Defaults.Exposed › सेटअप › DNSSEC
AWS Route 53 पर DNSSEC कैसे सेट करें
Route 53 में KMS key के साथ DNSSEC signing सक्षम करें और अपने registrar पर DS रिकॉर्ड जोड़ें ताकि कोई भी आपके DNS उत्तरों को जाली न बना सके।
यह आपके व्यवसाय के लिए क्यों महत्वपूर्ण है
DNSSEC आपके DNS उत्तरों को cryptographically sign करता है। यह domain hijacking और cache poisoning को रोकता है। यह feature के रूप में मुफ्त है (signing key एक छोटा AWS KMS key उपयोग करती है, जिसकी एक छोटी मासिक लागत है)।
Route 53 पर DNSSEC कैसे काम करता है
Route 53 काम को इस प्रकार विभाजित करता है:
- Route 53 AWS KMS में संग्रहीत key का उपयोग करके आपके hosted zone को sign करता है। इससे DNSKEY और DS रिकॉर्ड उत्पन्न होता है।
- आपका registrar उस DS रिकॉर्ड को parent zone में प्रकाशित करता है।
वास्तविक जोखिम — इसे सावधानी से करें
DNSSEC गलत होने पर आपके पूरे डोमेन को ऑफलाइन कर सकता है। यदि आप कभी Route 53 से DNS migrate करते हैं, पहले registrar पर DS रिकॉर्ड हटाएं और signing अक्षम करें, फिर migrate करें।
पुष्टि करें कि Route 53 आपका DNS चलाता है
Route 53 console में जाएं, Hosted zones में आपके डोमेन के लिए NS रिकॉर्ड मान नोट करें — आपके registrar का nameserver setting इनसे मेल खाना चाहिए।
Route 53 पर चरण-दर-चरण
- AWS console में साइन इन करें और Route 53 खोलें।
- Hosted zones पर जाएं और अपने डोमेन के लिए hosted zone खोलें।
- DNSSEC signing टैब खोलें और Enable DNSSEC signing चुनें।
- key-signing key (KSK) के लिए, आपको एक customer managed KMS key प्रदान करनी होगी:
- key asymmetric, usage Sign and verify, spec ECC_NIST_P256 होनी चाहिए, और यह US East (N. Virginia)
us-east-1region में होनी चाहिए।
- key asymmetric, usage Sign and verify, spec ECC_NIST_P256 होनी चाहिए, और यह US East (N. Virginia)
- KSK को एक नाम दें, फिर signing सक्षम करें।
- DNSSEC signing टैब पर, DS record / Establish a chain of trust खोजें। Route 53 मान प्रदर्शित करता है।
- अब अपने registrar पर जाएं और DS रिकॉर्ड जोड़ें:
- Route 53 (Amazon Registrar) में पंजीकृत है: console आपको guide करेगा।
- कोई अन्य registrar: उसके DNSSEC / DS रिकॉर्ड अनुभाग में Key Tag, Algorithm, Digest Type, और Digest दर्ज करें।
- registrar पर सहेजें।
Route 53 की वे गलतियाँ जो लोग करते हैं
- KMS key
us-east-1में होनी चाहिए। - सही key type उपयोग करें। यह asymmetric, sign-and-verify, ECC_NIST_P256 होनी चाहिए।
- दो सिस्टम, एक नहीं। Route 53 में signing सक्षम करना अकेले कुछ नहीं करता।
- Digest को बिल्कुल कॉपी करें।
- KMS key को delete न करें जब signing active हो।
- सही क्रम में अक्षम करें। migrate से पहले: registrar पर DS हटाएं, प्रतीक्षा करें, फिर Route 53 में signing अक्षम करें।
- समय दें।
सत्यापित करें कि यह काम किया
Route 53 में signing सक्षम होने और registrar पर DS रिकॉर्ड होने के बाद, इस साइट पर निःशुल्क जांच चलाएं।
हो गया? अपना डोमेन मुफ़्त जांचें यह पुष्टि करने के लिए कि यह काम किया — और सभी 34 जांचों में अपना पूरा ग्रेड देखें।