Verifica il dominio con un certificato X.509 Verifica il dominio con un record TXT DNS

Verifica il controllo del dominio

Prima di portare un intervallo di indirizzi IP in AWS, devi utilizzare una delle opzioni descritte in questa sezione per verificare di avere sotto controllo lo spazio degli indirizzi IP. Successivamente, quando porti l'intervallo di indirizzi IP in AWS, AWS verifica che tu abbia il controllo necessario. Questa convalida garantisce che i clienti non possano utilizzare intervalli IP appartenenti ad altri, prevenendo problemi di routing e sicurezza.

Esistono due metodi che è possibile utilizzare per verificare il controllo dell'intervallo:

Certificato X.509: se l'intervallo di indirizzi IP è registrato in un registro Internet che supporta RDAP (come ARIN, RIPE e APNIC), è possibile utilizzare un certificato X.509 per verificare la proprietà del dominio.
Record TXT DNS: indipendentemente dal fatto che il registro Internet supporti RDAP, è possibile utilizzare un token di verifica e un record TXT DNS per verificare la proprietà del dominio.

Indice

Verifica il dominio con un certificato X.509
Verifica il dominio con un record TXT DNS

Verifica il dominio con un certificato X.509

Questa sezione descrive come verificare il dominio con un certificato X.509 prima di trasferire l'intervallo di indirizzi IP su IPAM.

Per verificare il dominio con un certificato X.509

Completa i tre passaggi riportati in Prerequisiti per BYOIP in Amazon EC2 nella Guida per l’utente di Amazon EC2.

Nota
Quando si creano i ROA, per i CIDR IPv4 è necessario impostare la lunghezza massima di un prefisso di indirizzo IP su /24. Per i CIDR IPv6, se vengono aggiunti a un pool pubblicizzabile, la lunghezza massima di un prefisso dell'indirizzo IP deve essere /48. Ciò garantisce la piena flessibilità per dividere il tuo indirizzo IP pubblico tra Regioni AWS. IPAM applica la lunghezza massima impostata. La lunghezza massima è il più piccolo avviso di lunghezza del prefisso che puoi consentire per questo percorso. Ad esempio, se porti un blocco CIDR /20 su AWS impostando la lunghezza massima su /24, puoi dividere il blocco più grande come preferisci (come ad esempio con /21, /22 oppure /24) e distribuire i blocchi CIDR più piccoli in qualsiasi regione. Se hai impostato la lunghezza massima su /23, non puoi dividere e pubblicizzare un /24 dal blocco più grande. Inoltre, tieni presente che /24 è il blocco IPv4 più piccolo e che /48 è il blocco IPv6 più piccolo che puoi pubblicizzare da una Regione a Internet.
Completa i passaggi 1 e 2 solo nella sezione Esegui il provisioning di un intervallo di indirizzi pubblicizzabile pubblicamente in AWS nella Guida per l'utente di Amazon EC2 e non eseguire ancora il provisioning dell'intervallo di indirizzi (passaggio 3). Salva text_message e signed_message. Saranno necessari più avanti in questa processo.

Dopo aver completato questi passaggi, continua con Porta un IP su IPAM utilizzando sia la Console di gestione AWS che AWS CLI o Porta un CIDR IP su IPAM usando solo AWS CLI.

Verifica il dominio con un record TXT DNS

Completa i passaggi in questa sezione per verificare il dominio con un record TXT DNS prima di trasferire l'intervallo di indirizzi IP su IPAM.

Puoi utilizzare i record TXT DNS per verificare di avere il controllo di un intervallo di indirizzi IP pubblico. Un record TXT DNS è un tipo di record DNS che contiene informazioni sul nome di dominio. Questa funzionalità consente di importare gli indirizzi IP registrati con qualsiasi registro Internet (come JPNIC, LACNIC e AFRINIC), non solo quelli che supportano le convalide basate su record RDAP (Registration Data Access Protocol), come ARIN, RIPE e APNIC.

Importante

Prima di continuare, è necessario aver già creato un IPAM nel piano gratuito o avanzato. Se non disponi di un IPAM, completa prima Crea un IPAM.

Indice

Passaggio 1: creare un ROA, se non ne hai già uno
Fase 2: Crea un token di verifica
Fase 3. Configura la zona DNS e il record TXT

Passaggio 1: creare un ROA, se non ne hai già uno

Devi disporre di un ROA (Route Origin Authorization) nel tuo RIR (Regional Internet Registry) per gli intervalli di indirizzi IP che desideri pubblicizzare. Se non hai un ROA nel RIR, completa 3. Crea un oggetto ROA nel tuo RIR nella Guida per l'utente di Amazon EC2. Ignora gli altri passaggi.

L'intervallo di indirizzi IPv4 più specifico che puoi portare è /24. L'intervallo di indirizzi IPv6 più specifico che puoi portare è /48 per i CIDR pubblicizzabili pubblicamente e /60 per i CIDR non pubblicizzabili pubblicamente.

Fase 2: Crea un token di verifica

Un token di verifica è un valore generato da AWS in modo casuale che puoi utilizzare per dimostrare il controllo di una risorsa esterna. Ad esempio, puoi utilizzare un token di verifica per dimostrare di controllare un intervallo di indirizzi IP pubblico quando porti un intervallo di indirizzi IP in AWS (BYOIP).

Completa i passaggi di questa sezione per creare un token di verifica, necessario in un passaggio successivo di questo tutorial per portare l'intervallo di indirizzi IP su IPAM. Utilizza le istruzioni riportate di seguito per la console AWS o per la AWS CLI.

AWS Management Console

Per creare un token di verifica

Apri la console IPAM all'indirizzo https://console.aws.amazon.com/ipam/.
Nella Console di gestione AWS, scegli la regione AWS in cui hai creato l'IPAM.
Nel riquadro di navigazione a sinistra, scegli IPAM.
Scegli l'IPAM e poi seleziona la scheda Token di verifica.
Seleziona Crea token di verifica.
Dopo aver creato il token, lascia aperta questa scheda del browser. Avrai bisogno del Valore del token e del Nome del token nel passaggio successivo e poi successivamente dell'ID token.

Tieni presente quanto segue:

Dopo aver creato un token di verifica, puoi riutilizzarlo per più CIDR BYOIP forniti dall'IPAM entro 72 ore. Per eseguire il provisioning di altri CIDR dopo 72 ore, hai bisogno di un nuovo token.
Puoi creare fino a 100 token. Se raggiungi il limite, elimina i token scaduti.

Command line

Richiedi che IPAM crei un token di verifica da utilizzare per la configurazione DNS con create-ipam-external-resource-verification-token:


aws ec2 create-ipam-external-resource-verification-token --ipam-id ipam-id

Questo passaggio restituirà un IpamExternalResourceVerificationTokenId e un token con TokenName e TokenValue, oltre alla scadenza (NotAfter) del token.


{ 
    "IpamExternalResourceVerificationToken": { 
        "IpamExternalResourceVerificationTokenId": "ipam-ext-res-ver-token-0309ce7f67a768cf0", 
        "IpamId": "ipam-0f9e8725ac3ae5754", 
        "TokenValue": "a34597c3-5317-4238-9ce7-50da5b6e6dc8", 
        "TokenName": "86950620", 
        "NotAfter": "2024-05-19T14:28:15.927000+00:00", 
        "Status": "valid", 
        "Tags": [], 
        "State": "create-in-progress" }
}

Tieni presente quanto segue:

Dopo aver creato un token di verifica, puoi riutilizzarlo per più CIDR BYOIP forniti dall'IPAM entro 72 ore. Per eseguire il provisioning di altri CIDR dopo 72 ore, hai bisogno di un nuovo token.
Puoi visualizzare i tuoi token utilizzando describe-ipam-external-resource-verification-tokens.
Puoi creare fino a 100 token. Se raggiungi il limite, puoi eliminare quelli scaduti utilizzando delete-ipam-external-resource-verification-token.

Fase 3. Configura la zona DNS e il record TXT

Completa la procedura descritta in questa sezione per configurare la zona DNS e il record TXT. Se non utilizzi Route 53 come DNS, segui la documentazione fornita dal provider DNS per configurare una zona DNS e aggiungere un record TXT.

Se utilizzi Route 53, tieni presente quanto segue:

Per creare una zona di ricerca inversa nella console AWS, consulta Creazione di una zona ospitata pubblica nella Guida per sviluppatori di Amazon Route 53 o utilizza il comando della AWS CLI create-hosted-zone.
Per creare un record nella zona di ricerca inversa della console AWS, consulta Creazione di record utilizzando la console di Amazon Route 53 nella Guida per sviluppatori di Amazon Route 53 o utilizza il comando AWS CLI change-resource-record-sets.
Dopo aver creato la zona ospitata, delegala dal RIR ai server dei nomi forniti da Route 53 (ad esempio LACNIC o APNIC).

Sia che utilizzi un altro provider DNS o Route 53, tieni presente quanto segue durante la configurazione del record TXT:

Il nome del record deve essere il nome del token.
Il tipo di record deve essere TXT.
Il valore ResourceRecord deve essere il valore del token.

Esempio:

Nome: 86950620.113.0.203.in-addr.arpa
Tipo: TXT
Valore ResourceRecords: a34597c3-5317-4238-9ce7-50da5b6e6dc8

Dove:

86950620 è il nome del token di verifica.
113.0.203.in-addr.arpa è il nome della zona di ricerca inversa.
TXT è il tipo di record.
a34597c3-5317-4238-9ce7-50da5b6e6dc8 è il valore del token di verifica.

Nota

A seconda della dimensione del prefisso da trasferire a IPAM con BYOIP, è necessario creare uno o più record di autenticazione nel DNS. Questi record di autenticazione sono del tipo di record TXT e devono essere collocati nella zona inversa del prefisso stesso o del prefisso principale.

Per IPv4, i record di autenticazione devono essere allineati agli intervalli in corrispondenza del limite di ottetti che costituiscono il prefisso.
- Esempi
- Per 198.18.123.0/24, che è già allineato al limite di un ottetto, è necessario creare un singolo record di autenticazione su:
  - token-name.123.18.198.in-addr.arpa. IN TXT “token-value”
- Per 198.18.12.0/22, che non è allineato al limite dell'ottetto, è necessario creare quattro record di autenticazione. Questi record devono coprire le sottoreti 198.18.12.0/24, 198.18.13.0/24, 198.18.14.0/24 e 198.18.15.0/24 che sono allineate al limite di un ottetto. Le voci DNS corrispondenti devono essere:
  - token-name.12.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.13.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.14.18.198.in-addr.arpa. IN TXT “token-value”
  - token-name.15.18.198.in-addr.arpa. IN TXT “token-value”
- Per 198.18.0.0/16, che è già allineato al limite di un ottetto, è necessario creare un singolo record di autenticazione:
  - token-name.18.198.in-addr.arpa. IN TXT “token-value”
Per IPv6, i record di autenticazione devono essere allineati agli intervalli in corrispondenza del limite di nibble che costituiscono il prefisso. I valori nibble validi sono ad esempio 32, 36, 40, 44, 48, 52, 56 e 60.
- Esempi
  - Per 2001:0db8::/40, che è già allineato al limite di nibble, è necessario creare un singolo record di autenticazione:
    
    token-name.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
  - Per 2001:0db8:80::/42, che non è allineato al limite di nibble, è necessario creare quattro record di autenticazione. Questi record devono coprire le sottoreti 2001:db8:80::/44, 2001:db8:90::/44, 2001:db8:a0::/44 e 2001:db8:b0::/44 che sono allineate al limite di un nibble. Le voci DNS corrispondenti devono essere:
    
    token-name.8.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.9.0.0.8.b.d.0.1.0.0.2.ip6.arpa TXT “token-value”
    
    token-name.a.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.b.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
  - Per l'intervallo non pubblicizzato 2001:db8:0:1000::/54, che non è allineato al limite di un nibble, è necessario creare quattro record di autenticazione. Questi record devono coprire le sottoreti 2001:db8:0:1000::/56, 2001:db8:0:1100::/56, 2001:db8:0:1200::/56 e 2001:db8:0:1300::/56 che sono allineate sul limite di un nibble. Le voci DNS corrispondenti devono essere:
    
    token-name.0.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.1.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.2.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
    
    token-name.3.1.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa IN TXT “token-value”
- Per convalidare il numero corretto di numeri esadecimali tra token-name e la stringa “ip6.arpa”, moltiplica il numero per quattro. Il risultato deve corrispondere alla lunghezza del prefisso. Ad esempio, per un prefisso /56 dovresti avere 14 cifre esadecimali.

Dopo aver completato questi passaggi, continua con Porta un IP su IPAM utilizzando sia la Console di gestione AWS che AWS CLI o Porta un CIDR IP su IPAM usando solo AWS CLI.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Trasferisci i tuoi indirizzi IP su IPAM

BYOIP con console e CLI AWS