Migra o transfiere zonas con DNSSEC habilitada

En esta página, se describe cómo migrar una zona con DNSSEC habilitada que se activa en el registrador de dominios entre Cloud DNS y otros proveedores de hosting de DNS, a la vez que se mantiene la cadena de confianza de DNSSEC.

Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.

Antes de comenzar

La migración de DNSSEC es compleja y requiere coordinación para migrar una zona entre operadores sin incurrir en interrupciones. Lee esta guía en su totalidad antes de transferir o migrar una zona. Recomendamos que pruebes el proceso de migración en una zona menos crítica antes de intentar la migración de zonas de producción críticas.

Para evitar que los agentes de resolución de validación traten al dominio como no válido, debes coordinar la migración con los operadores de DNS y el registrador de dominios. Esto garantiza que puedas establecer y mantener una cadena de confianza válida de la zona principal a las claves administradas por ambos operadores DNS durante la transición.

Si el registrador de dominios también proporciona hosting de DNS, debes coordinar con el registrador de dominios para migrar la cadena de confianza de DNSSEC. Si el registrador no admite esta operación, no puedes migrar los servidores de nombres mientras mantienes la cadena de confianza de DNSSEC.

Durante la migración, después de realizar las actualizaciones críticas del registro, espera a que las cachés del agente de resolución caduquen. Esto evita errores de validación causados por registros almacenados en caché antiguos que son incoherentes con la zona actualizada después de migrar a los nuevos servidores de nombres.

Limitaciones

La migración de una zona DNSSEC tiene las siguientes limitaciones:

  • Solo puedes migrar una zona mientras mantienes la cadena de confianza de DNSSEC si el operador y el registrador nuevos admiten la migración de DNSSEC, incluida la importación de registros DNSKEY, la configuración de varios registros DS y la prevención de la rotación automática de claves durante la migración.

  • Debes usar el mismo algoritmo en ambos operadores, ya que las zonas se deben firmar con todos los algoritmos en uso. Para obtener más información, consulta RFC 4035 sección 2.2. Cloud DNS solo puede firmar con un algoritmo a la vez. No puedes cambiar algoritmos durante la migración entre proveedores.

  • Debes poder importar registros DNSKEY desde Cloud DNS a la zona del otro operador y tener esos registros firmados con las claves del operador. Cloud DNS permite agregar registros DNSKEY para zonas en modo Transfer.

  • Debes poder agregar un segundo registro DS desde Cloud DNS a la zona superior. El registrador o la zona principal deben permitir registros DS que correspondan a claves públicas que no firman ningún registro en la zona secundaria.

  • Debes poder detener la rotación de claves automatizada del operador nuevo o antiguo de la zona hasta que se complete la migración. Cloud DNS detiene automáticamente la rotación de clave para las zonas en modo Transfer.

Si el operador nuevo no admite la migración, haz lo siguiente:

  1. Desactiva DNSSEC en tu registrador.
  2. Realiza la transferencia o migración.
  3. Habilita DNSSEC.
  4. Activa DNSSEC en tu registrador.

Para obtener una presentación informativa sobre las transferencias de DNSSEC y dominio y los posibles errores, consulta DNS/DNSSEC y transferencias de dominio: ¿son compatibles?

Migración entre operadores

El enfoque técnico que usa Cloud DNS para las migraciones de DNSSEC es la variante de transferencia KSK Double-DS descrita en el Enfoque de transferencia alternativa del Apéndice D de RFC 6781 para operadores cooperativos.

La migración de DNSSEC funciona sin intercambiar claves privadas ni firmas entre operadores DNS. En su lugar, los servidores de nombres existentes y la zona superior publican registros firmados de forma previa para las claves públicas del operador nuevo, además de las claves públicas del operador anterior. Del mismo modo, los servidores de nombres nuevos publican registros firmados para las claves del operador anterior, además de las claves del operador nuevo.

Estas claves del otro operador se firman mediante la creación de confianza cruzada entre los dos operadores y la zona superior, de modo que los agentes de resolución de validación puedan usar registros de un operador para validar las respuestas del otro operador. Esto permite la transición a los servidores de nombres del operador nuevo sin interrupciones.

Una vez que se propagan estos registros, los agentes de resolución pueden validar las respuestas de ambos operadores durante el período de transición posterior, mientras que los registros de delegación del servidor de nombres nuevo se propagan a todas las cachés del agente de resolución.

Una vez que se propaguen los registros actualizados del servidor de nombres, puedes finalizar la migración. Puedes quitar la zona secundaria de los servidores de nombres anteriores y quitar el ancla de confianza del operador anterior de la zona superior.

Migra zonas con firma de DNSSEC a Cloud DNS

Antes de comenzar, revisa todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, sigue estos pasos:

  1. Detén toda rotación de claves de la zona en el servidor de nombres anterior.

  2. Crea una zona con firma de DNSSEC nueva en el estado de DNSSEC Transfer. El estado Transfer detiene la rotación de claves y permite la importación de DNSKEY.

    Debes usar los mismos algoritmos en uso en el proveedor existente.

  3. Exporta tus archivos de zona sin firmar y, luego, impórtalos en la zona nueva.

    Sigue las instrucciones de tu proveedor para exportar datos de zona.

    Puedes incluir DNSKEY en este paso, pero no incluyas ningún otro tipo de registro DNSSEC de la zona existente (de tipos CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

    Puedes importar zonas con el comando gcloud dns record-sets import.

  4. Recupera los registros DNSKEY previos del servidor de nombres anterior.

    También puedes usar dig o delv a fin de consultar registros DNSKEY, pero debes verificar que las claves públicas que se muestren sean correctas y válidas para tu zona.

  5. Recupera los registros DNSKEY nuevos de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

  6. Agrega los registros DNSKEY existentes a la zona de Cloud DNS, además de los registros DNSKEY generados automáticamente.

    También puedes importar DNSKEY durante el paso 3 y omitir este paso si tu proveedor exporta DNSKEY junto con el resto de los datos de la zona.

  7. Agrega los registros DNSKEY nuevos de Cloud DNS a la zona del operador existente. Asegúrate de volver a firmar la zona si es necesario.

  8. Agrega el registro DS para la zona de Cloud DNS a tu registrador además del registro DS existente.

  9. Espera hasta que los registros nuevos se propaguen y los registros antiguos venzan en todas las cachés de resolución. De lo contrario, los datos inactivos podrían ocasionar errores de validación.

    Espera hasta que ocurra lo siguiente:

    • Los registros se propagan a todos los servidores de nombres que usa el operador anterior.

    • El TTL del conjunto de registros NS de la zona superior vence.

    • El TTL del conjunto de registros DS de la zona superior vence.

    • El TTL del conjunto de registros NS de la zona secundaria en el operador anterior vence.

    • El TTL del conjunto de registros DNSKEY de la zona secundaria en el operador anterior vence.

  10. Para verificar que la zona esté lista, comprueba que el operador anterior entregue todos los registros DNSKEY y que la zona superior entregue ambos registros DS.

  11. Cambia las delegaciones del servidor de nombres para que apunten a Cloud DNS.

    Actualiza los registros del servidor de nombres del registrador con los servidores de nombres de Cloud DNS para la zona nueva.

  12. Espera hasta que los registros del servidor de nombres nuevos se propaguen y los registros de delegación antiguos caduquen en todas las memorias caché de agente de resolución. De lo contrario, los datos inactivos podrían generar fallas de validación.

    Espera hasta que ocurra lo siguiente:

    • El TTL del conjunto de registros NS de la zona superior vence.

    • El TTL del conjunto de registros NS de la zona secundaria en el operador anterior vence.

    Después de este paso, puedes dejar de entregar la zona de forma segura en el operador anterior.

  13. Quita los registros DNSKEY de la zona antigua que se agregaron a la zona de Cloud DNS.

  14. Cambia el estado de DNSSEC de la zona de Transfer a On.

    Si abandonas el estado de transferencia, se habilitará la rotación de claves automática para la zona. Por lo general, tus zonas pueden abandonar el estado de transferencia de DNSSEC al cabo de una semana con seguridad, y no deberían permanecer en este estado durante más de uno o dos meses.

  15. Quita el registro DS para la zona del operador anterior de tu registrador.

Migra zonas con firma de DNSSEC desde Cloud DNS

Antes de comenzar la migración, revisa todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, sigue estos pasos:

  1. Cambia el estado de DNSSEC de On a Transfer. Esto detiene la rotación de claves.

  2. Exporta tu archivo de zona y, luego, impórtalo en el operador nuevo.

    Puedes usar gcloud dns record-sets export para exportar una zona.

    Exportar una zona en modo Transfer también exporta registros DNSKEY desde Cloud DNS. Si tu proveedor acepta DNSKEY en este paso, puedes incluirlos ahora y omitir los pasos que se indican a continuación que transfieren las claves públicas de Cloud DNS al nuevo proveedor.

  3. Firma la zona en el proveedor nuevo.

    Debes usar los mismos algoritmos que usa Cloud DNS en el proveedor nuevo.

    Debes detener la rotación de claves de la zona en el servidor de nombres nuevo hasta que se complete la migración.

  4. Recupera los registros DNSKEY de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

    También puedes usar dig o delv a fin de consultar registros DNSKEY en el servidor de nombres de Cloud DNS, pero debes verificar que las claves públicas que se muestren sean correctas y válidas para tu zona.

  5. Recupera los registros DNSKEY nuevos del operador nuevo.

    Es posible que primero debas firmar la zona o configurar DNSSEC para obtener las claves.

  6. Agrega los registros DNSKEY de Cloud DNS a la zona del operador nuevo, además de los registros DNSKEY de la zona nueva.

  7. Agrega los registros DNSKEY del operador nuevo a Cloud DNS.

  8. Agrega el registro DS para la zona nueva del operador a tu registrador, además del registro DS existente de Cloud DNS.

  9. Espera hasta que los registros nuevos se propaguen y los registros antiguos venzan en todas las cachés de resolución. De lo contrario, los datos inactivos podrían ocasionar errores de validación.

    Espera hasta que ocurra lo siguiente:

    • El TTL del conjunto de registros NS de la zona superior vence.

    • El TTL del conjunto de registros DS de la zona superior vence.

    • El TTL del conjunto de registros NS de la zona de Cloud DNS vence.

    • El TTL del conjunto de registros DNSKEY de la zona de Cloud DNS vence.

    Para verificar que la zona esté lista, comprueba que Cloud DNS entregue todos los registros DNSKEY y que la zona principal entregue ambos registros DS.

  10. Migra las delegaciones del servidor de nombres para que apunten al operador nuevo.

    Actualiza los registros del servidor de nombres del registrador con los servidores de nombres del operador nuevo para la zona.

  11. Espera hasta que los registros del servidor de nombres nuevos se propaguen y los registros de delegación antiguos caduquen en todas las memorias caché de agente de resolución. De lo contrario, los datos inactivos podrían generar fallas de validación.

    Espera hasta que venzan todos los elementos siguientes:

    • El TTL del conjunto de registros NS de la zona superior.

    • El TTL del conjunto de registros NS de la zona de Cloud DNS.

    Después de este paso, puedes borrar la zona de Cloud DNS de forma segura.

  12. Quita los registros de DNSKEY de Cloud DNS que se agregaron a la zona nueva.

  13. Quita el registro DS para Cloud DNS de tu registrador.

  14. Finaliza la migración en el operador nuevo según sea necesario.

Si el otro operador de DNS tiene un proceso para migrar una zona con firma de DNSSEC, debes realizar sus pasos en paralelo con este procedimiento, después del paso 1.

¿Qué sigue?