As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Como habilitar a assinatura de DNSSEC e estabelecer uma cadeia de confiança
****
As etapas incrementais são aplicáveis ao proprietário da zona hospedada e ao responsável por manter a zona pai. Eles podem ser a mesma pessoa, mas, se não forem, o proprietário da zona deve notificar e trabalhar com o responsável por mantê-la.
Recomendamos as etapas deste artigo para que sua zona seja assinada e incluída na cadeia de confiança. As seguintes etapas minimizam o risco de integração no DNSSEC.
**nota**
Certifique-se de ler os prerrequisitos antes de começar a usar [Como configurar a assinatura de DNSSEC no Amazon Route 53](dns-configuring-dnssec.md).
Existem três etapas a serem seguidas para habilitar a assinatura de DNSSEC, conforme descrito nas seções abaixo:
**Topics**
+ [Etapa 1: Preparar-se para habilitar a assinatura de DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)
+ [Etapa 2: Habilitar a assinatura de DNSSEC e criar uma KSK](#dns-configuring-dnssec-enable)
+ [Etapa 3: Estabelecer uma cadeia de confiança](#dns-configuring-dnssec-chain-of-trust)
## Etapa 1: Preparar-se para habilitar a assinatura de DNSSEC
As etapas de preparação ajudam você a minimizar o risco de integração ao DNSSEC, monitorando a disponibilidade da zona e diminuindo os tempos de espera entre habilitar a assinatura e inserir o registro de signer da delegação (DS).
**Para preparar-se para habilitar a assinatura de DNSSEC**
1. Faça o monitoramento da disponibilidade da zona
É possível fazer o monitoramento da zona para verificar a disponibilidade dos seus nomes de domínio. Isso pode ajudar você a resolver problemas que possam justificar um passo para trás depois que você habilitar a assinatura de DNSSEC. É possível fazer o monitoramento dos seus nomes de domínio com a maior parte do tráfego utilizando o registro de consultas em log. Para obter mais informações sobre como configurar o registro de consultas em log, consulte [Como monitorar o Amazon Route 53](monitoring-overview.md).
O monitoramento pode ser feito com o uso de um shell script ou de um serviço de terceiros. Porém, ele não deve ser o único sinal para determinar a necessidade de uma reversão. Você também pode obter feedback dos seus clientes devido à indisponibilidade de um domínio.
1. Reduza o TTL máximo da zona.
O TTL máximo da zona é o registro de TTL mais longo que ela contém. No seguinte exemplo de zona, o TTL máximo da zona é de 1 dia (86.400 segundos).
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)
Diminuir o TTL máximo da zona ajudará a reduzir o tempo de espera entre habilitar a assinatura e inserir o registro de signer de delegação (DS). Recomendamos reduzir o TTL máximo da zona para 1 hora (3.600 segundos). Isso permitirá uma reversão depois de apenas uma hora se algum resolvedor apresentar problemas com o armazenamento em cache de registros assinados.
**Reversão:** desfaça as alterações no TTL.
1. Diminua o campo de TTL SOA e SOA mínimo.
O campo de SOA mínimo é o último nos dados do registro SOA. No seguinte exemplo de registro SOA, o campo mínimo tem o valor de 5 minutos (300 segundos).
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)
O campo de TTL SOA e SOA mínimo determina por quanto tempo os resolvedores memorizam respostas negativas. Depois que você habilitar a assinatura, os servidores de nomes do Route 53 começarão a retornar registros NSEC para respostas negativas. O NSEC contém informações que os resolvedores podem usar para sintetizar uma resposta negativa. Se uma reversão for necessária porque as informações do NSEC fizeram com que um resolvedor considerasse uma resposta negativa para um nome, basta esperar o máximo do campo de TTL SOA e SOA mínimo para que o resolvedor interrompa essa suposição.
**Reversão:** desfaça as alterações do SOA.
1. Certifique-se de que as alterações no campo de TTL e SOA mínimo estejam efetivadas.
Use [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)para garantir que suas alterações até agora tenham sido propagadas para todos os servidores DNS do Route 53.
## Etapa 2: Habilitar a assinatura de DNSSEC e criar uma KSK
Você pode habilitar a assinatura do DNSSEC e criar uma chave de assinatura de chave (KSK) usando AWS CLI ou no console do Route 53.
+ [CLI](#dnssec_CLI)
+ [Console](#dnssec_console)
Quando você fornece ou cria uma chave do KMS, existem vários requisitos. Para obter mais informações, consulte [Como trabalhar com chaves gerenciadas pelo cliente para DNSSEC](dns-configuring-dnssec-cmk-requirements.md).
------
#### [ CLI ]
É possível usar uma chave existente ou criar uma nova, executando um comando da AWS CLI como o seguinte e usando seus próprios valores para `hostedzone_id`, `cmk_arn`, `ksk_name` e `unique_string` (para tornar a solicitação exclusiva):
```
aws --region us-east-1 route53 create-key-signing-key \
--hosted-zone-id $hostedzone_id \
--key-management-service-arn $cmk_arn --name $ksk_name \
--status ACTIVE \
--caller-reference $unique_string
```
Para obter mais informações sobre chaves gerenciadas pelo cliente, consulte [Como trabalhar com chaves gerenciadas pelo cliente para DNSSEC](dns-configuring-dnssec-cmk-requirements.md). Consulte também [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html).
Para habilitar a assinatura do DNSSEC, execute um AWS CLI comando como o seguinte, usando seu próprio valor para: `hostedzone_id`
```
aws --region us-east-1 route53 enable-hosted-zone-dnssec \
--hosted-zone-id $hostedzone_id
```
Para obter mais informações, consulte [enable-hosted-zone-dnssecEnableHostedZone](https://docs.aws.amazon.com/cli/latest/reference/route53/enable-hosted-zone-dnssec.html)[DNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html).
------
#### [ Console ]
**Para habilitar a assinatura de DNSSEC e criar uma KSK**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Hosted zones** (Zonas hospedadas) e depois escolha uma zona hospedada na qual você deseja habilitar a assinatura de DNSSEC.
1. Na guia **DNSSEC signing** (Assinatura de DNSSEC), escolha **Enable DNSSEC signing** (Habilitar assinatura de DNSSEC).
**nota**
Se a opção nesta seção for **Disable DNSSEC signing** (Desabilitar a assinatura de DNSSEC), você já concluiu a primeira etapa para habilitar a assinatura de DNSSEC. Certifique-se de estabelecer, ou de que já existe, uma cadeia de confiança para a zona hospedada da DNSSEC e, em seguida, está concluído. Para obter mais informações, consulte [Etapa 3: Estabelecer uma cadeia de confiança](#dns-configuring-dnssec-chain-of-trust).
1. Na seção **Key-signing key (KSK) creation** (Criação de chaves de assinatura de chaves), selecione **Create new KSK** (Criar novo KSK) e, em **Provide KSK name** (Forneça um nome para a KSK), insira um nome para a KSK que o Route 53 criará para você. O nome só pode conter números, letras e sublinhados (\_). Essa opção deve ser exclusiva.
1. Em **Customer managed CMK** (CMK gerenciada pelo cliente), escolha a chave gerenciada pelo cliente para o Route 53 a ser usada quando ele criar a KSK para você. Você pode usar uma chave gerenciada pelo cliente existente que se aplica à assinatura de DNSSEC ou criar uma nova chave gerenciada pelo cliente.
Quando você fornece ou cria uma chave gerenciada pelo cliente, há vários requisitos. Para obter mais informações, consulte [Como trabalhar com chaves gerenciadas pelo cliente para DNSSEC](dns-configuring-dnssec-cmk-requirements.md).
1. Insira o alias para uma chave gerenciada pelo cliente existente. Se quiser usar uma nova chave gerenciada pelo cliente, insira um alias para a chave gerenciada pelo cliente, e o Route 53 criará uma para você.
**nota**
Se você optar por fazer com que o Route 53 crie uma chave gerenciada pelo cliente, esteja ciente de que cobranças separadas se aplicam a cada chave gerenciada pelo cliente. Para mais informações, consulte [Preço do serviço gerenciado pela chave da AWS](https://aws.amazon.com/kms/pricing/).
1. Escolha **Enable DNSSEC signing** (Habilitar assinatura de DNSSEC).
------
**Depois de habilitar a assinatura da zona, conclua as etapas a seguir** (independentemente de ter usado o console ou a CLI):
1. Verifique se a assinatura da zona está efetiva.
Se você usou AWS CLI, você pode usar o ID de operação da saída da `EnableHostedZoneDNSSEC()` chamada para executar [get-change](https://docs.aws.amazon.com/cli/latest/reference/route53/get-change.html) ou [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)para garantir que todos os servidores DNS do Route 53 estejam assinando respostas (status =). `INSYNC`
1. Aguarde pelo menos o TTL máximo da zona anterior.
Aguarde até que os resolvedores liberem todos os registros não assinados de seus caches. Para isso, você deve aguardar pelo menos o TTL máximo da zona anterior. No zona `example.com` acima, o tempo de espera é de 1 dia.
1. Monitore relatórios de problemas de clientes.
Depois de habilitar a assinatura da zona, seus clientes podem começar a perceber problemas relacionados a dispositivos de rede e a resolvedores. O período de monitoramento recomendado é de duas semanas.
Os seguintes são exemplos de problemas com os quais você pode se deparar:
+ Alguns dispositivos de rede podem limitar o tamanho das respostas de DNS a menos de 512 bytes, o que é um limite muito pequeno para algumas respostas assinadas. Esses dispositivos devem ser reconfigurados para permitirem tamanhos maiores de resposta de DNS.
+ Alguns dispositivos de rede fazem uma inspeção profunda nas respostas de DNS e removem certos registros que não compreendem, como os utilizados para o DNSSEC. Esses dispositivos precisam ser reconfigurados.
+ Os resolvedores de alguns clientes declaram que podem aceitar uma resposta UDP maior do que aquelas com suporte pela rede. Você pode testar a capacidade da sua rede e configurar resolvedores de acordo. Para saber mais, consulte [Servidor de teste de tamanho de respostas de DNS](https://www.dns-oarc.net/oarc/services/replysizetest/).
**Reversão: chame** o [DisableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) e, em seguida, reverta as etapas. [Etapa 1: Preparar-se para habilitar a assinatura de DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)
## Etapa 3: Estabelecer uma cadeia de confiança
Depois de habilitar a assinatura de DNSSEC para uma zona hospedada no Route 53, estabeleça uma cadeia de confiança para que a zona hospedada conclua sua configuração de assinatura de DNSSEC. Para fazer isso, crie um registro de Signatário da Delegação (DS) na zona hospedada *pai*, para sua zona hospedada, usando as informações fornecidas pelo Route 53. Dependendo de onde seu domínio está registrado, você adiciona o registro à zona hospedada pai no Route 53 ou em outro registrador de domínio.
**Para estabelecer uma cadeia de confiança para assinatura de DNSSEC**
1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
1. No painel de navegação, escolha **Hosted zones** (Zonas hospedadas) e escolha uma zona hospedada para a qual você deseja estabelecer uma cadeia de confiança de DNSSEC. *Você deve habilitar primeiro a assinatura de DNSSEC.*
1. Na guia **DNSSEC signing** (Assinatura de DNSSEC), em **DNSSEC signing** (Assinatura de DNSSEC), escolha **View information to create DS record** (Exibir informações para criar registro DS).
**nota**
Se você não vir **View information to create DS record** (Exibir informações para criar registro DS) nesta seção, você deve habilitar a assinatura de DNSSEC antes de estabelecer a cadeia de confiança. Escolha **Enable DNSSEC signing** (Habilitar assinatura de DNSSEC) e conclua as etapas descritas em [Etapa 2: Habilitar a assinatura de DNSSEC e criar uma KSK](#dns-configuring-dnssec-enable). Depois, retorne a essas etapas para estabelecer a cadeia de confiança.
1. Em **Establish a chain of trust** (Estabelecer uma cadeia de confiança), escolha **Route 53 registrar** (Registrador do Route 53) ou **Another domain registrar** (Outro registrador de domínio), dependendo de onde seu domínio está registrado.
1. Use os valores fornecidos da etapa 3 para criar um registro de DS para a zona hospedada pai no Route 53. Se o domínio não estiver hospedado no Route 53, utilize os valores fornecidos para criar um registro de DS no site do registrador de domínios.
Estabelecer uma cadeia de confiança para a zona superior:
+ Se seu domínio for gerenciado pelo Route 53, siga as etapas abaixo:
Certifique-se de configurar o algoritmo de assinatura (ECDSAP256SHA256 e tipo 13) e o algoritmo de resumo (SHA-256 e tipo 2) corretos.
Se o Route 53 for o registrador, siga este procedimento no console do Route 53:
1. Observe os valores de **Key type** (Tipo de chave), **Signing algorithm** (Algoritmo de assinatura) e **Public key** (Chave pública). No painel de navegação, escolha **Registered domains** (Domínios registrados).
1. Selecione um domínio e, na guia **Chaves de DNSSEC**, escolha **Adicionar chave**.
1. Na caixa de diálogo **Gerenciar chaves de DNSSEC**, escolha o **Tipo de chave** apropriado e o **Algoritmo** para o **Registrador do Route 53** nos menus suspensos.
1. Copiar a **Public key** (Chave pública) para o registrador do Route 53. Na caixa de diálogo **Manage DNSSEC keys** (Gerenciar chaves de DNSSEC), cole o valor na caixa **Public key** (Chave pública).
1. Escolha **Add** (Adicionar).
O Route 53 adicionará o registro DS à zona pai da chave pública. Por exemplo, se o seu domínio for `example.com`, o registro DS será adicionado à zona DNS .com.
+ Se seu domínio for gerenciado em outro registro, siga as instruções na seção **Outro registrador de domínio**.
Para garantir que as seguintes etapas funcionem sem problemas, introduza um TTL de DS baixo na zona pai. Convém configurar o TTL de DS como 5 minutos (300 segundos) para uma recuperação mais rápida caso você precise reverter as alterações.
+ Estabelecer uma cadeia de confiança para a zona inferior:
Caso sua zona pai seja administrada por outro registro, entre em contato com o registrador para introduzir o registro de DS da sua zona. Em geral, você não poderá ajustar o TTL do registro de DS.
+ Se a zona pai estiver hospedada no Route 53, entre em contato com o proprietário da zona pai para introduzir o registro de DS da sua zona.
Forneça o `$ds_record_value` ao proprietário da zona pai. Você pode obtê-lo clicando em **Exibir informações para criar um registro DS** no console e copiar o campo de **registro DS**, ou chamando a API [GetDNSsec](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetDNSSEC.html) e recuperando o valor do campo '': DSRecord
```
aws --region us-east-1 route53 get-dnssec
--hosted-zone-id $hostedzone_id
```
O proprietário da zona pai pode inserir o registro usando o console do Route 53 ou a CLI.
+ Para inserir o registro DS usando AWS CLI, o proprietário da zona principal cria e nomeia um arquivo JSON semelhante ao exemplo a seguir. O proprietário da zona pai pode atribuir ao arquivo um nome semelhante a `inserting_ds.json`.
```
{
"HostedZoneId": "$parent_zone_id",
"ChangeBatch": {
"Comment": "Inserting DS for zone $zone_name",
"Changes": [
{
"Action": "UPSERT",
"ResourceRecordSet": {
"Name": "$zone_name",
"Type": "DS",
"TTL": 300,
"ResourceRecords": [
{
"Value": "$ds_record_value"
}
]
}
}
]
}
}
```
Em seguida, execute o seguinte comando:
```
aws --region us-east-1 route53 change-resource-record-sets
--cli-input-json file://inserting_ds.json
```
+ Para inserir o registro de DS usando o console:
Abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
No painel de navegação, escolha **Hosted zones** (Zonas hospedadas), o nome da zona hospedada e depois **Create record** (Criar registro). Escolha o roteamento simples para **Routing policy** (Política de roteamento).
No campo **Nome de registro**, insira o mesmo nome que `$zone_name`, selecione DS para a lista suspensa **Tipo de registro** e insira o valor de `$ds_record_value` no campo **Valor** e escolha **Criar registros**.
**Reversão:** remova o DS da zona pai, aguarde o TTL do DS e depois reverta as etapas para estabelecer confiança. Se a zona pai estiver hospedada no Route 53, seu proprietário poderá alterar `Action` de `UPSERT` para `DELETE` no arquivo JSON e executar novamente o exemplo de CLI acima.
1. Aguarde até que as atualizações sejam propagadas, com base no TTL para seus registros de domínio.
Se a zona principal estiver no serviço DNS do Route 53, o proprietário da zona principal poderá confirmar a propagação completa por meio da [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)API.
Caso contrário, você poderá sondar periodicamente a zona pai no que diz respeito ao registro DS e aguardar mais 10 minutos depois para aumentar a probabilidade de a inserção do registro de DS ser completamente propagada. Alguns registradores agendam a inserção do DS, por exemplo, uma vez ao dia.
Quando você introduz o registro de signer de delegação (DS) na zona pai, os resolvedores validados que escolheram o DS começam a validar as respostas da zona.
Para garantir que as etapas para estabelecer a confiança sigam sem problemas, faça o seguinte:
1. Localize o TTL de NS máximo.
Existem dois conjuntos de registros de NS associados às suas zonas:
+ O registro de NS de delegação, ou seja, o registro de NS da sua zona mantida pela zona pai. Você pode encontrá-lo executando os seguintes comandos Unix (se sua zona for example.com, a zona pai será com):
`dig -t NS com`
Escolha um dos registros de NS e execute o seguinte:
`dig @one of the NS records of your parent zone -t NS example.com`
Por exemplo:
`dig @b.gtld-servers.net. -t NS example.com`
+ O registro de NS na zona, ou seja, o registro de NS na sua zona. Você pode localizá-lo executando o seguinte comando Unix:
`dig @one of the NS records of your zone -t NS example.com`
Por exemplo:
`dig @ns-0000.awsdns-00.co.uk. -t NS example.com`
Observe o TTL máximo de ambas as zonas.
1. Aguarde o TTL de NS máximo.
Antes da inserção do DS, os resolvedores recebem uma resposta assinada, mas não validam a assinatura. Quando o registro de DS for inserido, os resolvedores apenas o verão quando o registro de NS da zona expirar. Quando os resolvedores voltarem a buscar o registro de NS, o registro de DS também será retornado.
Se o seu cliente estiver executando um resolvedor em um host com um relógio fora de sincronia, verifique se esse relógio está dentro de 1 hora após a hora correta.
Depois que você concluir essa etapa, todos os resolvedores com reconhecimento de DNSSEC validarão sua zona.
1. Observe a resolução de nomes.
Você deve observar que não existem problemas com resolvedores validando sua zona. Não deixe de considerar o tempo necessário para os seus clientes informarem problemas para você.
Convém fazer um monitoramento por até 2 semanas.
1. (Opcional) Aumente o DS e o NS TTLs.
Se estiver satisfeito com a configuração, você poderá salvar as alterações de TTL e SOA feitas. O Route 53 limita o TTL a 1 semana para zonas assinadas. Para obter mais informações, consulte [Como configurar a assinatura de DNSSEC no Amazon Route 53](dns-configuring-dnssec.md).
Se você puder alterar o TTL de DS, recomendamos defini-lo como 1 hora.