DNSSEC 서명 활성화 및 신뢰 체인 설정 - Amazon Route 53

DNSSEC 서명 활성화 및 신뢰 체인 설정

이 섹션에서는 Amazon Route 53 콘솔에서 DNSSEC 서명을 활성화 및 비활성화 방법에 대한 단계별 정보를 제공합니다. DNSSEC 서명 활성화 과정은 서명을 활성화하여 Route 53에서 KSK(키 서명 키)를 만들도록 하고 신뢰 체인을 설정하는 두 단계로 구성됩니다.

프로그래밍 방식으로 DNSSEC 서명을 활성화하려면 AWS CLI를 사용하여 DNSSEC 서명을 활성화합니다. 섹션을 참조하세요.

DNSSEC 서명 활성화 및 KSK 생성

Route 53에서 DNSSEC 서명 사용을 시작하려면 DNSSEC 서명을 활성화한 다음 Route 53에서 사용자가 선택한 고객 관리형 키를 기반으로 KSK(키 서명 키)를 생성해야 합니다.

고객 관리형 KMS 키를 제공하거나 만드는 경우 몇 가지 요구 사항이 있습니다. 자세한 내용은 DNSSEC용 고객 관리형 키 작업 섹션을 참조하세요.

DNSSEC 서명 활성화 및 KSK 생성

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역을 선택한 후 DNSSEC 서명을 활성화할 호스팅 영역을 선택합니다.

  3. DNSSEC 서명 탭에서 DNSSEC 서명 활성화를 선택합니다.

    참고

    이 섹션의 옵션이 DNSSEC 서명 비활성화인 경우 DNSSEC 서명 활성화의 첫 단계를 이미 완료한 것입니다. DNSSEC의 호스팅 영역에 대한 신뢰 체인을 설정하거나 이미 존재하는지 확인하세요. 그러면 완료됩니다. 자세한 내용은 신뢰 체인 설정 섹션을 참조하세요.

  4. KSK에 Route 53에서 생성할 KSK의 이름을 입력합니다. 이름에는 숫자, 문자, 밑줄(_)이 포함될 수 있습니다. 이름은 고유해야 합니다.

  5. 고객 관리형 CMK에서 Route 53에서 KSK를 생성할 때 사용할 고객 관리형 키를 선택합니다. DNSSEC 서명에 적용되는 기존 고객 관리형 키를 사용하거나 새 고객 관리형 키를 생성할 수 있습니다.

    고객 관리형 KMS 키를 제공하거나 만드는 경우 몇 가지 요구 사항이 있습니다. 자세한 내용은 DNSSEC용 고객 관리형 키 작업 섹션을 참조하세요.

  6. 기존 고객 관리형 키의 별칭을 입력합니다. 새 고객 관리형 키를 사용하려면 고객 관리형 키의 별칭을 입력합니다. 그러면 Route 53에서 키를 생성합니다.

    참고

    Route 53에서 고객 관리형 키를 만들도록 선택한 경우 고객 관리형 키마다 별도의 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service 요금을 참조하세요.

  7. DNSSEC 서명 활성화를 선택합니다.

신뢰 체인 설정

Route 53에서 호스팅 영역에 대해 DNSSEC 서명을 활성화한 후 호스팅 영역에 대한 신뢰 체인을 설정하여 DNSSEC 서명 설정을 완료합니다. 이렇게 하려면 Route 53에서 제공하는 정보를 사용하여 호스팅 영역에 대한 상위 호스팅 영역에서 DS(Delegation Signer) 레코드를 생성하면 됩니다. 도메인이 등록된 위치에 따라 Route 53의 상위 호스팅 영역 또는 다른 도메인 등록 기관에 레코드를 추가합니다.

DNSSEC 서명에 대한 신뢰 체인을 설정하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역을 선택한 후 DNSSEC 신뢰 체인을 설정할 호스팅 영역을 선택합니다. 먼저 DNSSEC 서명을 활성화해야 합니다.

  3. DNSSEC 서명DNSSEC 서명 탭에서 DS 레코드를 만들기 위한 정보 보기를 선택합니다.

    참고

    이 섹션에 DS 레코드를 만들기 위한 정보 보기가 표시되지 않는 경우 신뢰 체인을 설정하기 전에 DNSSEC 서명을 활성화해야 합니다. DNSSEC 서명 활성화를 선택하고 단계를 완료한 다음 이 단계로 돌아와 신뢰 체인을 설정합니다.

  4. 신뢰 체인 설정에서 도메인이 등록된 위치에 따라 Route 53 등록 기관 또는 다른 도메인 등록 기관 중 하나를 선택합니다.

  5. 제공된 값을 사용하여 Route 53의 상위 호스팅 영역에 대한 DS 레코드를 생성하거나, 도메인이 Route 53에서 호스팅되지 않는 경우 제공된 값을 사용하여 도메인 등록 기관 웹 사이트에서 DS 레코드를 생성합니다.

    올바른 서명 알고리즘(ECDSAP256SHA256 및 유형 13) 및 다이제스트 알고리즘(SHA-256 및 유형 2)을 구성했는지 확인하세요.

    Route 53가 등록 기관인 경우:

    1. 키 유형, 서명 알고리즘퍼블릭 키 값을 참고합니다. 탐색 창에서 등록된 도메인을 선택합니다.

    2. 도메인을 선택한 다음 DNSSEC 상태 옆의 키 관리를 선택합니다.

    3. DNSSEC 키 관리 대화 상자의 드롭다운 메뉴에서 Route 53 등록 기관의 적절한 키 유형알고리즘을 선택합니다.

    4. Route 53 등록 기관의 퍼블릭 키를 복사합니다. DNSSEC 키 관리 대화 상자에서 값을 퍼블릭 키 상자에 붙여넣습니다.

    5. 추가를 선택합니다.

      Route 53는 공개 키의 상위 영역에 DS 레코드를 추가합니다. 예를 들어 도메인이 example.com인 경우 DS 레코드는 .com DNS 영역에 추가됩니다.

  6. 도메인 레코드의 TTL을 기반으로 업데이트가 전파될 때까지 기다립니다.

참고

새 레코드는 Route 53 DNS 서버로 전파되기까지 시간이 걸립니다. 현재로서는 변경 사항의 전파 여부를 확인하는 유일한 방법은 GetChange 작업을 사용하는 것입니다. 변경 사항은 일반적으로 60초 이내에 모든 Route 53 이름의 서버로 전파됩니다.

기존 KSK로 DNSSEC 서명 활성화

KSK(키 서명 키)가 하나 이상 있는 경우 기존 KSK를 사용하여 호스팅 영역에 대해 DNSSEC 서명을 활성화할 수 있습니다. 이 시나리오에서 DNSSEC 서명을 활성화하려면 다음 단계를 따르세요.

기존 KSK를 사용하여 DNSSEC 서명을 활성화하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/route53/에서 Route 53 콘솔을 엽니다.

  2. 탐색 창에서 호스팅 영역을 선택한 후 DNSSEC 서명을 활성화할 호스팅 영역을 선택합니다.

  3. DNSSEC 서명 탭에서 DNSSEC 서명 활성화를 선택합니다.

    참고

    이 섹션의 옵션이 DNSSEC 서명 비활성화인 경우 DNSSEC 서명 활성화의 첫 단계를 이미 완료한 것입니다. DNSSEC의 호스팅 영역에 대한 신뢰 체인을 설정하거나 이미 존재하는지 확인하세요. 그러면 완료됩니다. 자세한 내용은 신뢰 체인 설정 섹션을 참조하세요.

  4. KSK에서 활성화된 KSK 사용 또는 새 KSK 생성을 선택합니다.

  5. 새 KSK를 생성하도록 선택한 경우 DNSSEC 서명에 적용되는 고객 관리형 키의 별칭을 입력하거나 새 고객 관리형 키의 별칭을 입력합니다.

    참고

    Route 53에서 고객 관리형 키를 만들도록 선택한 경우 고객 관리형 키마다 별도의 요금이 부과됩니다. 자세한 내용은 AWS Key Management Service요금을 참조하세요.

  6. DNSSEC 서명 활성화(Enable DNSSEC signing)를 선택합니다.