Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengaktifkan penandatanganan DNSSEC dan membuat rantai kepercayaan
<a name="dns-configuring-dnssec-enable-signing"></a>

****  
Langkah-langkah tambahan berlaku untuk pemilik zona yang dihosting dan pengelola zona induk. Ini bisa menjadi orang yang sama, tetapi jika tidak, pemilik zona harus memberi tahu dan bekerja dengan pengelola zona induk.

Kami merekomendasikan mengikuti langkah-langkah dalam artikel ini agar zona Anda ditandatangani dan dimasukkan dalam rantai kepercayaan. Langkah-langkah berikut akan meminimalkan risiko orientasi ke DNSSEC.

**catatan**  
Pastikan Anda membaca prasyarat sebelum memulai. [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md)

Ada tiga langkah yang harus diambil untuk mengaktifkan penandatanganan DNSSEC, seperti yang dijelaskan di bagian berikut. 

**Topics**
+ [Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)
+ [Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK](#dns-configuring-dnssec-enable)
+ [Langkah 3: Membangun rantai kepercayaan](#dns-configuring-dnssec-chain-of-trust)

## Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC
<a name="dns-configuring-dnssec-enable-signing-step-1"></a>

Langkah-langkah persiapan membantu Anda meminimalkan risiko orientasi ke DNSSEC dengan memantau ketersediaan zona dan menurunkan waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS).

**Untuk mempersiapkan untuk mengaktifkan penandatanganan DNSSEC**

1. Pantau ketersediaan zona.

   Anda dapat memantau zona untuk ketersediaan nama domain Anda. Ini dapat membantu Anda mengatasi masalah apa pun yang mungkin memerlukan mundur selangkah setelah Anda mengaktifkan penandatanganan DNSSEC. Anda dapat memantau nama domain Anda dengan sebagian besar lalu lintas dengan menggunakan pencatatan kueri. Untuk informasi selengkapnya tentang menyiapkan pencatatan kueri, lihat[Memantau Amazon Route 53](monitoring-overview.md).

   Pemantauan dapat dilakukan melalui skrip shell, atau melalui layanan pihak ketiga. Namun, seharusnya tidak menjadi satu-satunya sinyal untuk menentukan apakah rollback diperlukan. Anda mungkin juga mendapatkan umpan balik dari pelanggan Anda karena domain tidak tersedia.

1. Turunkan TTL maksimum zona.

   TTL maksimum zona adalah rekor TTL terpanjang di zona tersebut. Di zona contoh berikut, TTL maksimum zona adalah 1 hari (86400 detik).    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)

   Menurunkan TTL maksimum zona akan membantu mengurangi waktu tunggu antara mengaktifkan penandatanganan dan penyisipan catatan Penandatangan Delegasi (DS). Kami merekomendasikan untuk menurunkan TTL maksimum zona menjadi 1 jam (3600 detik). Ini memungkinkan Anda untuk memutar kembali setelah hanya satu jam jika ada penyelesai yang memiliki masalah dengan catatan yang ditandatangani caching.

   **Rollback:** batalkan perubahan TTL.

1. Turunkan bidang minimum SOA TTL dan SOA.

   Bidang minimum SOA adalah bidang terakhir dalam data catatan SOA. Dalam contoh berikut catatan SOA, bidang minimum memiliki nilai 5 menit (300 detik).    
[See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)

   Bidang minimum SOA TTL dan SOA menentukan berapa lama resolver mengingat jawaban negatif. Setelah Anda mengaktifkan penandatanganan, server nama Route 53 mulai mengembalikan catatan NSEC untuk jawaban negatif. NSEC berisi informasi yang mungkin digunakan resolver untuk mensintesis jawaban negatif. Jika Anda harus memutar kembali karena informasi NSEC menyebabkan resolver mengasumsikan jawaban negatif untuk sebuah nama, maka Anda hanya perlu menunggu maksimum bidang minimum SOA TTL dan SOA agar resolver menghentikan asumsi.

   **Rollback:** batalkan perubahan SOA.

1. Pastikan perubahan bidang minimum TTL dan SOA efektif.

   Gunakan [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)untuk memastikan perubahan Anda sejauh ini telah disebarkan ke semua server DNS Route 53.

## Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK
<a name="dns-configuring-dnssec-enable"></a>

Anda dapat mengaktifkan penandatanganan DNSSEC dan membuat kunci penandatanganan kunci (KSK) dengan menggunakan AWS CLI atau di konsol Route 53.
+ [CLI](#dnssec_CLI)
+ [Konsol](#dnssec_console)

Saat Anda memberikan atau membuat kunci KMS, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat [Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

------
#### [ CLI ]

Anda dapat menggunakan kunci yang sudah Anda miliki, atau membuatnya dengan menjalankan AWS CLI perintah seperti berikut menggunakan nilai Anda sendiri untuk`hostedzone_id`,`cmk_arn`,`ksk_name`, dan `unique_string` (untuk membuat permintaan unik):

```
aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string
```

Untuk informasi selengkapnya tentang kunci yang dikelola pelanggan, lihat[Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md). Lihat juga [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html).

Untuk mengaktifkan penandatanganan DNSSEC, jalankan AWS CLI perintah seperti berikut, menggunakan nilai Anda sendiri untuk: `hostedzone_id`

```
aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id
```

Untuk informasi lebih lanjut, lihat [enable-hosted-zone-dnssec](https://docs.aws.amazon.com/cli/latest/reference/route53/enable-hosted-zone-dnssec.html)dan [EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html).

------
#### [ Console ]<a name="dns-configuring-dnssec-enable-procedure"></a>

**Cara mengaktifkan penandatanganan DNSSEC dan membuat KSK**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **zona yang di-hosting**, lalu pilih zona yang di-hosting dengan penandatanganan DNSSEC yang ingin Anda aktifkan.

1. Di tab **Penandatanganan DNSSEC**, pilih **Aktifkan penandatanganan DNSSEC**.
**catatan**  
Jika opsi di bagian ini adalah **Nonaktifkan penandatanganan DNSSEC**, Anda telah menyelesaikan langkah pertama dalam mengaktifkan penandatanganan DNSSEC. Pastikan bahwa Anda membuat, atau sudah ada, rantai kepercayaan bagi zona yang di-hosting untuk DNSSEC, lalu Anda selesai. Untuk informasi selengkapnya, lihat [Langkah 3: Membangun rantai kepercayaan](#dns-configuring-dnssec-chain-of-trust).

1. Di bagian **pembuatan Kunci Penandatanganan Kunci (KSK)**, pilih **Buat KSK baru**, dan di bawah **Berikan nama KSK, masukkan nama** untuk KSK yang akan dibuat Route 53 untuk Anda. Nama dapat mencakup angka, huruf, dan garis bawah (\_). Nama ini harus unik.

1. Di bawah **CMK yang dikelola Pelanggan**, pilih kunci terkelola pelanggan untuk Route 53 untuk digunakan saat membuat KSK untuk Anda. Anda dapat menggunakan kunci terkelola pelanggan yang sudah ada yang berlaku untuk penandatanganan DNSSEC, atau membuat kunci terkelola pelanggan baru.

   Saat Anda memberikan atau membuat kunci yang dikelola pelanggan, ada beberapa persyaratan. Untuk informasi selengkapnya, lihat [Bekerja dengan kunci yang dikelola pelanggan untuk DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

1. Masukkan alias untuk kunci terkelola pelanggan yang sudah ada. Jika Anda ingin menggunakan kunci terkelola pelanggan baru, masukkan alias untuk kunci yang dikelola pelanggan, dan Route 53 akan membuatnya untuk Anda.
**catatan**  
Jika Anda memilih agar Route 53 membuat kunci terkelola pelanggan, ketahuilah bahwa biaya terpisah berlaku untuk setiap kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat [Harga Layananan Manajemen Kunci AWS](https://aws.amazon.com/kms/pricing/).

1. Pilih **Aktifkan penandatanganan DNSSEC**.

------

**Setelah Anda mengaktifkan penandatanganan zona, selesaikan langkah-langkah berikut** (apakah Anda menggunakan konsol atau CLI):

1. Pastikan penandatanganan zona efektif.

   Jika digunakan AWS CLI, Anda dapat menggunakan Id operasi dari output `EnableHostedZoneDNSSEC()` panggilan untuk menjalankan [get-change](https://docs.aws.amazon.com/cli/latest/reference/route53/get-change.html) atau [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)untuk memastikan bahwa semua Server DNS Route 53 menandatangani tanggapan (status =). `INSYNC`

1. Tunggu setidaknya TTL maksimum zona sebelumnya.

   Tunggu resolver untuk menghapus semua catatan yang tidak ditandatangani dari cache mereka. Untuk mencapai ini, Anda harus menunggu setidaknya TTL maksimum zona sebelumnya. Di `example.com` zona di atas, waktu tunggu adalah 1 hari.

1. Memantau laporan masalah pelanggan.

   Setelah Anda mengaktifkan penandatanganan zona, pelanggan Anda mungkin mulai melihat masalah yang terkait dengan perangkat jaringan dan resolver. Periode pemantauan yang disarankan adalah 2 minggu.

   Berikut ini adalah contoh masalah yang mungkin Anda lihat:
   + Beberapa perangkat jaringan dapat membatasi ukuran respons DNS hingga di bawah 512 byte, yang terlalu kecil untuk beberapa respons yang ditandatangani. Perangkat jaringan ini harus dikonfigurasi ulang untuk memungkinkan ukuran respons DNS yang lebih besar.
   + Beberapa perangkat jaringan melakukan inspeksi mendalam pada respons DNS dan menghapus catatan tertentu yang tidak dimengerti, seperti yang digunakan untuk DNSSEC. Perangkat ini harus dikonfigurasi ulang.
   + Beberapa resolver pelanggan mengklaim bahwa mereka dapat menerima respons UDP yang lebih besar daripada dukungan jaringan mereka. Anda dapat menguji kemampuan jaringan Anda dan mengkonfigurasi resolver Anda dengan tepat. Untuk informasi selengkapnya lihat, [DNS Reply Size Test Server](https://www.dns-oarc.net/oarc/services/replysizetest/).

**Rollback:** panggil [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) lalu kembalikan langkah-langkahnya. [Langkah 1: Bersiaplah untuk mengaktifkan penandatanganan DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)

## Langkah 3: Membangun rantai kepercayaan
<a name="dns-configuring-dnssec-chain-of-trust"></a>

Setelah Anda mengaktifkan penandatanganan DNSSEC untuk zona yang di-hosting di Route 53, buat rantai kepercayaan untuk zona yang di-hosting guna menyelesaikan penyiapan penandatanganan DNSSEC. Anda melakukan ini dengan membuat catatan Delegation Signer (DS) di zona yang di-hosting *induk*, untuk zona yang di-hosting, menggunakan informasi yang disediakan Route 53. Tergantung pada tempat domain terdaftar, Anda menambahkan catatan ke zona yang di-hosting induk di Route 53 atau registrar domain lain.<a name="dns-configuring-dnssec-chain-of-trust-procedure"></a>

**Cara membuat rantai kepercayaan untuk penandatanganan DNSSEC**

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Di panel navigasi, pilih **zona yang di-hosting**, lalu pilih zona yang di-hosting yang ingin dibuatkan rantai kepercayaan DNSSEC. *Anda harus mengaktifkan penandatanganan DNSSEC terlebih dahulu.*

1. Di tab **Penandatanganan DNSSEC**, di bawah **Penandatanganan DNSSEC**, pilih **Lihat informasi untuk membuat catatan DS**.
**catatan**  
Jika tidak melihat **Lihat informasi untuk membuat catatan DS** di bagian ini, Anda harus mengaktifkan penandatanganan DNSSEC sebelum membuat rantai kepercayaan. Pilih **Aktifkan penandatanganan DNSSEC** dan selesaikan langkah-langkah seperti yang dijelaskan[Langkah 2: Aktifkan penandatanganan DNSSEC dan buat KSK](#dns-configuring-dnssec-enable), lalu kembali ke langkah-langkah ini untuk membangun rantai kepercayaan.

1. Di bawah **Buat rantai kepercayaan**, pilih salah satu **Registrar Route 53** atau **Registrar domain lainnya**, tergantung tempat domain Anda terdaftar.

1. Gunakan nilai yang disediakan dari langkah 3 untuk membuat catatan DS untuk zona host induk di Route 53. Jika domain Anda tidak di-host di Route 53, gunakan nilai yang disediakan untuk membuat catatan DS di situs web registrar domain Anda. 

   Membangun rantai kepercayaan untuk zona induk:
   + Jika domain Anda dikelola melalui Route 53, ikuti langkah-langkah berikut:

     Pastikan Anda mengonfigurasi algoritma penandatanganan yang benar (ECDSAP256SHA256 dan ketik 13) dan algoritma intisari (SHA-256 dan tipe 2). 

     Jika Route 53 adalah registrar Anda, lakukan hal berikut di konsol Route 53:

     1. Catat nilai **Jenis kunci**, **Algoritme**, dan **Kunci publik**. Di panel navigasi, pilih **Domain terdaftar**.

     1. Pilih domain, dan kemudian, dalam tab **kunci DNSSEC, pilih **Tambah** kunci**.

     1. Dalam kotak dialog **Kelola kunci DNSSEC**, pilih **jenis Kunci** dan **Algoritma** yang sesuai untuk **registrar Route 53** dari menu tarik-turun.

     1. Salin **Kunci publik** untuk registrar Route 53. Di kotak dialog **Kelola kunci DNSSEC**, tempelkan nilainya ke kotak **kunci Publik**.

     1. Pilih **Tambahkan**.

         Route 53 akan menambahkan catatan DS ke zona induk dari kunci publik. Misalnya, jika domain Anda`example.com`, catatan DS ditambahkan ke zona DNS.com.
   + Jika domain Anda dikelola di registri lain, ikuti instruksi di bagian **Registrar domain lain**.

     Untuk memastikan langkah-langkah berikut berjalan lancar, perkenalkan DS TTL rendah ke zona induk. Kami merekomendasikan pengaturan DS TTL ke 5 menit (300 detik) untuk pemulihan yang lebih cepat jika Anda perlu mengembalikan perubahan Anda.
     + Membangun rantai kepercayaan untuk zona anak:

       Jika zona induk Anda dikelola oleh registri lain, hubungi registrar Anda untuk memperkenalkan catatan DS untuk zona Anda. Biasanya Anda tidak akan dapat menyesuaikan TTL dari catatan DS.
     + Jika zona induk Anda di-host di Route 53, hubungi pemilik zona induk untuk memperkenalkan catatan DS untuk zona Anda. 

       Berikan `$ds_record_value` kepada pemilik zona induk. Anda bisa mendapatkannya dengan mengklik **Lihat Informasi untuk membuat catatan DS** di konsol dan menyalin bidang **catatan DS**, atau dengan memanggil [GetDNSSec](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetDNSSEC.html) API dan mengambil nilai bidang '': DSRecord

       ```
       aws --region us-east-1 route53 get-dnssec 
                   --hosted-zone-id $hostedzone_id
       ```

       Pemilik zona induk dapat memasukkan catatan melalui konsol Route 53 atau CLI.
       +  Untuk menyisipkan catatan DS dengan menggunakan AWS CLI, pemilik zona induk membuat dan memberi nama file JSON yang mirip dengan contoh berikut. Pemilik zona induk mungkin memberi nama file seperti itu`inserting_ds.json`. 

         ```
         {
             "HostedZoneId": "$parent_zone_id",
             "ChangeBatch": {
                 "Comment": "Inserting DS for zone $zone_name",
                 "Changes": [
                     {
                         "Action": "UPSERT",
                         "ResourceRecordSet": {
                             "Name": "$zone_name",
                             "Type": "DS",
                             "TTL": 300,
                             "ResourceRecords": [
                                 {
                                     "Value": "$ds_record_value"
                                 }
                             ]
                         }
                     }
                 ]
             }
         }
         ```

         Kemudian jalankan perintah berikut:

         ```
         aws --region us-east-1 route53 change-resource-record-sets 
                     --cli-input-json file://inserting_ds.json
         ```
       + Untuk memasukkan catatan DS dengan menggunakan konsol, 

         Buka konsol Route 53 di [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

         Di panel navigasi, pilih Zona yang **dihosting, nama zona** yang dihosting, lalu tombol **Buat rekam**. Pastikan Anda memilih Perutean sederhana untuk kebijakan **Routing.**

         Di bidang **Nama rekam** masukkan nama yang sama dengan`$zone_name`, pilih DS dari **jenis Rekam** tarik-turun, dan masukkan nilai `$ds_record_value` ke dalam bidang **Nilai**, dan pilih **Buat catatan**.

   **Rollback:** hapus DS dari zona induk, tunggu DS TTL, lalu putar kembali langkah-langkah untuk membangun kepercayaan. Jika zona induk di-host di Route 53, pemilik zona induk dapat mengubah `Action` dari `UPSERT` ke `DELETE` dalam file JSON, dan menjalankan kembali contoh CLI di atas.

1. Tunggu pembaruan disebarkan, berdasarkan TTL untuk catatan domain Anda.

   Jika zona induk ada di layanan DNS Route 53, pemilik zona induk dapat mengonfirmasi propagasi penuh melalui API. [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)

   Jika tidak, Anda dapat secara berkala menyelidiki zona induk untuk catatan DS, dan kemudian menunggu 10 menit setelahnya untuk meningkatkan kemungkinan penyisipan catatan DS disebarkan sepenuhnya. Perhatikan bahwa beberapa pendaftar telah menjadwalkan penyisipan DS, misalnya, sekali sehari.

Saat Anda memperkenalkan catatan Penandatangan Delegasi (DS) di zona induk, resolver tervalidasi yang telah mengambil DS akan mulai memvalidasi tanggapan dari zona tersebut.

Untuk memastikan langkah-langkah membangun kepercayaan berjalan lancar, selesaikan hal-hal berikut:

1. Temukan NS TTL maksimum.

   Ada 2 set catatan NS yang terkait dengan zona Anda:
   + Catatan NS delegasi — ini adalah catatan NS untuk zona Anda yang dipegang oleh zona induk. Anda dapat menemukannya dengan menjalankan perintah Unix berikut (jika zona Anda adalah example.com, zona induknya adalah com):

     `dig -t NS com`

     Pilih salah satu catatan NS dan kemudian jalankan yang berikut ini:

     `dig @one of the NS records of your parent zone -t NS example.com`

     Contoh:

     `dig @b.gtld-servers.net. -t NS example.com`
   + Catatan NS dalam zona — ini adalah catatan NS di zona Anda. Anda dapat menemukan ini dengan menjalankan perintah Unix berikut:

     `dig @one of the NS records of your zone -t NS example.com`

     Contoh:

     `dig @ns-0000.awsdns-00.co.uk. -t NS example.com`

     Perhatikan TTL maksimum untuk kedua zona.

1. Tunggu NS TTL maksimum.

   Sebelum penyisipan DS, resolver mendapatkan respons yang ditandatangani, tetapi tidak memvalidasi tanda tangan. Ketika catatan DS dimasukkan, resolver tidak akan melihatnya sampai catatan NS untuk zona berakhir. Ketika resolver mengambil kembali catatan NS, catatan DS kemudian akan dikembalikan.

   Jika pelanggan Anda menjalankan resolver pada host dengan jam yang tidak sinkron, pastikan jam berada dalam 1 jam dari waktu yang benar.

   Setelah menyelesaikan langkah ini, semua resolver yang sadar DNSSEC akan memvalidasi zona Anda.

1. Amati resolusi nama.

   Anda harus memperhatikan bahwa tidak ada masalah dengan resolver yang memvalidasi zona Anda. Pastikan Anda juga memperhitungkan waktu yang dibutuhkan pelanggan Anda untuk melaporkan masalah kepada Anda.

   Kami merekomendasikan pemantauan hingga 2 minggu.

1. (Opsional) Perpanjang DS dan NS TTLs.

   Jika Anda puas dengan pengaturan, Anda dapat menyimpan perubahan TTL dan SOA yang Anda buat. Perhatikan bahwa Rute 53 membatasi TTL hingga 1 minggu untuk zona yang ditandatangani. Untuk informasi selengkapnya, lihat [Mengonfigurasi penandatanganan DNSSEC di Amazon Route 53](dns-configuring-dnssec.md).

   Jika Anda dapat mengubah DS TTL, kami sarankan Anda mengaturnya ke 1 jam.