Route53 DNSSEC 設定

DNSSECは、DNS Security Extensionsの略称で、IETFによって策定されました。
DNSSECは、DNSレコードに電子署名を付加することで、応答レコードが正当な管理者によって生成され、改ざんされていないことを保証するものです。 DNSキャッシュポイズニングに代表されるDNSスプーフィングへの対策として有効です。

AWS Route 53は、DNSSECをサポートしています。DNSSECの設定方法を順を追って説明します。

DNSSEC署名前

DNSSEC Analyzerで、DNSSEC署名の状態を確認します。電子署名がない場合は、赤いマークが表示されます。

DNSSEC設定

1. Route 53 Consoleを開きます。

2. 左ペインのホストゾーンを選択します。

3. 対象のドメイン名を選択します。
   
   

4. DNSSEC 署名タブを選択します。
   
   
   

5. 画面右側のDNSSEC 署名を有効化するを選択します。
   
   
   

6. KSKを作成します。

   • KSK 名を入力します。
   • カスタマー管理の CMK の作成を選択します。
   • CMK 名を入力します。
   • KSK を作成して署名を有効化するを選択します。
     
     

7. しばらくすると、画面上部にDNSSEC 署名が正常に有効化されましたというメッセージが表示されます。
   
   

8. 画面右側のDS レコードを作成するための情報を表示を選択します。
   
   
   

9. 信頼チェーンを確立画面が表示されます。以下の項目をメモします。

   • フラグ
   • 署名アルゴリズム
   • パブリックキー
     
     

10. 左ペインの登録済みドメインを選択します。

11. 対象のドメイン名を選択します。
    
    
    

12. 画面右側のキーの管理を選択します。
    
    
    

13. キーのタイプ アルゴリズム パブリックキーを入力して追加を選択します。
    
    
    

14. リクエストに成功した旨のメッセージが表示され、メールも送信されます。

15. しばらくすると、DNSSEC のステータスから無効が消えます。
    

DNSSEC署名後

DNSSEC Analyzerで、再度DNSSEC署名の状態を確認します。verisignlabs.com/).DNSSEC設定後、すべてのシンボルが緑色になりました。