DNSSEC-fähige Zonen migrieren oder übertragen

Auf dieser Seite wird beschrieben, wie Sie eine DNSSEC-aktivierte Zone, die beim Domainregistrator aktiviert wird, zwischen Cloud DNS und anderen DNS-Hostanbietern migrieren und dabei die DNSSEC-Vertrauenskette aufrechterhalten.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

Hinweise

Die DNSSEC-Migration ist komplex und erfordert Koordination der Migration einer Zone zwischen Betreibern, ohne dass es zu Ausfällen kommt. Lesen Sie diesen Leitfaden vollständig durch, bevor Sie eine Zone übertragen oder migrieren. Wir empfehlen, den Migrationsprozess in einer weniger kritischen Zone zu testen, bevor Sie versuchen, kritische Produktionszonen zu migrieren.

Koordinierung mit DNS-Betreibern und Domain-Registrator

Damit validierte Resolver die Domain nicht als ungültig behandeln, müssen Sie die Migration sowohl mit den DNS-Operatoren als auch mit dem Domainregistrator koordinieren. Mit diesem Schritt können Sie während der Umstellung eine gültige Vertrauenskette von der übergeordneten Zone zu Schlüsseln einrichten und aufrechterhalten, die von beiden DNS-Operatoren verwaltet werden.

Wenn Ihr Domainregistrator auch DNS-Hosting anbietet, müssen Sie sich bezüglich der Migration der DNSSEC-Vertrauenskette mit Ihrem Domainregistrator abstimmen. Wenn der Registrator diesen Vorgang nicht unterstützt, können Sie die Nameserver nicht migrieren und dabei die DNSSEC-Vertrauenskette beibehalten.

Warten Sie, bis die Resolver-Caches ablaufen

Warten Sie nach dem Aktualisieren wichtiger Datensätze während der Migration, bis die Resolver-Caches abgelaufen sind. Dadurch werden Validierungsfehler verhindert, die durch alte im Cache gespeicherte Datensätze verursacht werden, die nach der Migration zu den neuen Nameservern nicht mit der aktualisierten Zone übereinstimmen.

Beschränkungen

Für die Migration einer DNSSEC-Zone gelten die folgenden Einschränkungen:

  • Sie können eine Zone nur unter Beibehaltung der DNSSEC-Vertrauenskette migrieren, wenn der neue Operator und Registrar die DNSSEC-Migration unterstützt. Dies umfasst das Importieren von DNSKEY-Einträgen, das Festlegen mehrerer DS-Einträge und das Verhindern der automatischen Schlüsselrotation während der Migration.

  • Sie müssen für beide Operatoren denselben Algorithmus verwenden, da Zonen mit allen verwendeten Algorithmen signiert sein müssen. Weitere Informationen finden Sie in RFC 4035, Abschnitt 2.2. Cloud DNS kann jeweils nur mit einem Algorithmus signieren. Sie können die Algorithmen während der Migration zwischen Anbietern nicht ändern.

  • Sie müssen DNSKEY-Einträge aus Cloud DNS in die Zone des anderen Betreibers importieren können und diese Einträge mit den Schlüsseln des Operators signieren können. Mit Cloud DNS können DNSKEY-Einträge für Zonen im Transfer-Modus hinzugefügt werden.

  • Sie müssen der übergeordneten Zone einen zweiten DS-Eintrag von Cloud DNS hinzufügen können. Der Registrator oder die übergeordnete Zone muss DS-Einträge zulassen, die mit öffentlichen Schlüsseln übereinstimmen, die keine Einträge in der untergeordneten Zone signieren.

  • Sie müssen in der Lage sein, die automatische Schlüsselrotation durch den alten oder neuen Operator für die Zone zu stoppen, bis die Migration abgeschlossen ist. Cloud DNS stoppt die Schlüsselrotation für Zonen im Modus Transfer automatisch.

Wenn der neue Operator die Migration nicht unterstützt, gehen Sie so vor:

  1. Deaktivieren Sie DNSSEC bei Ihrem Registrar.
  2. Führen Sie die Übertragung oder Migration aus.
  3. Aktivieren Sie DNSSEC.
  4. Aktivieren Sie DNSSEC bei Ihrem Registrar.

Eine informative Präsentation zu DNSSEC und zur Domainübertragung und zu möglichen Fehlern finden Sie unter DNS/DNSSEC und Domainübertragungen: Sind sie kompatibel?

Migration zwischen Operatoren

Cloud DNS verwendet für DNSSEC-Migrationen als technischen Ansatz die in RFC 6781 Anhang D Alternativer Rollout-Ansatz für zusammenarbeitende Operatoren beschriebene Rollover-Variante Double-DS KSK.

Die DNSSEC-Migration funktioniert ohne Austausch privater Schlüssel oder Signaturen zwischen DNS-Operatoren. Stattdessen werden von den vorhandenen Nameservern und der übergeordneten Zone zusätzlich zu den öffentlichen Schlüsseln des alten Operators signierte Datensätze für die öffentlichen Schlüssel des neuen Operators vorab veröffentlicht. Ebenso veröffentlichen die neuen Nameserver zusätzlich zu den Schlüsseln des neuen Operators signierte Datensätze für die Schlüssel des alten Operators.

Diese Schlüssel des anderen Operators werden signiert, wodurch Kreuzvertrauen zwischen den beiden Operatoren und der übergeordneten Zone geschaffen wird, sodass validierende Resolver Datensätze von einem Operator verwenden können, um Antworten des anderen Operators zu validieren. Dieser Prozess ermöglicht den Übergang zu den neuen Operator-Nameservern ohne Unterbrechung.

Nachdem diese Datensätze weitergeleitet wurden, können Resolver die Antworten von beiden Operatoren während der nachfolgenden Übergangsphase validieren, während die neuen Nameserver-Delegationseinträge an alle Resolver-Caches weitergegeben werden.

Nachdem die aktualisierten Nameserver-Einträge verteilt wurden, können Sie die Migration abschließen. Sie können die untergeordnete Zone von den alten Nameservern und den Trust-Anchor des alten Operators aus der übergeordneten Zone entfernen.

DNSSEC-signierte Zonen zu Cloud DNS migrieren

Bevor Sie beginnen, lesen Sie alle Anleitungen. Sie müssen außerdem prüfen, ob Ihr Anbieter die Migration unterstützt. Andernfalls können Sie die Zone nicht mit diesem Prozess migrieren.

So führen Sie die Migration aus:

  1. Stoppen Sie die gesamte Schlüsselrotation für die Zone auf dem alten Nameserver.

  2. Erstellen Sie eine neue DNSSEC-signierte Zone mit dem DNSSEC-Status Transfer. Der Status Transfer stoppt die Schlüsselrotation und lässt den DNSKEY-Import zu.

    Sie müssen dieselben Algorithmen wie beim vorhandenen Anbieter verwenden.

  3. Exportieren Sie Ihre nicht signierten Zonendateien und importieren Sie sie dann in die neue Zone.

    Folgen Sie der Anleitung Ihres Anbieters zum Exportieren von Zonendaten.

    Sie können in diesem Schritt DNSKEYs einschließen. Schließen Sie aber keine anderen DNSSEC-Eintragstypen aus der vorhandenen Zone (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM oder RRSIG) ein.

    Mit dem Befehl gcloud dns record-sets import können Sie Zonen importieren.

  4. Rufen Sie die vorherigen DNSKEY-Einträge vom alten Nameserver ab.

    Sie können auch dig oder delv zum Abfragen von DNSKEY-Einträgen verwenden. Sie müssen jedoch prüfen, ob die zurückgegebenen öffentlichen Schlüssel korrekt und für Ihre Zone gültig sind.

  5. Rufen Sie die neuen DNSKEY-Einträge von Cloud DNS ab. Im Transfer-Modus werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

  6. Fügen Sie die vorhandenen DNSKEY-Einträge der Cloud DNS-Zone zusätzlich zu den automatisch generierten DNSKEY-Einträgen hinzu.

    Sie können in Schritt 3 auch DNSKEYs importieren und diesen Schritt überspringen, wenn Ihr Anbieter DNSKEYs zusammen mit den restlichen Zonendaten exportiert.

  7. Fügen Sie der Zone im vorhandenen Operator die neuen DNSKEY-Einträge von Cloud DNS hinzu. Achten Sie darauf, die Zone gegebenenfalls neu zu signieren.

  8. Fügen Sie Ihrem Registrator den DS-Eintrag für die Cloud DNS-Zone zusätzlich zum vorhandenen DS-Eintrag hinzu.

  9. Warten Sie, bis die neuen Datensätze weitergegeben wurden und alte Datensätze aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis Folgendes eingetreten ist:

    • Datensätze werden an alle Nameserver weitergegeben, die vom alten Operator verwendet werden.

    • Die TTL des NS-Eintragssatzes der übergeordneten Zone läuft ab.

    • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

    • Der NS-Eintragssatz der untergeordneten Zone mit der TTL des alten Operators läuft ab.

    • Die TTL des untergeordneten DNSKEY-Datensatzes am alten Operator läuft ab.

  10. Prüfen Sie, ob die Zone bereit ist, indem Sie überprüfen, ob der alte Operator alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

  11. Ändern Sie die Nameserver-Delegierungen so, dass sie auf Cloud DNS verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Cloud DNS-Nameserver für die neue Zone.

  12. Warten Sie, bis die neuen Nameserver-Einträge weitergeleitet wurden und die alten Delegierungseinträge aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis Folgendes eingetreten ist:

    • Die TTL des NS-Eintragssatzes der übergeordneten Zone läuft ab.

    • Der NS-Eintragssatz der untergeordneten Zone mit der TTL des alten Operators läuft ab.

    Nach diesem Schritt können Sie die Bereitstellung der Zone beim alten Betreiber sicher beenden.

  13. Entfernen Sie die DNSKEY-Einträge der alten Zone, die der Cloud DNS-Zone hinzugefügt wurden.

  14. Ändern Sie den DNSSEC-Status der Zone von Transfer in On.

    Wenn Sie den Übertragungsstatus verlassen, wird die automatische Schlüsselrotation für die Zone aktiviert. Ihre Zonen können den DNSSEC-Übertragungsstatus nach einer Woche sicher verlassen und dürfen nicht länger als ein oder zwei Monate im DNSSEC-Übertragungsstatus bleiben.

  15. Entfernen Sie den DS-Eintrag für die Zone des alten Betreibers von Ihrem Registrar.

DNSSEC-signierte Zonen von Cloud DNS migrieren

Lesen Sie alle Anleitungen, bevor Sie mit der Migration beginnen. Sie müssen außerdem prüfen, ob Ihr Anbieter die Migration unterstützt. Andernfalls können Sie die Zone nicht mit diesem Prozess migrieren.

So führen Sie die Migration aus:

  1. Ändern Sie den DNSSEC-Status von On zu Transfer. Mit diesem Schritt wird die Schlüsselrotation gestoppt.

  2. Exportieren Sie Ihre Zonendatei und importieren Sie sie in den neuen Operator.

    Sie können gcloud dns record-sets export verwenden, um eine Zone zu exportieren.

    Beim Exportieren einer Zone im Transfer-Modus werden auch DNSKEY-Einträge aus Cloud DNS exportiert. Wenn Ihr Anbieter DNSKEY in diesem Schritt akzeptiert, können Sie sie jetzt einschließen und die folgenden Schritte überspringen, mit denen öffentliche Schlüssel von Cloud DNS an den neuen Anbieter übertragen werden.

  3. Signieren Sie die Zone beim neuen Anbieter.

    Sie müssen dieselben Algorithmen verwenden, die auch von Cloud DNS beim neuen Anbieter verwendet werden.

    Sie müssen die Schlüsselrotation für die Zone auf dem neuen Nameserver anhalten, bis die Migration abgeschlossen ist.

  4. Rufen Sie die DNSKEY-Einträge aus Cloud DNS ab. Im Transfer-Modus werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

    Sie können auch dig oder delv verwenden, um DNSKEY-Einträge von den Cloud DNS-Nameservern abzufragen. Sie müssen jedoch prüfen, ob die zurückgegebenen öffentlichen Schlüssel korrekt und für Ihre Zone gültig sind.

  5. Rufen Sie die neuen DNSKEY-Einträge vom neuen Operator ab.

    Möglicherweise müssen Sie zuerst die Zone signieren oder DNSSEC konfigurieren, um Schlüssel abzurufen.

  6. Fügen Sie die Cloud DNS DNSKEY-Einträge in der Zone des neuen Operators zusätzlich zu den DNSKEY-Einträgen für die neue Zone hinzu.

  7. Fügen Sie Cloud DNS die DNSKEY-Einträge des neuen Operators hinzu.

  8. Fügen Sie Ihrem Registrar den DS-Eintrag für die Zone des neuen Betreibers hinzu. Dieser sollte zusätzlich zum vorhandenen DS-Eintrag von Cloud DNS enthalten sein.

  9. Warten Sie, bis die neuen Datensätze weitergegeben wurden und alte Datensätze aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis Folgendes eingetreten ist:

    • Die TTL des NS-Eintragssatzes der übergeordneten Zone läuft ab.

    • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

    • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes läuft ab.

    • Die TTL des Cloud DNS-Zonen-DNSKEY-Eintragssatzes läuft ab.

    Sie können prüfen, ob die Zone bereit ist, indem Sie überprüfen, ob Cloud DNS alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

  10. Migrieren Sie die Nameserver-Delegierungen, sodass sie auf den neuen Operator verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrar auf die Nameserver des neuen Betreibers für die Zone.

  11. Warten Sie, bis die neuen Nameserver-Einträge weitergeleitet wurden und die alten Delegierungseinträge aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis alle folgenden abgelaufen sind:

    • Die TTL des übergeordneten NS-Eintragssatzes.

    • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes.

    Nach diesem Schritt können Sie die Zone bedenkenlos aus Cloud DNS löschen.

  12. Entfernen Sie die DNSKEY-Einträge von Cloud DNS, die der neuen Zone hinzugefügt wurden.

  13. Entfernen Sie den DS-Eintrag für Cloud DNS von Ihrem Registrar.

  14. Schließen Sie die Migration nach Bedarf beim neuen Operator ab.

Wenn der andere DNS-Betreiber einen Prozess für die Migration einer DNSSEC-signierten Zone hat, müssen Sie nach diesem Schritt 1 die Schritte parallel ausführen.

Nächste Schritte