Migra o transfiere zonas con DNSSEC habilitada

En esta página, se describe cómo migrar una zona con DNSSEC habilitada que se activa en el registrador de dominios entre Cloud DNS y otros proveedores de hosting de DNS, a la vez que se mantiene la cadena de confianza de DNSSEC.

Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o las siguientes funciones de IAM.

Permisos

• dns.dnsKeys.create para crear DNSKEYS
• dns.dnsKeys.delete para borrar DNSKEYS
• dns.dnsKeys.list para mostrar DNSKEYS
• dns.dnsKeys.update para actualizar DNSKEYS

Funciones

• roles/dns.admin

Antes de comenzar

La migración de DNSSEC es compleja y requiere coordinación para migrar una zona entre operadores sin incurrir en interrupciones. Lee esta guía en su totalidad antes de transferir o migrar una zona. Recomendamos que pruebes el proceso de migración en una zona menos crítica antes de intentar la migración de zonas de producción críticas.

Coordina con los operadores de DNS y el registrador de dominios

Para evitar que los agentes de resolución de validación traten el dominio como no válido, debes coordinar la migración con los operadores de DNS y el registrador de dominios. Este paso garantiza que puedas establecer y mantener una cadena de confianza válida desde la zona superior hasta las claves administradas por ambos operadores de DNS durante la transición.

Si el registrador de dominios también proporciona hosting de DNS, debes coordinar con el registrador de dominios para migrar la cadena de confianza de DNSSEC. Si el registrador no admite esta operación, no puedes migrar los servidores de nombres mientras mantienes la cadena de confianza de DNSSEC.

Espera a que venzan las cachés del agente de resolución

Durante la migración, después de realizar actualizaciones críticas de los registros, espera a que venzan las cachés del agente de resolución. Este paso evita errores de validación causados por registros almacenados en caché antiguos que no coinciden con la zona actualizada después de migrar a los servidores de nombres nuevos.

Limitaciones

La migración de una zona DNSSEC tiene las siguientes limitaciones:

• Solo puedes migrar una zona mientras mantienes la cadena de confianza de DNSSEC si el operador y el registrador nuevos admiten la migración de DNSSEC, incluida la importación de registros DNSKEY, la configuración de varios registros DS y la prevención de la rotación automática de claves durante la migración.

• Debes usar el mismo algoritmo en ambos operadores, ya que las zonas se deben firmar con todos los algoritmos en uso. Para obtener más información, consulta RFC 4035 sección 2.2. Cloud DNS solo puede firmar con un algoritmo a la vez. No puedes cambiar algoritmos durante la migración entre proveedores.

• Debes poder importar registros DNSKEY desde Cloud DNS a la zona del otro operador y tener esos registros firmados con las claves del operador. Cloud DNS permite agregar registros DNSKEY para zonas en modo Transfer.

• Debes poder agregar un segundo registro DS desde Cloud DNS a la zona superior. El registrador o la zona principal deben permitir registros DS que correspondan a claves públicas que no firman ningún registro en la zona secundaria.

• Debes poder detener la rotación de claves automatizada del operador nuevo o antiguo de la zona hasta que se complete la migración. Cloud DNS detiene automáticamente la rotación de clave para las zonas en modo Transfer.

Si el operador nuevo no admite la migración, haz lo siguiente:

1. Desactiva DNSSEC en tu registrador.
2. Realiza la transferencia o migración.
3. Habilita DNSSEC.
4. Activa DNSSEC en tu registrador.

Para obtener una presentación informativa sobre las transferencias de DNSSEC y dominio y los posibles errores, consulta DNS/DNSSEC y transferencias de dominio: ¿son compatibles?

Migración entre operadores

El enfoque técnico que usa Cloud DNS para las migraciones de DNSSEC es la variante de transferencia KSK Double-DS descrita en el Enfoque de transferencia alternativa del Apéndice D de RFC 6781 para operadores cooperativos.

La migración de DNSSEC funciona sin intercambiar claves privadas ni firmas entre operadores DNS. En su lugar, los servidores de nombres existentes y la zona superior publican registros firmados de forma previa para las claves públicas del operador nuevo, además de las claves públicas del operador anterior. Del mismo modo, los servidores de nombres nuevos publican registros firmados para las claves del operador anterior, además de las claves del operador nuevo.

Estas claves del otro operador están firmadas, lo que crea una confianza cruzada entre los dos operadores y la zona superior, de modo que los agentes de resolución de validación pueden usar registros de un operador para validar las respuestas del otro operador. Este proceso permite la transición a los servidores de nombres de operadores nuevos sin interrupciones.

Después de que se propagan estos registros, los agentes de resolución pueden validar las respuestas de ambos operadores durante el período de transición posterior, mientras que los registros de delegación nuevos del servidor de nombres se propagan a todas las memorias caché del agente de resolución.

Una vez que se propaguen los registros actualizados del servidor de nombres, puedes finalizar la migración. Puedes quitar la zona secundaria de los servidores de nombres anteriores y quitar el ancla de confianza del operador anterior de la zona superior.

Migra zonas con firma de DNSSEC a Cloud DNS

Antes de comenzar, revisa todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, sigue estos pasos:

1. Detén toda rotación de claves de la zona en el servidor de nombres anterior.

2. Crea una zona con firma de DNSSEC nueva en el estado de DNSSEC Transfer. El estado Transfer detiene la rotación de claves y permite la importación de DNSKEY.

   Debes usar los mismos algoritmos en uso en el proveedor existente.

3. Exporta tus archivos de zona sin firmar y, luego, impórtalos en la zona nueva.

   Sigue las instrucciones de tu proveedor para exportar datos de zona.

   Puedes incluir DNSKEY en este paso, pero no incluyas ningún otro tipo de registro DNSSEC de la zona existente (de tipos CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

   Puedes importar zonas con el comando gcloud dns record-sets import.

4. Recupera los registros DNSKEY previos del servidor de nombres anterior.

   También puedes usar dig o delv a fin de consultar registros DNSKEY, pero debes verificar que las claves públicas que se muestren sean correctas y válidas para tu zona.

5. Recupera los registros DNSKEY nuevos de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

6. Agrega los registros DNSKEY existentes a la zona de Cloud DNS, además de los registros DNSKEY generados automáticamente.

   También puedes importar DNSKEY durante el paso 3 y omitir este paso si tu proveedor exporta DNSKEY junto con el resto de los datos de la zona.

7. Agrega los registros DNSKEY nuevos de Cloud DNS a la zona del operador existente. Asegúrate de volver a firmar la zona si es necesario.

8. Agrega el registro DS para la zona de Cloud DNS a tu registrador además del registro DS existente.

9. Espera hasta que se propaguen los registros nuevos y los registros antiguos venzan en todas las memorias caché de resolución. De lo contrario, los datos inactivos podrían causar fallas de validación.

   Espera hasta que ocurra todo lo siguiente:

   • Los registros se propagan a todos los servidores de nombres que usa el operador anterior.

   • El TTL del conjunto de registros NS de la zona superior vence.

   • El TTL del conjunto de registros DS de la zona superior vence.

   • El TTL del conjunto de registros NS de la zona secundaria en el operador anterior vence.

   • El TTL del conjunto de registros DNSKEY de la zona secundaria en el operador anterior vence.

10. Para verificar que la zona esté lista, comprueba que el operador anterior entregue todos los registros DNSKEY y que la zona superior entregue ambos registros DS.

11. Cambia las delegaciones del servidor de nombres para que apunten a Cloud DNS.

    Actualiza los registros del servidor de nombres del registrador con los servidores de nombres de Cloud DNS para la zona nueva.

12. Espera hasta que se propaguen los nuevos registros del servidor de nombres y los registros de delegación anteriores caduquen de todas las memorias caché del agente de resolución. De lo contrario, los datos inactivos podrían causar errores de validación.

    Espera hasta que ocurra todo lo siguiente:

    • El TTL del conjunto de registros NS de la zona superior vence.

    • El TTL del conjunto de registros NS de la zona secundaria en el operador anterior vence.

    Después de este paso, puedes dejar de entregar la zona de forma segura en el operador anterior.

13. Quita los registros DNSKEY de la zona antigua que se agregaron a la zona de Cloud DNS.

14. Cambia el estado de DNSSEC de la zona de Transfer a On.

    Si abandonas el estado de transferencia, se habilitará la rotación de claves automática para la zona. Por lo general, tus zonas pueden abandonar el estado de transferencia de DNSSEC al cabo de una semana con seguridad, y no deberían permanecer en este estado durante más de uno o dos meses.

15. Quita el registro DS para la zona del operador anterior de tu registrador.

Migra zonas con firma de DNSSEC desde Cloud DNS

Antes de comenzar la migración, revisa todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, sigue estos pasos:

1. Cambia el estado de DNSSEC de On a Transfer. Este paso detiene la rotación de claves.

2. Exporta tu archivo de zona y, luego, impórtalo en el operador nuevo.

   Puedes usar gcloud dns record-sets export para exportar una zona.

   Exportar una zona en modo Transfer también exporta registros DNSKEY desde Cloud DNS. Si tu proveedor acepta DNSKEY en este paso, puedes incluirlos ahora y omitir los pasos que se indican a continuación que transfieren las claves públicas de Cloud DNS al nuevo proveedor.

3. Firma la zona en el proveedor nuevo.

   Debes usar los mismos algoritmos que usa Cloud DNS en el proveedor nuevo.

   Debes detener la rotación de claves de la zona en el servidor de nombres nuevo hasta que se complete la migración.

4. Recupera los registros DNSKEY de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

   También puedes usar dig o delv a fin de consultar registros DNSKEY en el servidor de nombres de Cloud DNS, pero debes verificar que las claves públicas que se muestren sean correctas y válidas para tu zona.

5. Recupera los registros DNSKEY nuevos del operador nuevo.

   Es posible que primero debas firmar la zona o configurar DNSSEC para obtener las claves.

6. Agrega los registros DNSKEY de Cloud DNS a la zona del operador nuevo, además de los registros DNSKEY de la zona nueva.

7. Agrega los registros DNSKEY del operador nuevo a Cloud DNS.

8. Agrega el registro DS para la zona nueva del operador a tu registrador, además del registro DS existente de Cloud DNS.

9. Espera hasta que se propaguen los registros nuevos y los registros antiguos venzan en todas las memorias caché de resolución. De lo contrario, los datos inactivos podrían causar fallas de validación.

   Espera hasta que ocurra todo lo siguiente:

   • El TTL del conjunto de registros NS de la zona superior vence.

   • El TTL del conjunto de registros DS de la zona superior vence.

   • El TTL del conjunto de registros NS de la zona de Cloud DNS vence.

   • El TTL del conjunto de registros DNSKEY de la zona de Cloud DNS vence.

   Para verificar que la zona esté lista, comprueba que Cloud DNS entregue todos los registros DNSKEY y que la zona principal entregue ambos registros DS.

10. Migra las delegaciones del servidor de nombres para que apunten al operador nuevo.

    Actualiza los registros del servidor de nombres del registrador con los servidores de nombres del operador nuevo para la zona.

11. Espera hasta que se propaguen los nuevos registros del servidor de nombres y los registros de delegación anteriores caduquen de todas las memorias caché del agente de resolución. De lo contrario, los datos inactivos podrían causar errores de validación.

    Espera hasta que venzan todos los elementos siguientes:

    • El TTL del conjunto de registros NS de la zona superior.

    • El TTL del conjunto de registros NS de la zona de Cloud DNS.

    Después de este paso, puedes borrar la zona de Cloud DNS de forma segura.

12. Quita los registros de DNSKEY de Cloud DNS que se agregaron a la zona nueva.

13. Quita el registro DS para Cloud DNS de tu registrador.

14. Finaliza la migración en el operador nuevo según sea necesario.

Si el otro operador de DNS tiene un proceso para migrar una zona con firma de DNSSEC, debes realizar sus pasos en paralelo con este procedimiento, después del paso 1.

¿Qué sigue?

• Para obtener información sobre parámetros de configuración específicas de DNSSEC, consulta Usa DNSSEC avanzadas.
• Para trabajar con zonas administradas, consulta Crea, modifica y borra zonas.
• Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Solución de problemas.
• Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.