DNSSEC-fähige Zonen migrieren oder übertragen

Auf dieser Seite wird beschrieben, wie Sie eine DNSSEC-fähige Zone migrieren, die beim Domainregistrator zwischen Cloud DNS und anderen DNS-Hostanbietern aktiviert ist, während die DNSSEC-Vertrauenskette erhalten bleibt.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

• dns.dnsKeys.create zum Erstellen von DNSKEYS
• dns.dnsKeys.delete, um DNSKEYS zu löschen
• dns.dnsKeys.list zum Auflisten von DNSKEYS
• dns.dnsKeys.update zum Aktualisieren von DNSKEYS

Rollen

• roles/dns.admin

Hinweis

Die DNSSEC-Migration ist komplex und erfordert eine Koordination, um eine Zone zwischen Operatoren zu migrieren, ohne dass es zu Ausfällen kommt. Lesen Sie diese Anleitung vollständig, bevor Sie eine Zone übertragen oder migrieren. Wir empfehlen Ihnen, den Migrationsprozess in einer weniger kritischen Zone zu testen, bevor Sie die Migration kritischer Produktionszonen versuchen.

Koordinieren Sie die DNS-Operatoren und den Domain-Registrator

Um zu verhindern, dass Resolver die Domain als ungültig behandeln, müssen Sie die Migration sowohl mit den DNS-Operatoren als auch mit dem Domain-Registrator koordinieren. Dieser Schritt stellt sicher, dass Sie während der Umstellung eine gültige Vertrauenskette von der übergeordneten Zone zu den Schlüsseln erstellen und pflegen, die von beiden DNS-Operatoren verwaltet werden.

Wenn Ihr Domainregistrator auch DNS-Hosting anbietet, müssen Sie sich mit Ihrem Domainregistrator abstimmen, um die DNSSEC-Vertrauenskette zu migrieren. Wenn der Registrator diesen Vorgang nicht unterstützt, können Sie die Nameserver nicht migrieren und dabei die DNSSEC-Vertrauenskette beibehalten.

Warten, bis die Resolver-Caches abgelaufen sind

Warten Sie während der Migration, nachdem Sie wichtige Einträge aktualisiert haben, auf den Ablauf der Resolver-Caches. Dieser Schritt verhindert Validierungsfehler, die durch alte im Cache gespeicherte Datensätze auftreten, die nach der Migration zu den neuen Nameservern nicht mit der aktualisierten Zone übereinstimmen.

Beschränkungen

Für die Migration einer DNSSEC-Zone gelten folgende Einschränkungen:

• Sie können eine Zone nur dann migrieren, wenn die DNSSEC-Vertrauenskette beibehalten wird, wenn der neue Operator und Registrator die DNSSEC-Migration unterstützt. Dies beinhaltet den Import von DNSKEY-Einträgen, die Festlegung mehrerer DS-Einträge und die Verhinderung der automatischen Schlüsselrotation während der Migration.

• Sie müssen für beide Operatoren denselben Algorithmus verwenden, da Zonen mit allen verwendeten Algorithmen signiert werden müssen. Weitere Informationen finden Sie in RFC 4035, Abschnitt 2.2. Cloud DNS kann jeweils nur mit einem Algorithmus signieren. Algorithmen können während der Migration zwischen Anbietern nicht geändert werden.

• Sie müssen in der Lage sein, DNSKEY-Einträge aus Cloud DNS in die Zone des anderen Operators zu importieren und diese Einträge mit den Schlüsseln des Operators zu signieren. Mit Cloud DNS können Sie DNSKEY-Einträge für Zonen im Transfer-Modus hinzufügen.

• Sie müssen in der Lage sein, der übergeordneten Zone einen zweiten DS-Eintrag aus Cloud DNS hinzuzufügen. Der Registrator oder die übergeordnete Zone muss DS-Einträge zulassen, die öffentlichen Schlüsseln entsprechen, die keine Einträge in der untergeordneten Zone signieren.

• Sie müssen die automatische Schlüsselrotation durch den alten oder neuen Operator für die Zone stoppen können, bis die Migration abgeschlossen ist. Cloud DNS stoppt die Schlüsselrotation für Zonen im Transfer-Modus automatisch.

Wenn der neue Operator die Migration nicht unterstützt, gehen Sie so vor:

1. Deaktivieren Sie DNSSEC bei Ihrem Registrator.
2. Führen Sie die Übertragung oder Migration durch.
3. Aktivieren Sie DNSSEC.
4. Aktivieren Sie DNSSEC bei Ihrem Registrator.

Eine informative Präsentation zu DNSSEC und zur Domainübertragung und zu möglichen Fehlern finden Sie unter DNS/DNSSEC und Domainübertragungen: Sind sie kompatibel?

Migration zwischen Operatoren

Cloud DNS verwendet für DNSSEC-Migrationen als technischen Ansatz die in RFC 6781 Anhang D Alternativer Rollout-Ansatz für zusammenarbeitende Operatoren beschriebene Rollover-Variante Double-DS KSK.

Bei der DNSSEC-Migration werden private Schlüssel oder Signaturen zwischen DNS-Operatoren nicht ausgetauscht. Veröffentlicht die signierten Einträge zusätzlich zu den öffentlichen Schlüsseln des alten Operators vorab für die öffentlichen Schlüssel des neuen Operators. Ebenso werden auf den neuen Nameservern zusätzlich zu den Schlüsseln des neuen Operators signierte Datensätze für die Schlüssel des alten Operators veröffentlicht.

Diese Schlüssel des anderen Operators werden signiert und schaffen ein vertrauenswürdiges Kreuz zwischen den beiden Operatoren und der übergeordneten Zone. So können validierte Resolver Datensätze von einem Operator verwenden, um Antworten des anderen Operators zu validieren. Dieser Vorgang ermöglicht den unterbrechungsfreien Übergang zu den neuen Nameservern von Mobilfunkanbietern.

Nachdem diese Datensätze weitergegeben wurden, können Resolver Antworten von beiden Operatoren während des nachfolgenden Übergangszeitraums validieren, während die neuen Nameserver-Einträge an alle Resolver-Caches weitergegeben werden.

Nachdem die aktualisierten Nameserver-Einträge übernommen wurden, können Sie die Migration abschließen. Sie können die untergeordnete Zone aus den alten Nameservern und den Vertrauensanker des alten Operators aus der übergeordneten Zone entfernen.

DNSSEC-signierte Zonen zu Cloud DNS migrieren

Bevor Sie beginnen, lesen Sie alle Anleitungen. Sie müssen außerdem prüfen, ob Ihr Anbieter die Migration unterstützt. Andernfalls können Sie die Zone mit diesem Prozess nicht migrieren.

So führen Sie die Migration aus:

1. Stoppen Sie alle Schlüsselrotationen für die Zone auf dem alten Nameserver.

2. Erstellen Sie eine neue DNSSEC-signierte Zone mit dem DNSSEC-Status Transfer. Mit dem Status Transfer wird die Schlüsselrotation beendet und der DNSKEY-Import wird zugelassen.

   Sie müssen dieselben Algorithmen wie beim bestehenden Anbieter verwenden.

3. Exportieren Sie Ihre nicht signierten Zonendateien und importieren Sie sie dann in die neue Zone.

   Folgen Sie der Anleitung des Anbieters, um Zonendaten zu exportieren.

   Sie können in diesem Schritt DNSKEYs einschließen. Schließen Sie aber keine anderen DNSSEC-Eintragstypen aus der vorhandenen Zone (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM oder RRSIG) ein.

   Mit dem Befehl gcloud dns record-sets import können Sie Zonen importieren.

4. Rufen Sie die vorherigen DNSKEY-Einträge vom alten Nameserver ab.

   Sie können auch dig oder delv verwenden, um DNSKEY-Einträge abzufragen. Achten Sie jedoch darauf, dass die zurückgegebenen öffentlichen Schlüssel korrekt und für Ihre Zone gültig sind.

5. Rufen Sie die neuen DNSKEY-Einträge aus Cloud DNS ab. Im Transfer-Modus werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

6. Fügen Sie die vorhandenen DNSKEY-Einträge der Cloud DNS-Zone zusätzlich zu den automatisch generierten DNSKEY-Einträgen hinzu.

   Sie können in Schritt 3 auch DNSKEYs importieren und diesen Schritt überspringen, wenn Ihr Anbieter DNSKEYs zusammen mit den restlichen Zonendaten exportiert.

7. Fügen Sie die neuen DNSKEY-Einträge aus Cloud DNS der Zone im vorhandenen Operator hinzu. Achten Sie darauf, den Bereich bei Bedarf neu zu signieren.

8. Fügen Sie den DS-Eintrag für die Cloud DNS-Zone zusätzlich zum vorhandenen DS-Eintrag Ihrem Registrator hinzu.

9. Warten Sie, bis die neuen Datensätze weitergegeben werden und alte Einträge aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

   Warten Sie, bis die folgenden Schritte ausgeführt werden:

   • Datensätze werden an alle vom alten Operator verwendeten Nameserver weitergegeben.

   • Die TTL des übergeordneten NS-Eintragssatzes läuft ab.

   • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

   • Die NS-Datensatzgruppe der untergeordneten Zone beim alten Operator läuft ab.

   • Die TTL des untergeordneten DNSKEY-Datensatzes am alten Operator läuft ab.

10. Prüfen Sie, ob die Zone bereit ist, indem Sie überprüfen, ob der alte Operator alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

11. Ändern Sie die Nameserver-Delegierungen so, dass sie auf Cloud DNS verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Cloud DNS-Nameserver für die neue Zone.

12. Warten Sie, bis die neuen Nameserver-Einträge wirksam werden und alte Delegierungseinträge aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis die folgenden Schritte ausgeführt werden:

    • Die TTL des übergeordneten NS-Eintragssatzes läuft ab.

    • Die NS-Datensatzgruppe der untergeordneten Zone beim alten Operator läuft ab.

    Nach diesem Schritt können Sie die Zone beim alten Operator sicher ausschalten.

13. Entfernen Sie die DNSKEY-Einträge der alten Zone, die der Cloud DNS-Zone hinzugefügt wurden.

14. Ändern Sie den DNSSEC-Status der Zone von Transfer zu On.

    Wenn Sie den Übertragungsstatus verlassen, wird die automatische Schlüsselrotation für die Zone aktiviert. Ihre Zonen können den DNSSEC-Übertragungsstatus nach einer Woche sicher verlassen und dürfen nicht länger als ein oder zwei Monate im DNSSEC-Übertragungsstatus bleiben.

15. Entfernen Sie den DS-Eintrag für die Zone des alten Operators bei Ihrem Registrator.

DNSSEC-signierte Zonen von Cloud DNS migrieren

Lesen Sie alle Anleitungen, bevor Sie mit der Migration beginnen. Sie müssen außerdem prüfen, ob Ihr Anbieter die Migration unterstützt. Andernfalls können Sie die Zone mit diesem Prozess nicht migrieren.

So führen Sie die Migration aus:

1. Ändern Sie den DNSSEC-Status von On zu Transfer. Dieser Schritt stoppt die Schlüsselrotation.

2. Exportieren Sie Ihre Zonendatei und importieren Sie sie in den neuen Operator.

   Sie können gcloud dns record-sets export verwenden, um eine Zone zu exportieren.

   Wenn Sie eine Zone im Transfer-Modus exportieren, werden auch DNSKEY-Einträge aus Cloud DNS exportiert. Wenn Ihr Anbieter in diesem Schritt DNSKEY akzeptiert, können Sie ihn jetzt einbeziehen und die folgenden Schritte überspringen, mit denen öffentliche Schlüssel von Cloud DNS zum neuen Anbieter übertragen werden.

3. Signieren Sie die Zone beim neuen Anbieter.

   Sie müssen beim neuen Anbieter dieselben Algorithmen verwenden, die auch von Cloud DNS verwendet werden.

   Sie müssen die Schlüsselrotation für die Zone auf dem neuen Nameserver stoppen, bis die Migration abgeschlossen ist.

4. Rufen Sie die DNSKEY-Einträge aus Cloud DNS ab. Im Transfer-Modus werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

   Sie können dig oder delv auch verwenden, um die DNS-Einträge von den Cloud DNS-Nameservern abzufragen. Dabei müssen Sie jedoch prüfen, ob die zurückgegebenen öffentlichen Schlüssel korrekt und für Ihre Zone gültig sind.

5. Rufen Sie die neuen DNSKEY-Einträge vom neuen Operator ab.

   Möglicherweise müssen Sie zuerst die Zone signieren oder DNSSEC konfigurieren, um Schlüssel zu erhalten.

6. Fügen Sie die Cloud DNS DNSKEY-Einträge in der Zone des neuen Operators zusätzlich zu den DNSKEY-Einträgen für die neue Zone hinzu.

7. Fügen Sie Cloud DNS die DNSKEY-Einträge des neuen Operators hinzu.

8. Fügen Sie den DS-Eintrag für die Zone des neuen Operators zusätzlich zum vorhandenen DS-Eintrag aus Cloud DNS Ihrem Registrator hinzu.

9. Warten Sie, bis die neuen Datensätze weitergegeben werden und alte Einträge aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

   Warten Sie, bis die folgenden Schritte ausgeführt werden:

   • Die TTL des übergeordneten NS-Eintragssatzes läuft ab.

   • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

   • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes läuft ab.

   • Die TTL des Cloud DNS-Zonen-DNSKEY-Eintragssatzes läuft ab.

   Sie können prüfen, ob die Zone bereit ist, indem Sie überprüfen, ob Cloud DNS alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

10. Migrieren Sie die Nameserver-Delegierungen, um auf den neuen Operator zu verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Nameserver des neuen Operators für die Zone.

11. Warten Sie, bis die neuen Nameserver-Einträge wirksam werden und alte Delegierungseinträge aus allen Resolver-Caches ablaufen. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis alle folgenden abgelaufen sind:

    • Die TTL des übergeordneten NS-Eintragssatzes.

    • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes.

    Nach diesem Schritt können Sie die Zone sicher aus Cloud DNS löschen.

12. Entfernen Sie die Cloud DNS-DNSKEY-Einträge, die der neuen Zone hinzugefügt wurden.

13. Entfernen Sie den DS-Eintrag für Cloud DNS von Ihrem Registrator.

14. Schließen Sie die Migration bei Bedarf beim neuen Operator ab.

Wenn der andere DNS-Betreiber einen Prozess für die Migration einer DNSSEC-signierten Zone hat, müssen Sie nach diesem Schritt 1 die Schritte parallel ausführen.

Nächste Schritte

• Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
• Informationen zum Arbeiten mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen.
• Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie unter Fehlerbehebung.
• Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.