DNSSEC-Konfiguration verwalten

Auf dieser Seite wird beschrieben, wie Sie DNSSEC (Domain Name System Security Extensions) aktivieren und deaktivieren, die DNSSEC-Bereitstellung überprüfen und Zonen zu und von Cloud DNS migrieren.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

DNSSEC für vorhandene verwaltete Zonen aktivieren

Informationen zum Aktivieren von DNSSEC für vorhandene verwaltete Zonen finden Sie in den folgenden Schritten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.

    Cloud DNS aufrufen

  2. Klicken Sie auf die DNSSEC-Einstellung für die Zone und wählen Sie unter DNSSEC die Option Ein aus.

    DNSSEC-Zonenmenü aktivieren

  3. Klicken Sie im Bestätigungsdialogfeld auf Aktivieren.

    DNSSEC-Bestätigungsdialog aktivieren

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state on

Ersetzen Sie EXAMPLE_ZONE durch die Zonen-ID.

Python

Führen Sie den folgenden Befehl aus:

def enable_dnssec(project_id, name, description=None):
client = dns.Client(project=project_id)
zone = client.zone(name=name)
zone.update(dnssec='on', description=description)

DNSSEC beim Erstellen von Zonen aktivieren

Informationen zum Aktivieren von DNSSEC beim Erstellen einer Zone finden Sie in den folgenden Schritten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS auf.

    Cloud DNS aufrufen

  2. Klicken Sie auf Zone erstellen.

  3. Geben Sie im Feld Zonenname einen Namen ein.

  4. Geben Sie im Feld DNS-Name einen Namen ein.

  5. Wählen Sie unter DNSSEC die Option An aus.

  6. Optional: Fügen Sie eine Beschreibung hinzu.

  7. Klicken Sie auf Erstellen.

    DNSSEC-signierte Zone erstellen

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" \
    --dns-name myzone.example.com \
    --dnssec-state on

Ersetzen Sie EXAMPLE_ZONE durch die Zonen-ID.

Python

Führen Sie den folgenden Befehl aus:

def create_signed_zone(project_id, name, dns_name, description):
client = dns.Client(project=project_id)
zone = client.zone(
    name,  # examplezonename
    dns_name=dns_name,  # example.com.
    description=description,
    dnssec='on')
zone.create()
return zone

DNSSEC-Bereitstellung prüfen

Achten Sie darauf, dass Sie den richtigen DS-Eintrag in der übergeordneten Zone platziert haben, um die korrekte Bereitstellung der DNSSEC-aktivierten Zone zu prüfen. Die DNSSEC-Auflösung kann fehlschlagen, wenn einer der folgenden Fälle eintritt:

  • Die Konfiguration ist falsch oder Sie haben sie falsch eingegeben.
  • Sie haben den falschen DS-Eintrag in der übergeordneten Zone platziert.

Verwenden Sie die folgenden Tools, um zu bestätigen, dass Sie die richtige Konfiguration haben, und den DS-Datensatz mit der richtigen Konfiguration im übergeordneten Bereich zu prüfen:

Mithilfe von Verisign DNSSEC-Debugger und Zonenmaster-Websites können Sie Ihre DNSSEC-Konfiguration validieren, bevor Sie Ihren Registrator mit Ihren Cloud DNS-Nameservern oder Ihrem DS-Eintrag aktualisieren. Eine Domain, die ordnungsgemäß für DNSSEC konfiguriert wurde, ist example.com und kann mit DNSViz aufgerufen werden.

Empfohlene TTL-Einstellungen für DNSSEC-signierte Zonen

TTL ist die Gültigkeitsdauer (in Sekunden) einer DNSSEC-signierten Zone.

Der Ablauf einer TTL richtet sich danach, wann ein Nameserver eine Antwort auf eine Abfrage sendet. DNSSEC-Signaturen hingegen laufen zu einer festgelegten Zeit ab. TTLs, die länger als die Lebensdauer einer Signatur sind, können dazu führen, dass viele Clients gleichzeitig Datensätze abrufen, wenn die DNSSEC-Signatur abläuft. Kurze TTLs können auch Probleme bei DNSSEC-validierenden Resolvern verursachen.

Weitere Empfehlungen zur TTL-Auswahl finden Sie in RFC 6781 Abschnitt 4.4.1 Zeitfaktoren und RFC 6781 Abbildung 11.

Beachten Sie beim Lesen von RFC 6781, Abschnitt 4.4.1, dass viele Signaturzeitparameter von Cloud DNS korrigiert werden und nicht geändert werden können. Derzeit können Sie die folgenden Elemente nicht ändern. Dies kann jederzeit ohne vorherige Ankündigung geändert werden.

  • Inception-Offset = 1 Tag
  • Gültigkeitsdauer = 21 Tage
  • Frist für Neuanmeldung = 3 Tage
  • Aktualisierungsdauer = 18 Tage
  • Jitter-Intervall = ½ Tag (oder ± 6 Stunden)
  • Mindestgültigkeit für Signatur = Aktualisierungsdauer - Jitter = 17,75 Tage = 1533600

Verwenden Sie niemals eine TTL, die länger als die Gültigkeit der Signatur ist.

DNSSEC für verwaltete Zonen deaktivieren

Nachdem Sie DS-Einträge entfernt haben und diese im Cache abgelaufen sind, können Sie DNSSEC mit dem folgenden gcloud-Befehl deaktivieren:

gcloud dns managed-zones update EXAMPLE_ZONE \
    --dnssec-state off

Ersetzen Sie EXAMPLE_ZONE durch die Zonen-ID.

DNSSEC, Domainübertragungen und Zonenmigration

Bei DNSSEC-aktivierten Zonen, für die DNSSEC bei der Domainregistrierung aktiviert wurde, lesen Sie die Schritte in den folgenden Abschnitten, um einen ordnungsgemäßen Betrieb der Domain zu gewährleisten:

  • wenn sie an einen anderen Registrator übertragen wird (bzw. die Inhaberschaft übertragen wird).

  • wenn die DNS-Zone von Cloud DNS zu einem anderen DNS-Betreiber migriert wird oder umgekehrt.

Cloud DNS verwendet für diese Migrationen als technischen Ansatz, die in RFC 6781 Abschnitt 4.1.2 Wichtige Over-the-Key-Rollover aufgeführte KSK-Double-DS-Rollover-Variante.

Eine informative Präsentation zu DNSSEC und zur Domainübertragung und zu möglichen Fehlern finden Sie unter DNS/DNSSEC und Domainübertragungen: Sind sie kompatibel?

DNSSEC-signierte Zonen zu Cloud DNS migrieren

Wenn Sie eine DNSSEC-signierte Zone zu Cloud DNS migrieren, achten Sie darauf, dass Cloud DNS den bereits verwendeten KSK-Algorithmus unterstützt. Ist dies nicht der Fall, deaktivieren Sie DNSSEC bei Ihrem Domain-Registrator, bevor Sie die Zone migrieren, und aktualisieren Sie die Nameserver-Einträge beim Registrator für die Verwendung der Cloud DNS-Nameserver.

Wenn die vorhandenen KSK- und ZSK-Algorithmen in Cloud DNS unterstützt werden, können Sie so die Migration mit aktiviertem DNSSEC durchführen:

  1. Erstellen Sie eine neue DNSSEC-signierte Zone mit dem DNSSEC-Status Transfer. Mit dem Status Transfer können Sie DNSKEYs manuell in die Zone kopieren.

  2. Exportieren Sie Ihre Zonendateien und importieren Sie sie dann in die neue Zone.

  3. Fügen Sie die DNSKEYs (sowohl KSK als auch ZSK) aus den Zonendateien der alten Zone hinzu.

    Sie können auch mit dem Befehl dig die anderen Nameserver nach DNSKEY-Einträgen abfragen.

  4. Fügen Sie den DS-Eintrag für die neue Zone zu Ihrem Registrator hinzu.

  5. Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Cloud DNS-Nameserver für die neue Zone.

DNSSEC-Übertragungsstatus verlassen

Warten Sie vor dem Verlassen des DNSSEC-Übertragungsstatus, bis die Nameserver (verweist auf NS und DS) an Cloud DNS an alle autoritativen Registry-Nameserver weitergegeben wurden. Achten Sie außerdem darauf, dass die TTL für alle DNS-SEC-Einträge der alten Nameserver abgelaufen ist (nicht nur für die NS- und DS-Einträge der übergeordneten Zone, sondern auch für DNSKEY, NSEC/NSEC3 und RRSIG-Datensätze aus der alten Zone). Entfernen Sie die manuell hinzugefügten Übertragungs-DNSKEY-Einträge.

Sie können dann den DNSSEC-Status der Zone von Transfer in On ändern. Durch diese Änderung wird die automatische ZSK-Rotation aus der Zone aktiviert. Im Allgemeinen können Ihre Zonen den DNSSEC-Übertragungsstatus nach einer Woche sicher verlassen und sollten nicht länger als ein oder zwei Monate im DNSSEC-Übertragungsstatus verbleiben.

Sie müssen außerdem von Ihrem Registrator den DS-Eintrag des alten DNS-Zonenbetreibers entfernen.

DNSSEC-signierte Zonen von Cloud DNS migrieren

Bevor Sie eine DNSSEC-signierte Zone zu einem anderen DNS-Operator migrieren, müssen Sie prüfen, ob die Zone und der Operator den verwendeten KSK-Algorithmus unterstützen. Deaktivieren Sie andernfalls DNSSEC bei Ihrem Domain-Registrator, bevor Sie die Zone migrieren, und aktualisieren Sie die Nameserver-Einträge beim Registrator für die Verwendung der neuen Nameserver.

Wenn die gleichen KSK- und vorzugsweise auch die gleichen ZSK-Algorithmen unterstützt werden und eine Möglichkeit zum Kopieren vorhandener DNSKEYs in die neue Zone besteht, können Sie die Migration ausführen, damit DNSSEC aktiviert bleibt:

  1. Ändern Sie den DNSSEC-Status von On zu Transfer. Damit wird die ZSK-Rotation gestoppt.

  2. Exportieren Sie Ihre Zonendatei (einschließlich DNSKEYs) und importieren Sie sie in die neue Zone.

  3. Wenn der Import von DNSKEYs (sowohl KSK als auch ZSK) nicht funktioniert hat, fügen Sie sie manuell hinzu.

    Rufen Sie dafür mit dem Befehl dig die DNSKEY-Einträge von den Cloud DNS-Nameservern für Ihre Zone ab:

    dig DNSKEY myzone.example.com. @ns-cloud-e1.googledomains.com.
    
  4. Aktivieren Sie dann die DNSSEC-Signierung für die neue Zone und fügen Sie beim Registrator einen DS-Eintrag für den neuen KSK hinzu.

    Wenn Ihr Registrator mehrere DS-Einträge nicht unterstützt, schließen Sie diese Aufgabe in Schritt 6 ab.

  5. Optional: Importieren Sie die neuen DNSKEYs für die neue Zone in Cloud DNS.

    Sie können hierfür einen dig-Befehl wie in Schritt 3 verwenden, müssen aber die DNSKEYs, die Sie aus Cloud DNS exportiert haben, überspringen.

  6. Wenn Sie den neuen DNS-Operator verwenden möchten, aktualisieren Sie die Nameserver-Einträge beim Registrator.

    Wenn Sie DS-Einträge bei Ihrem Registrator nur ersetzen können, erledigen Sie das zu diesem Zeitpunkt.

Wenn der andere DNS-Betreiber einen Prozess für die Migration einer DNSSEC-signierten Zone hat (z. B. Dyn), müssen Sie nach diesem Schritt die Schritte parallel ausführen.

Nachdem Sie alle erforderlichen Schritte für den anderen DNS-Operator abgeschlossen haben, gehen Sie so vor:

  1. Aktualisieren Sie den DNSSEC-Status auf Off oder löschen Sie die Zone in Cloud DNS, um DNSSEC zu deaktivieren.

  2. Entfernen Sie den DS-Eintrag für die Cloud DNS-Zone von Ihrem Registrator.

Nächste Schritte

  • Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
  • Informationen zum Erstellen, Aktualisieren, Auflisten und Löschen verwalteter Zonen finden Sie unter Zonen verwalten.
  • Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können finden Sie unter Fehlerbehebung.
  • Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.