Esegui la migrazione o il trasferimento di zone abilitate per DNSSEC

Questa pagina descrive come eseguire la migrazione di una zona abilitata per DNSSEC che viene attivata presso il registrar di domini tra Cloud DNS e altri provider host DNS mantenendo al contempo la catena di attendibilità DNSSEC.

Per una panoramica concettuale delle DNSSEC, consulta la panoramica di DNSSEC.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• dns.dnsKeys.create per creare DNSKEYS
• dns.dnsKeys.delete per eliminare DNSKEYS
• dns.dnsKeys.list per elencare le DNSKEYS
• dns.dnsKeys.update per aggiornare DNSKEYS

Ruoli

• roles/dns.admin

Prima di iniziare

La migrazione delle DNSSEC è complessa e richiede il coordinamento per eseguire la migrazione di una zona tra operatori senza interruzioni. Leggi questa guida per intero prima di trasferire o migrare una zona. Ti consigliamo di testare il processo di migrazione su una zona meno critica prima di tentare la migrazione di zone di produzione critiche.

Coordinati con gli operatori DNS e il registrar di domini

Per impedire ai resolver di convalidare di considerare il dominio come non valido, devi coordinare la migrazione sia con gli operatori DNS che con il registrar di domini. Questo passaggio garantisce di poter stabilire e mantenere una catena di attendibilità valida dalla zona padre alle chiavi gestite da entrambi gli operatori DNS durante la transizione.

Se il tuo registrar di domini fornisce anche l'hosting DNS, devi coordinarti con il registrar di domini per eseguire la migrazione della catena di attendibilità DNSSEC. Se il registrar non supporta questa operazione, non puoi eseguire la migrazione dei server dei nomi mantenendo la catena di attendibilità DNSSEC.

Attendi la scadenza delle cache del resolver

Durante la migrazione, dopo aver effettuato gli aggiornamenti critici dei record, attendi che le cache del resolver scadano. Questo passaggio impedisce gli errori di convalida causati da vecchi record memorizzati nella cache incoerenti con la zona aggiornata dopo la migrazione ai nuovi server dei nomi.

Limitazioni

La migrazione di una zona DNSSEC ha le seguenti limitazioni:

• Puoi eseguire la migrazione di una zona mantenendo la catena di attendibilità DNSSEC solo se il nuovo operatore e il nuovo registrar supportano la migrazione delle DNSSEC, tra cui l'importazione dei record DNSKEY, l'impostazione di più record DS e l'impossibilità di ruotare automatica delle chiavi durante la migrazione.

• Devi utilizzare lo stesso algoritmo per entrambi gli operatori, poiché le zone devono essere firmate con tutti gli algoritmi in uso. Per maggiori dettagli, vedi RFC 4035 sezione 2.2. Cloud DNS può firmare con un solo algoritmo alla volta. Non puoi modificare gli algoritmi durante la migrazione tra i provider.

• Devi essere in grado di importare i record DNSKEY da Cloud DNS nella zona dell'altro operatore e averli firmati con le chiavi dell'operatore. Cloud DNS consente di aggiungere record DNSKEY per le zone in modalità Transfer.

• Devi poter aggiungere un secondo record DS da Cloud DNS alla zona padre. Il registrar o la zona padre deve consentire i record DS corrispondenti alle chiavi pubbliche che non firmano alcun record nella zona secondaria.

• Devi essere in grado di interrompere la rotazione automatica delle chiavi da parte dell'operatore precedente o nuovo per la zona fino al completamento della migrazione. Cloud DNS interrompe automaticamente la rotazione della chiave per le zone in modalità Transfer.

Se il nuovo operatore non supporta la migrazione:

1. Disattivare le DNSSEC nel registrar.
2. Esegui il trasferimento o la migrazione.
3. Abilita le DNSSEC.
4. Attiva le DNSSEC sul tuo registrar.

Per una presentazione informativa sui trasferimenti di DNSSEC e di domini e sulle potenziali insidie, consulta DNS/DNSSEC e trasferimenti di dominio: sono compatibili?.

Migrazione tra operatori

L'approccio tecnico che Cloud DNS utilizza per le migrazioni di DNSSEC è la variante di rollover KSK di Double-DS descritta in Appendix D Alternative Rollover Approach for Cooperating Operators.

La migrazione delle DNSSEC funziona senza scambiare chiavi private o firme tra operatori DNS. Invece, i server dei nomi esistenti e la zona padre prepubblicano i record firmati per le chiavi pubbliche del nuovo operatore oltre alle chiavi pubbliche dell'operatore precedente. Allo stesso modo, i nuovi server dei nomi pubblicano i record firmati per le chiavi del vecchio operatore, oltre a quelle del nuovo operatore.

Queste chiavi dell'altro operatore sono firmate, creando un attendibilità incrociata tra i due operatori e la zona padre, in modo che i resolver di convalida possano utilizzare i record di un operatore per convalidare le risposte dell'altro operatore. Questo processo consente la transizione ai nuovi server dei nomi dell'operatore senza interruzioni.

Dopo la propagazione di questi record, i resolver possono convalidare le risposte di entrambi gli operatori durante il successivo periodo di transizione, mentre i record di delega del nuovo server dei nomi si propagano a tutte le cache del resolver.

Una volta propagati i record del server dei nomi aggiornati, puoi finalizzare la migrazione. Puoi rimuovere la zona secondaria dai server dei nomi precedenti e rimuovere il trust anchor dell'operatore precedente dalla zona padre.

Esegui la migrazione delle zone con firma DNSSEC a Cloud DNS

Prima di iniziare, leggi tutte le istruzioni. Devi inoltre verificare che il tuo provider supporti la migrazione. In caso contrario, non potrai eseguire la migrazione della zona utilizzando questo processo.

Per eseguire la migrazione, segui questi passaggi:

1. Interrompi tutte le rotazione della chiave per la zona presso il server dei nomi precedente.

2. Crea una nuova zona con firma DNSSEC in stato DNSSEC Transfer. Lo stato Transfer interrompe la rotazione della chiave e consente l'importazione di DNSKEY.

   Devi utilizzare gli stessi algoritmi in uso nel provider esistente.

3. Esporta i file di zona non firmati e poi importali nella nuova zona.

   Segui le istruzioni del tuo fornitore per esportare i dati di zona.

   In questo passaggio puoi includere DNSKEY, ma non altri tipi di record DNSSEC della zona esistente (tipi CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

   Puoi importare le zone utilizzando il comando gcloud dns record-sets import.

4. Recupera i record DNSKEY precedenti dal server dei nomi precedente.

   Puoi anche utilizzare dig o delv per eseguire query sui record DNSKEY, ma devi verificare che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

5. Recupera i nuovi record DNSKEY da Cloud DNS. In modalità Transfer, i record DNSKEY vengono visualizzati come normali record della zona.

6. Aggiungi i record DNSKEY esistenti alla zona Cloud DNS oltre ai record DNSKEY generati automaticamente.

   Puoi anche importare le DNSKEY durante il passaggio 3 e saltare questo passaggio se il tuo provider esporta le DNSKEY insieme al resto dei dati della zona.

7. Aggiungi i nuovi record DNSKEY da Cloud DNS alla zona nell'operatore esistente. Assicurati di firmare di nuovo la zona, se necessario.

8. Aggiungi il record DS per la zona Cloud DNS al tuo registrar, oltre al record DS esistente.

9. Attendi fino alla propagazione dei nuovi record e alla scadenza dei record precedenti da tutte le cache del risolutore. I dati inattivi in caso contrario potrebbero causare errori di convalida.

   Attendi che si verifichino tutti i seguenti casi:

   • I record si propagano a tutti i server dei nomi utilizzati dal vecchio operatore.

   • Il TTL del set di record NS della zona padre scade.

   • Il TTL del set di record DS della zona principale scade.

   • Il TTL impostato di record NS della zona secondaria in base all'operatore precedente scade.

   • Il TTL impostato di record DNSKEY della zona secondaria in base al precedente operatore scade.

10. Verifica che la zona sia pronta controllando che il vecchio operatore stia pubblicando tutti i record DNSKEY e che la zona padre stia pubblicando entrambi i record DS.

11. Modifica le deleghe dei server dei nomi in modo che rimandino a Cloud DNS.

    Aggiorna i record dei server dei nomi nel registrar ai server dei nomi Cloud DNS per la nuova zona.

12. Attendi fino alla propagazione dei nuovi record dei server dei nomi e alla scadenza dei record di delega precedenti da tutte le cache del resolver. In caso contrario, i dati inattivi potrebbero causare errori di convalida.

    Attendi che si verifichino tutti i seguenti casi:

    • Il TTL del set di record NS della zona padre scade.

    • Il TTL impostato di record NS della zona secondaria in base all'operatore precedente scade.

    Dopo questo passaggio, puoi interrompere in modo sicuro la gestione della zona presso l'operatore precedente.

13. Rimuovi i record DNSKEY della zona precedente aggiunti alla zona Cloud DNS.

14. Cambia lo stato DNSSEC della zona da Transfer a On.

    Se esci dallo stato di trasferimento, viene abilitata la rotazione automatica della chiave per la zona. Le zone possono lasciare in sicurezza lo stato di trasferimento DNSSEC dopo una settimana e non devono rimanere in questo stato per più di un mese o due.

15. Rimuovi il record DS per la zona del vecchio operatore dal tuo registrar.

Migrazione delle zone con firma DNSSEC da Cloud DNS

Prima di iniziare la migrazione, leggi tutte le istruzioni. Devi inoltre verificare che il tuo provider supporti la migrazione. In caso contrario, non potrai eseguire la migrazione della zona utilizzando questo processo.

Per eseguire la migrazione, segui questi passaggi:

1. Cambia lo stato delle DNSSEC da On a Transfer. Questo passaggio interrompe la rotazione della chiave.

2. Esporta il file di zona e importalo nel nuovo operatore.

   Puoi utilizzare gcloud dns record-sets export per esportare una zona.

   L'esportazione di una zona in modalità Transfer esporta anche i record DNSKEY da Cloud DNS. Se il tuo provider accetta DNSKEY in questo passaggio, puoi includerli ora e saltare i passaggi descritti di seguito per trasferire le chiavi pubbliche da Cloud DNS al nuovo provider.

3. Firma la zona presso il nuovo fornitore.

   Devi utilizzare gli stessi algoritmi in uso da Cloud DNS con il nuovo provider.

   Devi interrompere la rotazione della chiave per la zona presso il nuovo server dei nomi fino al completamento della migrazione.

4. Recupera i record DNSKEY da Cloud DNS. In modalità Transfer, i record DNSKEY vengono visualizzati come normali record della zona.

   Puoi anche utilizzare dig o delv per eseguire query sui server dei nomi Cloud DNS per i record DNSKEY, ma devi verificare che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

5. Recupera i nuovi record DNSKEY dal nuovo operatore.

   Per ottenere le chiavi, potrebbe essere necessario firmare prima la zona o configurare DNSSEC.

6. Aggiungi i record DNSKEY di Cloud DNS nella zona del nuovo operatore oltre ai record DNSKEY per la nuova zona.

7. Aggiungi i record DNSKEY dal nuovo operatore a Cloud DNS.

8. Aggiungi il record DS per la zona del nuovo operatore al registrar, oltre al record DS esistente di Cloud DNS.

9. Attendi fino alla propagazione dei nuovi record e alla scadenza dei record precedenti da tutte le cache del risolutore. I dati inattivi in caso contrario potrebbero causare errori di convalida.

   Attendi che si verifichino tutti i seguenti casi:

   • Il TTL del set di record NS della zona padre scade.

   • Il TTL del set di record DS della zona principale scade.

   • Il TTL del set di record NS della zona Cloud DNS scade.

   • Il TTL del set di record DNSKEY della zona Cloud DNS scade.

   Per verificare che la zona sia pronta, controlla che Cloud DNS stia pubblicando tutti i record DNSKEY e che la zona padre stia pubblicando entrambi i record DS.

10. Esegui la migrazione delle deleghe dei server dei nomi in modo che puntino al nuovo operatore.

    Aggiorna i record dei server dei nomi nel registrar con i server dei nomi del nuovo operatore per la zona.

11. Attendi fino alla propagazione dei nuovi record dei server dei nomi e alla scadenza dei record di delega precedenti da tutte le cache del resolver. In caso contrario, i dati inattivi potrebbero causare errori di convalida.

    Attendi la scadenza di tutti i seguenti elementi:

    • Il record NS della zona padre ha impostato il TTL.

    • Il record NS della zona Cloud DNS ha impostato il TTL.

    Dopo questo passaggio, puoi eliminare in modo sicuro la zona da Cloud DNS.

12. Rimuovi i record DNSKEY di Cloud DNS aggiunti alla nuova zona.

13. Rimuovi il record DS per Cloud DNS dal tuo registrar.

14. Completa la migrazione presso il nuovo operatore in base alle esigenze.

Se l'altro operatore DNS dispone di un processo per la migrazione di una zona con firma DNSSEC, devi eseguire i passaggi in parallelo a questa procedura, dopo il passaggio 1.

Passaggi successivi

• Per ottenere informazioni su configurazioni DNSSEC specifiche, consulta Utilizzare DNSSEC avanzate.
• Per lavorare con le zone gestite, vedi Creare, modificare ed eliminare le zone.
• Per trovare soluzioni ai problemi comuni che potresti riscontrare quando utilizzi Cloud DNS, consulta Risoluzione dei problemi.
• Per una panoramica di Cloud DNS, consulta la panoramica di Cloud DNS.