DNSSEC-Konfiguration verwalten

DNSSEC für verwaltete Zonen aktivieren

DNSSEC lässt sich ganz einfach für eine vorhandene verwaltete Zone in der Google Cloud Console aktivieren. Sie müssen dazu nur auf die DNSSEC-Einstellung für die Zone klicken und im Pop-up-Menü "On" (Ein) auswählen:

DNSSEC-Zonen-Pop-up-Fenster aktivieren

Klicken Sie im angezeigten Bestätigungsdialogfeld auf die Schaltfläche Enable (Aktivieren).

DNSSEC-Bestätigungsdialogfeld aktivieren

Sie können DNSSEC auch für vorhandene verwaltete Zonen mit dem gcloud-Befehlszeilentool oder mit der API aktivieren:

gcloud

gcloud dns managed-zones update EXAMPLE_ZONE --dnssec-state on

Ersetzen Sie EXAMPLE_ZONE in der Befehlszeile oben durch die tatsächliche Zonen-ID.

Python

def enable_dnssec(project_id, name, description=None):
client = dns.Client(project=project_id)
zone = client.zone(name=name)
zone.update(dnssec='on', description=description)

DNSSEC beim Erstellen von Zonen aktivieren

Die Aktivierung von DNSSEC beim Erstellen einer Zone in der Cloud Console ist ein einfacher Vorgang. Klicken Sie dazu auf die Option für die DNSSEC-Einstellung und wählen Sie im Pop-up-Menü "On" (Ein) aus:

DNSSEC-signierte Zone erstellen

Sie können DNSSEC auch aktivieren, wenn Sie Zonen mit dem gcloud-Befehlszeilentool oder mit der API erstellen:

gcloud

gcloud dns managed-zones create EXAMPLE_ZONE \
    --description "Signed Zone" --dns-name myzone.example.com --dnssec-state on

Ersetzen Sie EXAMPLE_ZONE in der Befehlszeile oben durch die tatsächliche Zonen-ID.

Python

def create_signed_zone(project_id, name, dns_name, description):
client = dns.Client(project=project_id)
zone = client.zone(
    name,  # examplezonename
    dns_name=dns_name,  # example.com.
    description=description,
    dnssec='on')
zone.create()
return zone

DNSSEC-Bereitstellung prüfen

Wenn Sie überprüfen möchten, ob die DNSSEC-aktivierte Zone ordnungsgemäß bereitgestellt wurde, können Sie DNSViz, den Verisign-DNSSEC-Debugger oder Zonemaster verwenden. Die letzten beiden können auch verwendet werden, bevor Sie den Registrator mit Cloud DNS-Nameservern oder einem DS-Eintrag aktualisieren, um DNSSEC zu aktivieren. example.com ist ein Beispiel für eine Domain, die ordnungsgemäß für DNSSEC konfiguriert wurde. Mit DNSViz können Sie diese Domain unter http://dnsviz.net/d/www.example.com/dnssec/ aufrufen.

Empfohlene TTL-Einstellungen für DNSSEC-signierte Zonen

Der Ablauf einer TTL richtet sich danach, wann ein Nameserver eine Antwort auf eine Abfrage sendet. DNSSEC-Signaturen hingegen laufen zu einer festgelegten Zeit ab. TTLs, die länger als die Lebensdauer einer Signatur sind, können dazu führen, dass viele Clients gleichzeitig Datensätze abrufen, wenn die DNSSEC-Signatur abläuft. Sehr kurze TTLs können auch Probleme bei DNSSEC-validierenden Resolvern verursachen.

Weitere Hinweise zur TTL-Auswahl finden Sie unter RFC 6781, Abschnitt 4.4.1 und in Abbildung 11. Entscheidend ist jedoch Folgendes:

Mit einer TTL-Dauer, die um einiges kürzer als die Gültigkeitsdauer Ihrer Signatur ist, vermeiden Sie eine zu hohe Abfragelast.

Beachten Sie beim Lesen des RFC, dass viele Signaturzeitparameter von Cloud DNS korrigiert werden und nicht geändert werden können. Nachfolgend sind die aktuellen Parameter aufgeführt, die jederzeit ohne vorherige Ankündigung geändert werden können.

  • Inception-Offset = 1 Tag
  • Gültigkeitsdauer = 21 Tage
  • Frist für Neuanmeldung = 3 Tage
  • Aktualisierungsdauer = 18 Tage
  • Jitter-Intervall = ½ Tag (oder ± 6 Stunden)
  • Mindestgültigkeit für Signatur = Aktualisierungsdauer - Jitter = 17,75 Tage = 1533600

Verwenden Sie niemals eine TLL, die länger als die Gültigkeit der Signatur ist.

DNSSEC für verwaltete Zonen deaktivieren

Nachdem Sie die DS-Einträge entfernt haben und diese im Cache abgelaufen sind, können Sie DNSSEC mit dem folgenden gcloud-Befehl deaktivieren:

gcloud dns managed-zones update EXAMPLE_ZONE --dnssec-state=off

Ersetzen Sie EXAMPLE_ZONE im obigen Befehl gcloud durch den tatsächlichen Zonennamen.

DNSSEC, Domainübertragungen und Zonenmigration

Bei DNSSEC-aktivierten Zonen, für die DNSSEC bei der Domainregistrierung aktiviert wurde, müssen Sie für einen ordnungsgemäßen Betrieb der Domain zusätzliche Schritte ausführen,

  • wenn sie an einen anderen Registrator übertragen wird (bzw. die Inhaberschaft übertragen wird).

  • wenn die DNS-Zone von Cloud DNS zu einem anderen DNS-Betreiber migriert wird oder umgekehrt.

Cloud DNS verwendet für diese Migrationen als technischen Ansatz die in RFC 6781 Abschnitt 4.1.2 beschriebene Variante KSK Double-DS Rollover.

ICANN bietet zu diesem Vorgang im Allgemeinen und zu den möglichen Problemen eine informative PDF-Präsentation.

DNSSEC-signierte Zonen zu Google Cloud DNS migrieren

Wenn Sie eine DNSSEC-signierte Zone zu Google Cloud DNS migrieren, müssen Sie prüfen, ob Cloud DNS den bereits verwendeten KSK-Algorithmus unterstützt. Ist dies nicht der Fall, deaktivieren Sie DNSSEC bei Ihrem Domain-Registrator, bevor Sie die Zone migrieren und die Nameserver-Einträge beim Registrator für die Verwendung der Cloud DNS-Nameserver aktualisieren.

Wenn die vorhandenen KSK- und ZSK-Algorithmen in Cloud DNS unterstützt werden, können Sie die Migration mit aktiviertem DNSSEC auf folgende Weise ausführen:

  1. Erstellen Sie eine neue DNSSEC-signierte Zone mit dem DNSSEC-Status "Transfer". In diesem Übertragungsstatus können Sie DNSKEYs manuell in die Zone kopieren.

  2. Exportieren Sie Ihre Zonendateien und importieren Sie sie in die neue Zone.

  3. Fügen Sie die DNSKEYs (sowohl KSK als auch ZSK) aus den Zonendateien der alten Zone hinzu.

    • Sie können auch mit dem Befehl dig die anderen Nameserver nach DNSKEY-Einträgen abfragen.
  4. Fügen Sie den DS-Eintrag für die neue Zone zu Ihrem Registrator hinzu.

  5. Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Cloud DNS-Nameserver für die neue Zone.

DNSSEC-Übertragungsstatus verlassen

Warten Sie vor dem Verlassen des DNSSEC-Übertragungsstatus, bis die Nameserver-Verweise (NS und DS) auf Google Cloud DNS an alle autoritativen Registrierungs-Nameserver übertragen wurden und der TTL-Zeitraum für die DNSSEC-Ressourceneinträge aller alten Nameserver abgelaufen ist, also nicht nur für die NS- und DS-Einträge der übergeordneten Registrierungszone, sondern auch für DNSKEY, NSEC/NSEC3 und RRSIG aus der alten Zone. Entfernen Sie die manuell hinzugefügten Übertragungs-DNSKEY-Einträge.

Danach können Sie den DNSSEC-Status der Zone von "Transfer" auf "An" ändern. Durch diese Änderung wird die automatische ZSK-Rotation aus der Zone aktiviert. Im Allgemeinen können Ihre Zonen den DNSSEC-Übertragungsstatus nach einer Woche sicher verlassen und sollten nicht länger als ein oder zwei Monate im DNSSEC-Übertragungsstatus verbleiben.

Sie sollten außerdem von Ihrem Registrator den DS-Eintrag des alten DNS-Zonenbetreibers entfernen.

DNSSEC-signierte Zonen von Google Cloud DNS migrieren

Bevor Sie eine DNSSEC-signierte Zone zu einem anderen DNS-Betreiber migrieren, müssen Sie prüfen, ob der von Ihnen verwendete KSK-Algorithmus unterstützt wird. Ist dies nicht der Fall, deaktivieren Sie DNSSEC bei Ihrem Domain-Registrator, bevor Sie die Zone migrieren und die Nameserver-Einträge beim Registrator für die Verwendung der neuen Nameserver aktualisieren.

Wenn sie die gleichen KSK-  und vorzugsweise die gleichen ZSK-Algorithmen unterstützen und die Möglichkeit bieten, vorhandene DNSKEYs in die neue Zone zu kopieren, können Sie die Migration so ausführen, dass DNSSEC aktiviert bleibt:

  1. Ändern Sie den DNSSEC-Status von "An" auf "Transfer". Damit wird die ZSK-Rotation gestoppt.

  2. Exportieren Sie Ihre Zonendatei (einschließlich DNSKEYs) und importieren Sie sie in die neue Zone.

  3. Wenn die DNSKEYs (sowohl KSK und ZSK) nicht importiert wurden, fügen Sie sie manuell hinzu.

    • Rufen Sie dafür mit dem Befehl dig die DNSKEY-Einträge von den Cloud DNS-Nameservern für Ihre Zone ab:

      dig DNSKEY myzone.example.com. @ns-cloud-e1.googledomains.com.
      
  4. Aktivieren Sie dann die DNSSEC-Signierung für die neue Zone und fügen Sie beim Registrator einen DS-Eintrag für den neuen KSK hinzu.

    • Wenn Ihr Registrator mehrere DS-Einträge nicht unterstützt, holen Sie dies in Schritt 6 nach.
  5. (Optional) Importieren Sie die neuen DNSKEYs für die neue Zone in Cloud DNS.

    • Sie können hierfür einen dig-Befehl wie in Schritt 3 verwenden, müssen aber die DNSKEYs, die Sie aus Cloud DNS exportiert haben, überspringen.
  6. Aktualisieren Sie die Nameserver-Einträge beim Registrator, sodass der neue DNS-Betreiber verwendet wird.

    • Wenn Sie DS-Einträge bei Ihrem Registrator nur ersetzen können, führen Sie das zu diesem Zeitpunkt aus.

Wenn der andere DNS-Betreiber einen Vorgang für die Migration einer DNSSEC-signierten Zone bietet (wie Dyn), sollten Sie im Anschluss an den hier aufgeführten Schritt 1 die entsprechenden Schritte ausführen.

Wenn Sie alle erforderlichen Schritte ausgeführt haben, deaktivieren Sie DNSSEC und ändern Sie den DNSSEC-Status auf "Aus" oder löschen einfach die Zone in Cloud DNS. Für die Cloud DNS-Zone sollten Sie außerdem von Ihrem Registrator den DS-Eintrag entfernen.

Weitere Informationen