本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # DNSSEC 签名的问题排查 本节中的信息可以帮助您解决 DNSSEC 签名问题,包括启用、禁用和密钥签名密钥 ()。KSKs 启用 DNSSEC 在开始启用 DNSSEC 签名之前,请确保已阅读 [在 Amazon Route 53 中配置 DNSSEC 签名](dns-configuring-dnssec.md) 中的先决条件。 禁用 DNSSEC 为了安全地禁用 DNSSEC,Route 53 将检查目标区域是否在信任链中。它检查目标区域的父区域是否有目标区域的任何 NS 记录和 DS 记录。如果目标区域无法公开解析,例如,在查询 NS 和 DS 时获得 SERVFAIL 响应,则 Route 53 无法确定禁用 DNSSEC 是否安全。您可以联系父区域来解决这些问题,并稍后重试禁用 DNSSEC。 KSK 状态为 **Action needed**(需要操作) 当 Route 53 DNSSEC 无法访问相应的(由于权限更改或`ACTION_NEEDED`删除)时,KSK 可以将其[KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html)状态更改为 “**需要操作**” AWS KMS key (或 AWS KMS key 处于状态)。 如果 KSK 的状态是 **Action needed**(需要操作),这意味着最终会对使用 DNSSEC 验证解析程序的客户端造成区域中断,并且您必须迅速采取行动,防止生产区域变得无法解析。 要纠正此问题,请确保您的 KSK 所基于的客户托管式密钥已启用且具有正确的权限。有关所需权限的更多信息,请参阅 [DNSSEC 签名所需的 Route 53 客户托管密钥权限](access-control-managing-permissions.md#KMS-key-policy-for-DNSSEC)。 修复 KSK 后,使用控制台或(如所述)再次将其激活。 AWS CLI[步骤 2:启用 DNSSEC 签名并创建 KSK](dns-configuring-dnssec-enable-signing.md#dns-configuring-dnssec-enable) 为了防止将来出现此问题,请考虑按照中的建议添加一个 Amazon CloudWatch 指标来跟踪 KSK 的状态。[在 Amazon Route 53 中配置 DNSSEC 签名](dns-configuring-dnssec.md) KSK 状态为 **Internal failure**(内部故障) 当 KSK 的状态为**内部故障**(或处于[KeySigningKey](https://docs.aws.amazon.com/Route53/latest/APIReference/API_KeySigningKey.html)状态)时,`INTERNAL_FAILURE`在问题得到解决之前,您无法使用任何其他 DNSSEC 实体。在使用 DNSSEC 签名(包括使用此 KSK 或其它 KSK)之前,您必须采取措施。 要更正问题,请重试激活或停用 KSK。 要在使用时更正问题 APIs,请尝试启用签名 ([EnableHostedZoneDNSSEC) 或禁用签名 ([DisableHostedZoneD](https://docs.aws.amazon.com/Route53/latest/APIReference/API_DisableHostedZoneDNSSEC.html) NSSEC](https://docs.aws.amazon.com/Route53/latest/APIReference/API_EnableHostedZoneDNSSEC.html))。 重要的是要及时纠正 **Internal failure**(内部故障)这一问题。在解决问题之前,您无法对托管区域进行任何其它更改,除了为修复 **Internal failure**(内部故障)所进行的操作。