DNSSECPermitindo a assinatura e estabelecendo uma cadeia de confiança - Amazon Route 53
Etapa 1: Prepare-se para ativar a DNSSEC assinaturaEtapa 2: ativar a DNSSEC assinatura e criar um KSKEtapa 3: Estabelecer uma cadeia de confiança

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

DNSSECPermitindo a assinatura e estabelecendo uma cadeia de confiança

As etapas incrementais são aplicáveis ao proprietário da zona hospedada e ao responsável por manter a zona pai. Eles podem ser a mesma pessoa, mas, se não forem, o proprietário da zona deve notificar e trabalhar com o responsável por mantê-la.

Recomendamos as etapas deste artigo para que sua zona seja assinada e incluída na cadeia de confiança. As etapas a seguir minimizarão o risco de integração no. DNSSEC

nota

Certifique-se de ler os prerrequisitos antes de começar a usar Configurando a DNSSEC assinatura no Amazon Route 53.

Há três etapas a serem seguidas para habilitar a DNSSEC assinatura, conforme descrito nas seções a seguir.

Etapa 1: Prepare-se para ativar a DNSSEC assinatura

As etapas de preparação ajudam você a minimizar o risco de integração, DNSSEC monitorando a disponibilidade da zona e reduzindo os tempos de espera entre a ativação da assinatura e a inserção do registro do Signatário Delegado (DS).

Para se preparar para habilitar a DNSSEC assinatura

  1. Faça o monitoramento da disponibilidade da zona

    É possível fazer o monitoramento da zona para verificar a disponibilidade dos seus nomes de domínio. Isso pode ajudá-lo a resolver quaisquer problemas que possam justificar a reversão após a ativação da DNSSEC assinatura. É possível fazer o monitoramento dos seus nomes de domínio com a maior parte do tráfego utilizando o registro de consultas em log. Para obter mais informações sobre como configurar o registro de consultas em log, consulte Como monitorar o Amazon Route 53.

    O monitoramento pode ser feito com o uso de um shell script ou de um serviço de terceiros. Porém, ele não deve ser o único sinal para determinar a necessidade de uma reversão. Você também pode obter feedback dos seus clientes devido à indisponibilidade de um domínio.

  2. Diminua o máximo da zonaTTL.

    O máximo da zona TTL é o TTL registro mais longo da zona. No exemplo de zona a seguir, o máximo da zona TTL é 1 dia (86400 segundos).

    Nome TTL Classe do registro Tipo de registro Dados do registro

    example.com.

    900

    IN

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    example.com.

    900

    IN

    ns

    ns1.example.com.

    route53.example.com.

    86400

    IN

    TXT

    some txt record

    Reduzir o máximo da zona TTL ajudará a reduzir o tempo de espera entre a ativação da assinatura e a inserção do registro do Signatário Delegado (DS). Recomendamos reduzir o máximo da zona TTL para 1 hora (3600 segundos). Isso permitirá uma reversão depois de apenas uma hora se algum resolvedor apresentar problemas com o armazenamento em cache de registros assinados.

    Reversão: desfaça as alterações. TTL

  3. Diminua o campo SOA TTL e SOA mínimo.

    O campo SOA mínimo é o último campo nos dados do SOA registro. No SOA registro de exemplo a seguir, o campo mínimo tem o valor de 5 minutos (300 segundos).

    Nome TTL Classe do registro Tipo de registro Dados do registro

    example.com.

    900

    IN

    SOA

    ns1.example.com. hostmaster.example.com. 2002022401 10800 15 604800 300

    O campo SOA TTL e SOA mínimo determina por quanto tempo os resolvedores se lembram das respostas negativas. Depois de habilitar a assinatura, os servidores de nomes do Route 53 começam a retornar NSEC registros de respostas negativas. O NSEC contém informações que os resolvedores podem usar para sintetizar uma resposta negativa. Se você precisar reverter porque as NSEC informações fizeram com que um resolvedor assumisse uma resposta negativa para um nome, basta aguardar o máximo do campo SOA TTL e o SOA mínimo para que o resolvedor interrompa a suposição.

    Reversão: desfaça as alterações. SOA

  4. Certifique-se de que TTL as alterações SOA mínimas no campo sejam efetivas.

    Use GetChangepara garantir que suas alterações até agora tenham sido propagadas para todos os DNS servidores do Route 53.

Etapa 2: ativar a DNSSEC assinatura e criar um KSK

Você pode habilitar a DNSSEC assinatura e criar uma chave de assinatura de chave (KSK) usando AWS CLI ou no console do Route 53.

Quando você fornece ou cria uma KMS chave gerenciada pelo cliente, há vários requisitos. Para obter mais informações, consulte Trabalhando com chaves gerenciadas pelo cliente para DNSSEC.

CLI

É possível usar uma chave existente ou criar uma nova, executando um comando da AWS CLI como o seguinte e usando seus próprios valores para hostedzone_id, cmk_arn, ksk_name e unique_string (para tornar a solicitação exclusiva):

aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string

Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte Trabalhando com chaves gerenciadas pelo cliente para DNSSEC. Consulte também CreateKeySigningKey.

Para habilitar a DNSSEC assinatura, execute um AWS CLI comando como o seguinte, usando seu próprio valor parahostedzone_id:

aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id

Para obter mais informações, consulte enable-hosted-zone-dnssecEnableHostedZoneDNSSECe.

Console
Para habilitar DNSSEC a assinatura e criar um KSK

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Zonas hospedadas e escolha uma zona hospedada para a qual você deseja habilitar a DNSSEC assinatura.

  3. Na guia DNSSECAssinatura, escolha Ativar DNSSEC assinatura.

    nota

    Se a opção nesta seção for Desativar DNSSEC assinatura, você já concluiu a primeira etapa para habilitar a DNSSEC assinatura. Certifique-se de estabelecer, ou de que já exista, uma cadeia de confiança para DNSSEC a zona hospedada e pronto. Para obter mais informações, consulte Etapa 3: Estabelecer uma cadeia de confiança.

  4. Na seção Criação da chave de assinatura (KSK), escolha Criar novo eKSK, em Fornecer KSK nome, insira um nome para o KSK que o Route 53 criará para você. O nome só pode conter números, letras e sublinhados (_). Essa opção deve ser exclusiva.

  5. Em Gerenciado pelo cliente CMK, escolha a chave gerenciada pelo cliente para o Route 53 usar ao criar o KSK para você. Você pode usar uma chave gerenciada pelo cliente existente que se aplica à DNSSEC assinatura ou criar uma nova chave gerenciada pelo cliente.

    Quando você fornece ou cria uma chave gerenciada pelo cliente, há vários requisitos. Para obter mais informações, consulte Trabalhando com chaves gerenciadas pelo cliente para DNSSEC.

  6. Insira o alias para uma chave gerenciada pelo cliente existente. Se quiser usar uma nova chave gerenciada pelo cliente, insira um alias para a chave gerenciada pelo cliente, e o Route 53 criará uma para você.

    nota

    Se você optar por fazer com que o Route 53 crie uma chave gerenciada pelo cliente, esteja ciente de que cobranças separadas se aplicam a cada chave gerenciada pelo cliente. Para mais informações, consulte Preço do serviço gerenciado pela chave da AWS.

  7. Escolha Ativar DNSSEC assinatura.

Depois de ativar a assinatura de zona, conclua as etapas a seguir (independentemente de você ter usado o console ou oCLI):

  1. Verifique se a assinatura da zona está efetiva.

    Se você usou AWS CLI, você pode usar o ID de operação da saída da EnableHostedZoneDNSSEC() chamada para executar get-change ou GetChangepara garantir que todos os DNS servidores do Route 53 estejam assinando respostas (status =INSYNC).

  2. Espere pelo menos o máximo da zona anteriorTTL.

    Aguarde até que os resolvedores liberem todos os registros não assinados de seus caches. Para conseguir isso, você deve esperar pelo menos o máximo da zona anteriorTTL. No zona example.com acima, o tempo de espera é de 1 dia.

  3. Monitore relatórios de problemas de clientes.

    Depois de habilitar a assinatura da zona, seus clientes podem começar a perceber problemas relacionados a dispositivos de rede e a resolvedores. O período de monitoramento recomendado é de duas semanas.

    Os seguintes são exemplos de problemas com os quais você pode se deparar:

    • Alguns dispositivos de rede podem limitar o tamanho da DNS resposta a menos de 512 bytes, o que é muito pequeno para algumas respostas assinadas. Esses dispositivos de rede devem ser reconfigurados para permitir tamanhos de DNS resposta maiores.

    • Alguns dispositivos de rede fazem uma inspeção profunda DNS das respostas e removem certos registros que não entendem, como os usadosDNSSEC. Esses dispositivos precisam ser reconfigurados.

    • Alguns resolvedores de clientes afirmam que podem aceitar uma UDP resposta maior do que a suportada pela rede. Você pode testar a capacidade da sua rede e configurar resolvedores de acordo. Para obter mais informações, consulte Servidor de teste de tamanho de DNS resposta.

Reversão: ligue e, em DisableHostedZoneDNSSECseguida, reverta as etapas. Etapa 1: Prepare-se para ativar a DNSSEC assinatura

Etapa 3: Estabelecer uma cadeia de confiança

Depois de habilitar a DNSSEC assinatura para uma zona hospedada no Route 53, estabeleça uma cadeia de confiança para a zona hospedada para concluir sua configuração de DNSSEC assinatura. Para fazer isso, crie um registro de Signatário da Delegação (DS) na zona hospedada pai, para sua zona hospedada, usando as informações fornecidas pelo Route 53. Dependendo de onde seu domínio está registrado, você adiciona o registro à zona hospedada pai no Route 53 ou em outro registrador de domínio.

Estabelecer uma cadeia de confiança para DNSSEC assinatura

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. No painel de navegação, escolha Zonas hospedadas e escolha uma zona hospedada para a qual você deseja estabelecer uma DNSSEC cadeia de confiança. Você deve ativar a DNSSEC assinatura primeiro.

  3. Na guia DNSSECAssinatura, em DNSSECAssinatura, escolha Exibir informações para criar um registro DS.

    nota

    Se você não vir Exibir informações para criar um registro DS nesta seção, deverá habilitar a DNSSEC assinatura antes de estabelecer a cadeia de confiança. Escolha Habilitar DNSSEC assinatura e conclua as etapas conforme descrito em eEtapa 2: ativar a DNSSEC assinatura e criar um KSK, em seguida, retorne a essas etapas para estabelecer a cadeia de confiança.

  4. Em Establish a chain of trust (Estabelecer uma cadeia de confiança), escolha Route 53 registrar (Registrador do Route 53) ou Another domain registrar (Outro registrador de domínio), dependendo de onde seu domínio está registrado.

  5. Use os valores fornecidos da etapa 3 para criar um registro de DS para a zona hospedada pai no Route 53. Se o domínio não estiver hospedado no Route 53, utilize os valores fornecidos para criar um registro de DS no site do registrador de domínios.

    • Se a zona principal for um domínio gerenciado pelo Route 53, siga estas etapas:

      Certifique-se de configurar o algoritmo de assinatura correto (ECDSAP256SHA256e digite 13) e o algoritmo de resumo (SHA-256 e tipo 2).

      Se o Route 53 for o registrador, siga este procedimento no console do Route 53:

      1. Observe os valores de Key type (Tipo de chave), Signing algorithm (Algoritmo de assinatura) e Public key (Chave pública). No painel de navegação, escolha Registered domains (Domínios registrados).

      2. Selecione um domínio e, ao lado de DNSSECstatus, escolha Gerenciar chaves.

      3. Na caixa de diálogo Gerenciar DNSSEC chaves, escolha o tipo de chave e o algoritmo apropriados para o registrador do Route 53 nos menus suspensos.

      4. Copiar a Public key (Chave pública) para o registrador do Route 53. Na caixa de diálogo Gerenciar DNSSEC chaves, cole o valor na caixa Chave pública.

      5. Escolha Add (Adicionar).

        O Route 53 adicionará o registro DS à zona pai da chave pública. Por exemplo, se o seu domínio forexample.com, o registro DS será adicionado à DNS zona .com.

    • Se a zona principal estiver hospedada no Route 53 ou se o domínio for gerenciado em outro registro, entre em contato com a zona principal ou com o proprietário do registro do domínio para seguir estas instruções:

      Para garantir que as etapas a seguir ocorram sem problemas, introduza um DS TTL baixo na zona principal. Recomendamos definir o DS TTL para 5 minutos (300 segundos) para uma recuperação mais rápida se você precisar reverter suas alterações.

      • Caso sua zona pai seja administrada por outro registro, entre em contato com o registrador para introduzir o registro de DS da sua zona. Normalmente, você não conseguirá ajustar TTL o registro DS.

      • Se a zona pai estiver hospedada no Route 53, entre em contato com o proprietário da zona pai para introduzir o registro de DS da sua zona.

        Forneça o $ds_record_value ao proprietário da zona pai. Você pode obtê-lo clicando em Exibir informações para criar um registro DS no console e copiar o campo de registro DS, ou chamando Get DNSSEC API e recuperando o valor do campo 'DSRecord':

        aws --region us-east-1 route53 get-dnssec 
            --hosted-zone-id $hostedzone_id

        O proprietário da zona principal pode inserir o registro por meio do console do Route 53 ouCLI.

        • Para inserir o registro DS usando AWS CLI, o proprietário da zona principal cria e nomeia um JSON arquivo semelhante ao exemplo a seguir. O proprietário da zona pai pode atribuir ao arquivo um nome semelhante a inserting_ds.json. 

          {
    "HostedZoneId": "$parent_zone_id",
    "ChangeBatch": {
        "Comment": "Inserting DS for zone $zone_name",
        "Changes": [
            {
                "Action": "UPSERT",
                "ResourceRecordSet": {
                    "Name": "$zone_name",
                    "Type": "DS",
                    "TTL": 300,
                    "ResourceRecords": [
                        {
                            "Value": "$ds_record_value"
                        }
                    ]
                }
            }
        ]
    }
}

          Em seguida, execute o seguinte comando:

          aws --region us-east-1 route53 change-resource-record-sets 
            --cli-input-json file://inserting_ds.json

        • Para inserir o registro de DS usando o console:

          Abra o console do Route 53 em https://console.aws.amazon.com/route53/.

          No painel de navegação, escolha Hosted zones (Zonas hospedadas), o nome da zona hospedada e depois Create record (Criar registro). Escolha o roteamento simples para Routing policy (Política de roteamento).

          No campo Record name (Nome de registro), insira o mesmo nome que $zone_name, selecione DS para Record type (Tipo de registro) e insira o valor de $ds_record_value no campo Value (Valor) e escolha Create records (Criar registros).

    Reversão: remova o DS da zona principal, aguarde o DS eTTL, em seguida, reverta as etapas para estabelecer confiança. Se a zona principal estiver hospedada no Route 53, o proprietário da zona principal poderá alterar o Action de UPSERT para DELETE no JSON arquivo e executar novamente o exemplo CLI acima.

  6. Aguarde a propagação das atualizações, com base nos registros do TTL seu domínio.

    Se a zona principal estiver no DNS serviço Route 53, o proprietário da zona principal poderá confirmar a propagação completa por meio do GetChangeAPI.

    Caso contrário, você poderá sondar periodicamente a zona pai no que diz respeito ao registro DS e aguardar mais 10 minutos depois para aumentar a probabilidade de a inserção do registro de DS ser completamente propagada. Alguns registradores agendam a inserção do DS, por exemplo, uma vez ao dia.

Quando você introduz o registro de signer de delegação (DS) na zona pai, os resolvedores validados que escolheram o DS começam a validar as respostas da zona.

Para garantir que as etapas para estabelecer a confiança sigam sem problemas, faça o seguinte:

  1. Encontre o NS máximoTTL.

    Existem dois conjuntos de registros de NS associados às suas zonas:

    • O registro de NS de delegação, ou seja, o registro de NS da sua zona mantida pela zona pai. Você pode encontrá-lo executando os seguintes comandos Unix (se sua zona for example.com, a zona pai será com):

      dig -t NS com

      Escolha um dos registros de NS e execute o seguinte:

      dig @one of the NS records of your parent zone -t NS example.com

      Por exemplo:

      dig @b.gtld-servers.net. -t NS example.com

    • O registro de NS na zona, ou seja, o registro de NS na sua zona. Você pode localizá-lo executando o seguinte comando Unix:

      dig @one of the NS records of your zone -t NS example.com

      Por exemplo:

      dig @ns-0000.awsdns-00.co.uk. -t NS example.com

      Observe o máximo TTL para ambas as zonas.

  2. Aguarde o NS máximoTTL.

    Antes da inserção do DS, os resolvedores recebem uma resposta assinada, mas não validam a assinatura. Quando o registro de DS for inserido, os resolvedores apenas o verão quando o registro de NS da zona expirar. Quando os resolvedores voltarem a buscar o registro de NS, o registro de DS também será retornado.

    Se o seu cliente estiver executando um resolvedor em um host com um relógio fora de sincronia, verifique se esse relógio está dentro de 1 hora após a hora correta.

    Depois de concluir essa etapa, todos os DNSSEC resolvedores compatíveis validarão sua zona.

  3. Observe a resolução de nomes.

    Você deve observar que não existem problemas com resolvedores validando sua zona. Não deixe de considerar o tempo necessário para os seus clientes informarem problemas para você.

    Convém fazer um monitoramento por até 2 semanas.

  4. (Opcional) Aumente o DS e o NSTTLs.

    Se estiver satisfeito com a configuração, você pode salvar TTL as SOA alterações feitas. Observe que o Route 53 limita TTL a 1 semana para zonas assinadas. Para obter mais informações, consulte Configurando a DNSSEC assinatura no Amazon Route 53.

    Se você puder alterar o DSTTL, recomendamos que você o defina para 1 hora.