2025年AWS认证Route53DNSSEC安全扩展配置专题试卷及解析.pdfVIP

2025年AWS认证ROUTE53DNSSEC安全扩展配置专题试卷及解析1

2025年AWS认证Route53DNSSEC安全扩展配置专题

试卷及解析

2025年AWS认证Route53DNSSEC安全扩展配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSRoute53中启用DNSSEC时，必须首先执行哪个步骤？

A、创建托管区域

B、生成KSK（密钥签名密钥）

C、配置DNSSEC签名

D、上传DS记录到注册商

【答案】B

【解析】正确答案是B。启用DNSSEC的第一步是生成KSK（密钥签名密钥），这

是整个DNSSEC配置的基础。A选项创建托管区域是Route53的基本操作，但不是

DNSSEC特有的第一步。C选项配置DNSSEC签名是在生成密钥之后的步骤。D选项

上传DS记录是最后步骤。知识点：DNSSEC配置流程。易错点：容易混淆KSK生成

和DNSSEC签名的顺序。

2、Route53DNSSEC中的ZSK（区域签名密钥）主要用于什么？

A、签名区域文件

B、验证KSK的有效性

C、加密DNS查询

D、管理DS记录

【答案】A

【解析】正确答案是A。ZSK用于签名区域文件中的所有资源记录，确保数据完

整性。B选项验证KSK有效性是KSK自身的功能。C选项加密DNS查询是DNS

overTLS的功能，与DNSSEC无关。D选项管理DS记录是注册商的工作。知识点：

DNSSEC密钥类型。易错点：容易混淆KSK和ZSK的功能。

3、在Route53中，DNSSEC签名后的记录TTL值会怎样变化？

A、保持不变

B、自动增加

C、自动减少

D、变为0

【答案】A

【解析】正确答案是A。DNSSEC签名不会改变原始记录的TTL值，只是增加了

RRSIG记录。B和C选项都是错误的，DNSSEC不会修改TTL。D选项变为0会导

2025年AWS认证ROUTE53DNSSEC安全扩展配置专题试卷及解析2

致记录立即过期，这是不合理的。知识点：DNSSEC对DNS记录的影响。易错点：容

易误以为签名会改变TTL值。

4、Route53DNSSEC中的DS记录包含什么信息？

A、公钥

B、私钥

C、密钥标识符和哈希值

D、签名算法

【答案】C

【解析】正确答案是C。DS记录包含密钥标识符、算法类型和公钥的哈希值，用于

建立信任链。A选项公钥是DNSKEY记录的内容。B选项私钥永远不会公开。D选项

签名算法只是DS记录的一部分。知识点：DNSSEC记录类型。易错点：容易混淆DS

记录和DNSKEY记录的内容。

5、在Route53中启用DNSSEC后，如果KSK轮换失败，最可能导致什么问题？

A、DNS查询超时

B、DNSSEC验证失败

C、记录无法解析

D、TTL值异常

【答案】B

【解析】正确答案是B。KSK轮换失败会导致验证链断裂，造成DNSSEC验证失

败。A选项DNS查询超时通常与网络问题相关。C选项记录无法解析是更严重的情

况，但不是KSK轮换失败的直接结果。D选项TTL值异常与KSK轮换无关。知识

点：DNSSEC密钥管理。易错点：容易忽略KSK轮换对验证链的影响。

6、Route53DNSSEC支持哪些签名算法？

A、仅RSA/SHA256

B、RSA/SHA256和ECDSA

C、仅ECDSA

D、所有算法

【答案】B

【解析】正确答案是B。Route53DNSSEC支持RSA/SHA256和ECDSA算法。A

选项过于局限。C选项同样不