DNSSEC-aktivierte Zonen migrieren oder übertragen

Auf dieser Seite wird beschrieben, wie Sie eine DNSSEC-aktivierte Zone migrieren, die unter Domain-Registrar zwischen Cloud DNS und anderen DNS-Hostanbietern Pflege der DNSSEC-Vertrauenskette.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

• dns.dnsKeys.create zum Erstellen von DNSKEYS
• dns.dnsKeys.delete zum Löschen von DNSKEYS
• dns.dnsKeys.list zum Auflisten von DNSKEYS
• dns.dnsKeys.update zum Aktualisieren von DNSKEYS

Rollen

• roles/dns.admin

Hinweise

Die DNSSEC-Migration ist komplex und erfordert eine Koordination bei der Migration einer Zone zwischen ohne Ausfälle. Lesen Sie diesen Leitfaden vollständig durch, eine Zone zu übertragen oder zu migrieren. Wir empfehlen Ihnen, den Migrationsprozess in einer weniger kritischen Zone, bevor Sie versuchen, kritische Produktionszonen zu migrieren.

Abstimmung mit DNS-Betreibern und Domain-Registrar

Um zu verhindern, dass bestätigende Resolver die Domain als ungültig behandeln, müssen Sie Koordinieren Sie die Migration sowohl mit den DNS-Betreibern als auch mit dem Domain-Registrator. Durch diesen Schritt wird sichergestellt, dass Sie eine gültige Kette von wird den Schlüsseln, die während des Prozesses von beiden DNS-Operatoren verwaltet werden, von der übergeordneten Zone zu übertragen.

Wenn Ihr Domain-Registrator auch DNS-Hosting anbietet, müssen Sie sich mit Ihrem Domain-Registrar, um die DNSSEC-Vertrauenskette zu migrieren. Wenn die Registrar unterstützt diesen Vorgang nicht. Sie können die Nameserver nicht migrieren. während die DNSSEC-Vertrauenskette aufrechterhalten wird.

Warten, bis der Resolver-Cache abläuft

Während der Migration nach wichtigen Aktualisierungen der Einträge auf den Resolver warten Cache ablaufen lassen. Dieser Schritt verhindert Validierungsfehler aufgrund von alten im Cache gespeicherten Daten Einträge, die nach der Migration zum neuen Namen nicht mit der aktualisierten Zone übereinstimmen Server.

Beschränkungen

Für die Migration einer DNSSEC-Zone gelten die folgenden Einschränkungen:

• Sie können eine Zone nur migrieren, wenn die DNSSEC-Vertrauenskette aufrechterhalten wird, wenn der Parameter Der neue Operator und Registrar unterstützen die DNSSEC-Migration, einschließlich des Imports von DNSKEY Einträge, Festlegen mehrerer DS-Einträge und Verhindern der automatischen Schlüsselrotation während der Migration.

• Sie müssen denselben Algorithmus verwenden. bei beiden Operatoren, da Zonen mit allen verwendeten Algorithmen signiert werden müssen. Für Weitere Informationen finden Sie in Abschnitt 2.2 von RFC 4035. Cloud DNS kann jeweils nur mit einem Algorithmus signieren. Sie können nicht Algorithmen während der Migration zwischen Anbietern zu ändern.

• Sie müssen DNSKEY-Einträge aus Cloud DNS in den und lassen Sie diese Einträge mit den Schlüsseln des Bedieners signieren. Mit Cloud DNS können DNSKEY-Einträge für Zonen im Transfer-Modus hinzugefügt werden.

• Sie müssen in der Lage sein, einen zweiten DS-Eintrag aus Cloud DNS der übergeordneten Zone. Der Registrar oder die übergeordnete Zone muss DS-Einträge zulassen, die öffentlichen Schlüsseln entsprechen, mit denen keine Einträge in der untergeordneten Zone signiert werden.

• Sie müssen in der Lage sein, die automatische Schlüsselrotation durch den alten oder neuen Operator zu stoppen für die Zone, bis die Migration abgeschlossen ist. Cloud DNS stoppt automatisch die Schlüsselrotation für Zonen im Transfer-Modus.

Wenn der neue Operator die Migration nicht unterstützt, gehen Sie so vor:

1. Deaktivieren Sie DNSSEC bei Ihrem Registrar.
2. Führen Sie die Übertragung oder Migration aus.
3. Aktivieren Sie DNSSEC.
4. Aktivieren Sie DNSSEC bei Ihrem Registrar.

Eine informative Präsentation zu DNSSEC und zur Domainübertragung und zu möglichen Fehlern finden Sie unter DNS/DNSSEC und Domainübertragungen: Sind sie kompatibel?

Migration zwischen Operatoren

Cloud DNS verwendet für DNSSEC-Migrationen als technischen Ansatz die in RFC 6781 Anhang D Alternativer Rollout-Ansatz für zusammenarbeitende Operatoren beschriebene Rollover-Variante Double-DS KSK.

Bei der DNSSEC-Migration werden keine privaten Schlüssel oder Signaturen zwischen den DNSs ausgetauscht . Stattdessen werden die vorhandenen Nameserver und die übergeordnete Zone vorab veröffentlicht. signierte Einträge für die öffentlichen Schlüssel des neuen Operators zusätzlich zu den alten öffentlichen Schlüssel des Operators. Gleichermaßen veröffentlichen die neuen Nameserver signierte für die Schlüssel des alten Operators zusätzlich zu den Schlüssel des neuen Operators.

Diese Schlüssel des anderen Operators sind signiert, wodurch eine übergreifende Vertrauensbasis zwischen den Zwei Operatoren und die übergeordnete Zone, sodass Validierungs-Resolver Datensätze verwenden können von einem Operator, um die Antworten des anderen zu validieren. Dieser Prozess ermöglicht den Übergang auf die neuen Operator-Nameserver ohne Unterbrechung.

Nachdem diese Datensätze weitergegeben wurden, können Resolver Antworten von beiden während der anschließenden Übergangsphase Delegationseinträge werden an alle Resolver-Caches weitergegeben.

Nachdem die aktualisierten Nameserver-Einträge verteilt wurden, können Sie die Migration abschließen. Sie können die untergeordnete Zone von den alten Nameservern entfernen und die alten aus der übergeordneten Zone aus.

DNSSEC-signierte Zonen zu Cloud DNS migrieren

Lesen Sie zuerst alle Anleitungen. Außerdem müssen Sie Prüfen Sie, ob Ihr Anbieter die Migration unterstützt. Andernfalls kann die Zone mit diesem Prozess nicht migrieren.

So führen Sie die Migration aus:

1. Beenden Sie die gesamte Schlüsselrotation für die Zone auf dem alten Nameserver.

2. Erstellen Sie eine neue DNSSEC-signierte Zone mit dem DNSSEC-Status Transfer. Der Status Transfer stoppt die Schlüsselrotation und ermöglicht den DNSKEY-Import.

   Sie müssen dieselben Algorithmen verwenden die beim bestehenden Anbieter verwendet werden.

3. Exportieren Sie Ihre nicht signierten Zonendateien und importieren Sie sie dann in die neue Zone.

   Folgen Sie der Anleitung Ihres Anbieters zum Exportieren von Zonendaten.

   Sie können in diesem Schritt DNSKEYs einschließen. Schließen Sie aber keine anderen DNSSEC-Eintragstypen aus der vorhandenen Zone (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM oder RRSIG) ein.

   Sie können Zonen mit dem Befehl gcloud dns record-sets import importieren.

4. Rufen Sie die vorherigen DNSKEY-Einträge vom alten Nameserver ab.

   Sie können DNSKEY-Einträge auch mit dig oder delv abfragen. Prüfen Sie, ob die zurückgegebenen öffentlichen Schlüssel für Ihre Zone korrekt und gültig sind.

5. Rufen Sie die neuen DNSKEY-Einträge aus Cloud DNS ab. Im Jahr Transfer werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

6. Fügen Sie die vorhandenen DNSKEY-Einträge der Cloud DNS-Zone zusätzlich zu den automatisch generierten DNSKEY-Einträgen hinzu.

   Sie können in Schritt 3 auch DNSKEYs importieren und diesen Schritt überspringen, wenn Ihr Anbieter DNSKEYs zusammen mit den restlichen Zonendaten exportiert.

7. Fügen Sie die neuen DNSKEY-Einträge aus Cloud DNS der Zone in der vorhandenen Operator. Vergessen Sie nicht, die Zone bei Bedarf neu zu signieren.

8. DS-Eintrag für Cloud DNS hinzufügen zusätzlich zum bestehenden DS-Eintrag an Ihren Registrar.

9. Warten Sie, bis die neuen Einträge wirksam werden und alle alten Einträge ablaufen Resolver-Caches. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

   Warten Sie, bis Folgendes zutrifft:

   • Datensätze werden an alle Nameserver weitergegeben, die vom alten Operator verwendet wurden.

   • Die TTL des NS-Eintragssatzes der übergeordneten Zone läuft ab.

   • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

   • Die TTL des NS-Eintragssatzes der untergeordneten Zone beim alten Operator läuft ab.

   • Die TTL des untergeordneten DNSKEY-Datensatzes am alten Operator läuft ab.

10. Prüfen Sie, ob die Zone bereit ist, indem Sie überprüfen, ob der alte Operator alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

11. Ändern Sie die Nameserver-Delegierungen so, dass sie auf Cloud DNS verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Cloud DNS-Nameserver für die neue Zone.

12. Warten, bis die neuen Nameserver-Einträge weitergegeben und die alten Delegierungseinträge übernommen wurden in allen Resolver-Caches abläuft. Andernfalls können veraltete Daten zu einer Validierung führen. Störungen.

    Warten Sie, bis Folgendes zutrifft:

    • Die TTL des NS-Eintragssatzes der übergeordneten Zone läuft ab.

    • Die TTL des NS-Eintragssatzes der untergeordneten Zone beim alten Operator läuft ab.

    Nach diesem Schritt können Sie die Bereitstellung der Zone beim alten Betreiber sicher beenden.

13. Entfernen Sie die DNSKEY-Einträge der alten Zone, die der Cloud DNS-Zone hinzugefügt wurden.

14. Ändern Sie den DNSSEC-Status der Zone von Transfer in On.

    Wenn Sie den Übertragungsstatus verlassen, wird die automatische Schlüsselrotation für die Zone aktiviert. Ihr Zonen können den DNSSEC-Übertragungsstatus nach einer Woche sicher verlassen und dürfen bleiben länger als ein oder zwei Monate im DNSSEC-Übertragungsstatus.

15. Entfernen Sie den DS-Eintrag des alten Operators. von Ihrem Registrar.

DNSSEC-signierte Zonen von Cloud DNS migrieren

Lesen Sie alle Anleitungen, bevor Sie mit der Migration beginnen. Außerdem müssen Sie Prüfen Sie, ob Ihr Anbieter die Migration unterstützt. Andernfalls kann die Zone mit diesem Prozess nicht migrieren.

So führen Sie die Migration aus:

1. Ändern Sie den DNSSEC-Status von On zu Transfer. Bei diesem Schritt wird die Schlüsselrotation gestoppt.

2. Exportieren Sie Ihre Zonendatei und importieren Sie sie in den neuen Operator.

   Sie können gcloud dns record-sets export verwenden, um eine Zone zu exportieren.

   Beim Exportieren einer Zone im Transfer-Modus werden auch DNSKEY-Einträge aus Cloud DNS Wenn Ihr Anbieter DNSKEY in diesem Schritt akzeptiert, können Sie schließen Sie sie jetzt ein und überspringen Sie die folgenden Schritte zum Übertragen öffentlicher Schlüssel von Cloud DNS mit dem neuen Anbieter verbinden.

3. Signieren Sie die Zone beim neuen Anbieter.

   Sie müssen dieselben Algorithmen verwenden von Cloud DNS beim neuen Anbieter verwendet wird.

   Sie müssen die Schlüsselrotation für die Zone auf dem neuen Nameserver beenden, bis Migration abgeschlossen.

4. Rufen Sie die DNSKEY-Einträge aus Cloud DNS ab. Im Jahr Transfer Modus-DNSKEY-Einträge werden wie normale Einträge in der Zone angezeigt.

   Sie können auch dig oder delv verwenden, um den Cloud DNS-Namen abzufragen. für DNSKEY-Einträge. Sie müssen jedoch überprüfen, ob die zurückgegebene öffentliche Schlüssel korrekt und für Ihre Zone gültig sind.

5. Rufen Sie die neuen DNSKEY-Einträge vom neuen Operator ab.

   Möglicherweise müssen Sie zuerst die Zone signieren oder DNSSEC konfigurieren, um Schlüssel abzurufen.

6. Fügen Sie die Cloud DNS DNSKEY-Einträge in der Zone des neuen Operators zusätzlich zu den DNSKEY-Einträgen für die neue Zone hinzu.

7. Fügen Sie Cloud DNS die DNSKEY-Einträge des neuen Operators hinzu.

8. Fügen Sie den DS-Eintrag für den neuen Operator hinzu. zusätzlich zum bestehenden DS-Eintrag von Cloud DNS

9. Warten Sie, bis die neuen Einträge wirksam werden und alle alten Einträge ablaufen Resolver-Caches. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

   Warten Sie, bis Folgendes zutrifft:

   • Die TTL des NS-Eintragssatzes der übergeordneten Zone läuft ab.

   • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

   • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes läuft ab.

   • Die TTL des Cloud DNS-Zonen-DNSKEY-Eintragssatzes läuft ab.

   Sie können prüfen, ob die Zone bereit ist, indem Sie überprüfen, ob Cloud DNS alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

10. Migrieren Sie die Nameserver-Delegierungen, sodass sie auf den neuen Operator verweisen.

    Aktualisieren Sie die Nameserver-Einträge auf der Seite Registrar auf die Nameserver des neuen Betreibers für die Zone übertragen.

11. Warten, bis die neuen Nameserver-Einträge weitergegeben und die alten Delegierungseinträge übernommen wurden in allen Resolver-Caches abläuft. Andernfalls können veraltete Daten zu einer Validierung führen. Störungen.

    Warten Sie, bis alle folgenden abgelaufen sind:

    • Die TTL des übergeordneten NS-Eintragssatzes.

    • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes.

    Nach diesem Schritt können Sie die Zone sicher aus Cloud DNS löschen.

12. Entfernen Sie die DNSKEY-Einträge von Cloud DNS, die der neuen Zone hinzugefügt wurden.

13. DS-Eintrag für Cloud DNS entfernen von Ihrem Registrar erhalten.

14. Schließen Sie die Migration nach Bedarf beim neuen Operator ab.

Wenn der andere DNS-Betreiber einen Prozess für die Migration einer DNSSEC-signierten Zone hat, müssen Sie nach diesem Schritt 1 die Schritte parallel ausführen.

Nächste Schritte

• Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
• Informationen zur Arbeit mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen
• Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
• Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.