Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Activation de la signature DNSSEC et établissement d'une chaîne d'approbation
<a name="dns-configuring-dnssec-enable-signing"></a>

****  
Les étapes progressives s'appliquent au propriétaire de la zone hébergée et au responsable de la zone parent. Il peut s'agir de la même personne, mais si ce n'est pas le cas, le propriétaire de la zone doit en informer le responsable de la zone parent et collaborer avec celui-ci.

Nous vous recommandons de suivre les étapes décrites dans cet article pour signer et inclure votre zone dans la chaîne d'approbation. Les étapes suivantes réduiront le risque d'onboarding sur le protocole DNSSEC (Domain Name System Security Extensions).

**Note**  
Assurez-vous de lire les prérequis avant de vous lancer dans [Configuration de la signature DNSSEC dans Amazon Route 53](dns-configuring-dnssec.md).

Trois étapes permettent d'activer la signature DNSSEC, comme décrit dans les sections suivantes. 

**Topics**
+ [Étape 1 : Préparer l'activation de la signature DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)
+ [Étape 2 : Activer la signature DNSSEC et créer une clé KSK](#dns-configuring-dnssec-enable)
+ [Étape 3 : Établir une chaîne d'approbation](#dns-configuring-dnssec-chain-of-trust)

## Étape 1 : Préparer l'activation de la signature DNSSEC
<a name="dns-configuring-dnssec-enable-signing-step-1"></a>

Les étapes de préparation vous aident à réduire le risque d'onboarding à DNSSEC en contrôlant la disponibilité de la zone et en réduisant les temps d'attente entre l'activation de la signature et l'insertion du registre Delegation Signer (DS).

**Pour se préparer à l'activation de la signature DNSSEC**

1. Contrôlez la disponibilité de la zone.

   Vous pouvez contrôler la zone de disponibilité des noms de domaine. Cela peut vous aider à résoudre tous les problèmes pouvant justifier un retour à l'étape précédente après avoir activé la signature DNSSEC. Vous pouvez contrôler les noms de domaine ayant le plus de trafic à l'aide de la journalisation des requêtes. Pour plus d'informations sur la configuration de la journalisation des requêtes, consultez [Surveillance d'Amazon Route 53](monitoring-overview.md).

   Vous pouvez effectuer la surveillance via un script shell ou via un service tiers. Il ne devrait toutefois pas s'agir du seul signal permettant de déterminer si une restauration est nécessaire. Vous recevrez peut-être également des commentaires de vos clients en raison de l'indisponibilité d'un domaine.

1. Réduisez la TTL maximale de la zone.

   La TTL maximale de la zone est le registre TTL le plus long de la zone. Dans l'exemple de zone ci-dessous, la TTL maximale de la zone est de 1 jour (86 400 secondes).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)

   La réduction de la TTL maximale de la zone permettra de réduire le temps d'attente entre l'activation de la signature et l'insertion du registre Delegation Signer (DS). Nous vous recommandons de réduire la TTL maximale de la zone à 1 heure (3 600 secondes). Cela vous permet de revenir en arrière après seulement une heure si un résolveur rencontre des problèmes avec la mise en cache des registres signés.

   **Restauration :** annulez les modifications TTL.

1. Réduisez le champ SOA TTL and SOA minimum (Valeur TTL SOA et SOA minimale).

   Le champ SOA minimum (Valeur SOA minimale) est le dernier champ des données de registre SOA. Dans l'exemple de registre SOA suivant, le champ Minimum (Minimal) comporte une valeur de 5 minutes (300 secondes).    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/Route53/latest/DeveloperGuide/dns-configuring-dnssec-enable-signing.html)

   Le champ SOA TTL and SOA minimum (Valeur TTL SOA et SOA minimale) détermine pendant combien de temps les résolveurs mémorisent les réponses négatives. Une fois que vous avez activé la signature, les serveurs de noms Route 53 commencent à renvoyer des registres NSEC pour obtenir des réponses négatives. NSEC contient des informations que les résolveurs peuvent utiliser pour synthétiser une réponse négative. Si vous devez revenir en arrière, car les informations NSEC ont amené un résolveur à supposer une réponse négative pour un nom, il suffit d'attendre le maximum du champ SOA TTL and SOA minimum (Valeur TTL SOA et SOA minimale) pour que le résolveur arrête l'hypothèse.

   **Restauration :** annulez les modifications de la source de noms (SOA, Start of Authority).

1. Assurez-vous que les modifications du champ TTL and SOA minimum (Valeur TTL et SOA minimale) sont appliquées.

   Utilisez-le [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)pour vous assurer que les modifications que vous avez apportées jusqu'à présent ont été propagées à tous les serveurs DNS Route 53.

## Étape 2 : Activer la signature DNSSEC et créer une clé KSK
<a name="dns-configuring-dnssec-enable"></a>

Vous pouvez activer la signature DNSSEC et créer une clé de signature par clé (KSK) en utilisant AWS CLI ou sur la console Route 53.
+ [INTERFACE DE LIGNE DE COMMANDE (CLI)](#dnssec_CLI)
+ [Console](#dnssec_console)

Lorsque vous fournissez ou créez une clé KMS, plusieurs exigences s'appliquent. Pour de plus amples informations, veuillez consulter [Utilisation des clés gérées par le client pour DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

------
#### [ CLI ]

Vous pouvez utiliser une clé que vous possédez déjà ou en créer une en exécutant une commande AWS CLI telle que la suivante, en utilisant vos propres valeurs pour `hostedzone_id`, `cmk_arn`, `ksk_name` et `unique_string` (pour rendre la demande unique) :

```
aws --region us-east-1 route53 create-key-signing-key \
			--hosted-zone-id $hostedzone_id \
			--key-management-service-arn $cmk_arn --name $ksk_name \
			--status ACTIVE \
			--caller-reference $unique_string
```

Pour plus d'informations sur les clés gérées par le client, consultez [Utilisation des clés gérées par le client pour DNSSEC](dns-configuring-dnssec-cmk-requirements.md). Consultez également [CreateKeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_CreateKeySigningKey.html).

Pour activer la signature DNSSEC, exécutez une AWS CLI commande comme celle-ci, en utilisant votre propre valeur pour : `hostedzone_id`

```
aws --region us-east-1 route53 enable-hosted-zone-dnssec \
			--hosted-zone-id $hostedzone_id
```

Pour plus d'informations, consultez [enable-hosted-zone-dnssec](https://docs.aws.amazon.com/cli/latest/reference/route53/enable-hosted-zone-dnssec.html)et [EnableHostedZoneDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html).

------
#### [ Console ]<a name="dns-configuring-dnssec-enable-procedure"></a>

**Pour activer la signature DNSSEC et créer une clé KSK**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Dans le panneau de navigation, choisissez **Hosted zones (Zones hébergées)**, puis choisissez une zone hébergée pour laquelle vous souhaitez activer la signature DNSSEC.

1. Dans l'onglet **DNSSEC signing (Signature DNSSEC)**, choisissez **Enable DNSSEC signing (Activer la signature DNSSEC)**.
**Note**  
Si l'option de cette section est **Disable DNSSEC signing (Désactiver la signature DNSSEC)**, vous avez déjà réalisé la première étape de l'activation de la signature DNSSEC. Assurez-vous d'établir une chaîne d'approbation pour la zone hébergée pour DNSSEC, ou assurez-vous qu'il en existe déjà une. Ensuite, vous avez terminé. Pour de plus amples informations, veuillez consulter [Étape 3 : Établir une chaîne d'approbation](#dns-configuring-dnssec-chain-of-trust).

1. Dans **Key-signing key (KSK) creation [Création d'une clé de signature de clé (KSK)]**, choisissez **Create new KSK (Créer une clé KSK)** et sous **Provide KSK name (Fournir un nom de clé KSK)**, entrez un nom pour la clé KSK que Route 53 créera pour vous. Le nom peut contenir des chiffres, des lettres et des traits de soulignement (\$1). Il doit être unique.

1. Sous **Customer managed CMK (Clé CMK gérée par le client)**, choisissez la clé gérée par le client à utiliser par Route 53 lorsqu'il crée la clé KSK pour vous. Vous pouvez utiliser une clé gérée par le client existante qui s'applique à la signature DNSSEC, ou créer une nouvelle clé gérée par le client.

   Lorsque vous fournissez ou créez une clé gérée par le client, plusieurs exigences s'appliquent. Pour plus d'informations, consultez [Utilisation des clés gérées par le client pour DNSSEC](dns-configuring-dnssec-cmk-requirements.md).

1. Saisissez l'alias d'une clé gérée par le client existante. Si vous souhaitez utiliser une nouvelle clé gérée par le client, saisissez un alias pour la clé gérée par le client et Route 53 en créera un pour vous.
**Note**  
Si vous choisissez que Route 53 crée une clé gérée par le client, sachez que des frais distincts s'appliquent pour chaque clé gérée par le client. Pour plus d'informations, consultez [Tarification d'AWS Key Management Service](https://aws.amazon.com/kms/pricing/).

1. Choisissez **Enable DNSSEC signing (Activer la signature DNSSEC)**.

------

**Une fois que vous avez activé la signature de zone, suivez les étapes ci-après** (que vous utilisiez la console ou la CLI) :

1. Assurez-vous que la signature de zone est effective.

   Si vous l'avez utilisé AWS CLI, vous pouvez utiliser l'identifiant d'opération indiqué dans la sortie de l'`EnableHostedZoneDNSSEC()`appel pour exécuter [get-change](https://docs.aws.amazon.com/cli/latest/reference/route53/get-change.html) ou [GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)pour vous assurer que tous les serveurs DNS Route 53 signent les réponses (status =`INSYNC`).

1. Attendez au moins la TTL maximale de la zone précédente.

   Attendez que les résolveurs vident tous les registres non signés de leur cache. Pour ce faire, vous devez attendre au moins la TTL maximale de la zone précédente. Dans la zone `example.com` ci-dessus, le temps d'attente serait de 1 jour.

1. Contrôlez les rapports des problèmes de clients.

   Une fois que vous avez activé la signature de zone, vos clients remarqueront peut-être des problèmes liés aux périphériques réseau et aux résolveurs. La période de surveillance recommandée est de 2 semaines.

   Voici des exemples de problèmes que vous pourriez constater :
   + Certains périphériques réseau peuvent limiter la taille de la réponse DNS à moins de 512 octets, ce qui est trop petit pour certaines réponses signées. Ces périphériques réseau doivent être reconfigurés pour autoriser des tailles plus grandes de réponses DNS.
   + Certains périphériques réseau effectuent une inspection approfondie des réponses DNS et suppriment certains registres incompréhensibles, comme ceux utilisés pour DNSSEC. Ces périphériques doivent être reconfigurés.
   + Les résolveurs de certains clients affirment qu'ils peuvent accepter une réponse UDP plus grande que celle prise en charge par leur réseau. Vous pouvez tester la capacité de votre réseau et configurer vos résolveurs de manière appropriée. Pour plus d'informations, consultez [Serveur de test de taille de réponse DNS](https://www.dns-oarc.net/oarc/services/replysizetest/).

**Annulation :** appelez [DisableHostedZoneDNSSEC puis annulez](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) les étapes. [Étape 1 : Préparer l'activation de la signature DNSSEC](#dns-configuring-dnssec-enable-signing-step-1)

## Étape 3 : Établir une chaîne d'approbation
<a name="dns-configuring-dnssec-chain-of-trust"></a>

Après avoir activé la signature DNSSEC pour une zone hébergée dans Route 53, établissez une chaîne d'approbation pour la zone hébergée pour terminer la configuration de votre signature DNSSEC. Pour ce faire, créez un registre Delegation Signer dans la zone hébergée *parent*, pour votre zone hébergée, à l'aide des informations fournies par Route 53. Selon l'emplacement dans lequel votre domaine est membre, ajoutez le registre à la zone hébergée parent dans Route 53 ou dans un autre bureau d'enregistrement de domaine.<a name="dns-configuring-dnssec-chain-of-trust-procedure"></a>

**Pour établir une chaîne d'approbation pour la signature DNSSEC**

1. Connectez-vous à la console Route 53 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

1. Dans le panneau de navigation, choisissez **Hosted zones (Zones hébergées)**, puis choisissez une zone hébergée pour laquelle vous souhaitez établir une chaîne d'approbation DNSSEC. *Vous devez d'abord activer la signature DNSSEC.*

1. Dans l'onglet **DNSSEC signing (Signature DNSSEC)**, sous **DNSSEC signing (Signature DNSSEC)**, choisissez **View information to create DS record (Afficher les informations pour créer un registre DS)**.
**Note**  
Si vous ne voyez pas **View information to create DS record (Afficher les informations pour créer un registre DS)** dans cette section, vous devez activer la signature DNSSEC avant d'établir la chaîne d'approbation. Choisissez **Enable DNSSEC signing (Activer la signature DNSSEC)** et effectuez les étapes, comme décrit dans [Étape 2 : Activer la signature DNSSEC et créer une clé KSK](#dns-configuring-dnssec-enable), puis revenez à ces étapes pour établir la chaîne d'approbation.

1. Sous **Establish a chain of trust (Établir une chaîne d'approbation)**, choisissez **Route 53 registrar (Bureau d'enregistrement Route 53)** ou **Another domain registrar (Autre bureau d'enregistrement de domaine)**, en fonction de l'emplacement dans lequel votre domaine est membre.

1. Utiliser les valeurs fournies à partir de l'étape 3 pour créer un registre DS pour la zone hébergée parent dans Route 53. Si votre domaine n'est pas hébergé sur Route 53, utilisez les valeurs fournies pour créer un registre DS sur le site Web de votre bureau d'enregistrement de domaines. 

   Établissez une chaîne de confiance pour la zone parent :
   + Si votre domaine est géré via Route 53, procédez comme suit :

     Assurez-vous de configurer l'algorithme de signature (ECDSAP256SHA256 et le type 13) et l'algorithme de synthèse (SHA-256 et type 2) corrects. 

     Si Route 53 est votre bureau d'enregistrement, procédez comme suit dans la console Route 53 :

     1. Notez les valeurs **Key type (Type de clé)**, **Signing algorithm (Algorithme de signature)** et **Public key (Clé publique)**. Dans le panneau de navigation, choisissez **Registered domains (Domaines membres)**.

     1. Sélectionnez un domaine, puis, dans l'onglet **Clés DNSSEC**, choisissez **Ajouter** une clé.

     1. Dans la boîte de dialogue **Manage DNSSEC keys (Gérer les clés DNSSEC)**, choisissez le **Key type (Type de clé)** et l'**Algorithm (Algorithme)** appropriés au **Route 53 registrar (Bureau d'enregistrement Route 53)** dans les menus déroulants.

     1. Copiez la **Public key (Clé publique)** pour le bureau d'enregistrement Route 53. Dans la boîte de dialogue **Manage DNSSEC keys (Gérer les clés DNSSEC)**, collez la valeur dans la zone **Public key (Clé publique)**.

     1. Choisissez **Add (Ajouter)**.

         Route 53 ajoute le registre DS à la zone parent à partir de la clé publique. Par exemple, si votre domaine est `example.com`, le registre DS est ajouté à la zone DNS .com.
   + Si votre domaine est géré sur un autre registre, suivez les instructions de la section **Autre bureau d'enregistrement de domaines**.

     Pour vous assurer que les étapes suivantes se déroulent correctement, présentez une TTL DS faible à la zone parent. Nous vous recommandons de définir la TTL DS sur 5 minutes (300 secondes) pour une récupération plus rapide si vous devez annuler vos modifications.
     + Établissez une chaîne de confiance pour la zone enfant :

       Si votre zone parent est administrée par un autre registre, contactez votre bureau d'enregistrement pour présenter le registre DS de votre zone. En règle générale, vous ne pourrez pas ajuster la TTL du registre DS.
     + Si votre zone parent est hébergée sur Route 53, contactez le propriétaire de la zone parent pour présenter le registre DS de votre zone. 

       Fournissez `$ds_record_value` au propriétaire de la zone parent. Vous pouvez l'obtenir en cliquant sur **Afficher les informations pour créer un enregistrement DS** dans la console et en copiant le champ d'**enregistrement DS**, ou en appelant l'API [GetDNSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetDNSSEC.html) et en récupérant la valeur du champ « » : DSRecord

       ```
       aws --region us-east-1 route53 get-dnssec 
                   --hosted-zone-id $hostedzone_id
       ```

       Le propriétaire de la zone parent peut insérer le registre via la console Route 53 ou la CLI.
       +  Pour insérer l'enregistrement DS à l'aide de AWS CLI, le propriétaire de la zone parent crée et nomme un fichier JSON similaire à l'exemple suivant. Le propriétaire de la zone parent peut nommer le fichier de manière semblable : `inserting_ds.json`. 

         ```
         {
             "HostedZoneId": "$parent_zone_id",
             "ChangeBatch": {
                 "Comment": "Inserting DS for zone $zone_name",
                 "Changes": [
                     {
                         "Action": "UPSERT",
                         "ResourceRecordSet": {
                             "Name": "$zone_name",
                             "Type": "DS",
                             "TTL": 300,
                             "ResourceRecords": [
                                 {
                                     "Value": "$ds_record_value"
                                 }
                             ]
                         }
                     }
                 ]
             }
         }
         ```

         Ensuite, exécutez la commande suivante :

         ```
         aws --region us-east-1 route53 change-resource-record-sets 
                     --cli-input-json file://inserting_ds.json
         ```
       + Pour insérer le registre DS à l'aide de la console, 

         Ouvrez la console Route 53 à l'adresse [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

         Dans le panneau de navigation, choisissez **Hosted zones (Zones hébergées)**, le nom de votre zone hébergée, puis le bouton **Create record (Créer un registre)**. Assurez-vous de choisir le routage simple pour la **Routing policy(Politique de routage)**.

         Dans le champ **Nom de l'enregistrement**, entrez le même nom que le`$zone_name`, sélectionnez DS dans le menu déroulant **Type d'enregistrement**, entrez la valeur de `$ds_record_value` dans le champ **Valeur**, puis choisissez **Créer des enregistrements**.

   **Restauration :** supprimez le DS de la zone parent, attendez la TTL DS, puis annulez les étapes d'établissement de l'approbation. Si la zone parent est hébergée sur Route 53, le propriétaire de la zone parent peut passer `Action` de `UPSERT` à `DELETE` dans le fichier JSON, puis réexécuter l'exemple de CLI ci-dessus.

1. Attendez que les mises à jour se propagent, en fonction de la TTL pour vos registres de domaine.

   Si la zone parent est sur le service DNS Route 53, le propriétaire de la zone parent peut confirmer la propagation complète via l'[GetChange](https://docs.aws.amazon.com/Route53/latest/APIReference/API_GetChange.html)API.

   Sinon, vous pouvez rechercher périodiquement le registre DS dans la zone parent, puis attendre ensuite 10 minutes de plus pour augmenter la probabilité de propagation complète de l'insertion du registre DS. Notez que certains bureaux d'enregistrement ont planifié l'insertion de DS, par exemple une fois par jour.

Lorsque vous présentez le registre Delegation Signer (DS) dans la zone parent, les résolveurs validés qui ont récupéré le DS commenceront à valider les réponses à partir de la zone.

Pour vous assurer que les étapes d'établissement de l'approbation se déroulent correctement, renseignez les informations suivantes :

1. Trouvez la TTL NS maximale.

   2 jeux de registres NS sont associés à vos zones :
   + Registre NS de délégation : il s'agit du registre NS de votre zone détenu par la zone parent. Pour le trouver, exécutez les commandes Unix suivantes (si votre zone est exemple.com, la zone parent est com) :

     `dig -t NS com`

     Choisissez l'un des registres NS, puis exécutez les éléments suivants :

     `dig @one of the NS records of your parent zone -t NS example.com`

     Par exemple :

     `dig @b.gtld-servers.net. -t NS example.com`
   + Registre NS dans la zone : il s'agit du registre NS de votre zone. Pour le trouver, exécutez la commande Unix suivante :

     `dig @one of the NS records of your zone -t NS example.com`

     Par exemple :

     `dig @ns-0000.awsdns-00.co.uk. -t NS example.com`

     Notez la TTL maximale pour les deux zones.

1. Attendez la TTL NS maximale.

   Avant l'insertion de DS, les résolveurs reçoivent une réponse signée, mais ne valident pas la signature. Lorsque le registre DS est inséré, les résolveurs ne le verront pas avant l'expiration du registre NS de la zone. Lorsque les résolveurs extraient à nouveau le registre NS, le registre DS est également renvoyé.

   Si votre client exécute un résolveur sur un hôte dont l'horloge n'est pas synchronisée, assurez-vous que l'horloge n'avance pas ni ne recule de 1 heure de l'heure correcte.

   Une fois cette étape terminée, tous les résolveurs compatibles avec DNSSEC valideront votre zone.

1. Observez la résolution des noms.

   Vous devez noter qu'il n'existe aucun problème avec les résolveurs qui valident votre zone. Assurez-vous également de prendre en compte le temps nécessaire à vos clients pour vous signaler les problèmes.

   Nous vous recommandons d'effectuer la surveillance pendant 2 semaines au maximum.

1. (Facultatif) Allongez le DS et le NS. TTLs

   Si la configuration vous convient, vous pouvez enregistrer les modifications de TTL et de SOA que vous avez apportées. Notez que Route 53 limite la TTL à une semaine pour les zones signées. Pour de plus amples informations, veuillez consulter [Configuration de la signature DNSSEC dans Amazon Route 53](dns-configuring-dnssec.md).

   Si vous pouvez modifier la TTL DS, nous vous recommandons de la définir sur 1 heure.