tenere conto anche del tempo necessario ai tuoi clienti per segnalarti i problemi.

    Noi suggeriamo di monitorare fino a 2 settimane.

  4. (Facoltativo) Allunga i DS e NS TTL.

    Se sei soddisfatto della configurazione, puoi salvare le modifiche apportate a TTL e SOA. Nota che Route 53 limita il TTL a 1 settimana, per le zone firmate. Per ulteriori informazioni, consulta Configurazione della firma DNSSEC in Amazon Route 53.

    Se è possibile modificare il DS TTL, suggeriamo di impostarlo su 1 ora.