Eseguire la migrazione o trasferire le zone abilitate per DNSSEC

Questa pagina descrive come eseguire la migrazione di una zona abilitata per DNSSEC attivata nel registrar di dominio tra Cloud DNS e altri provider host DNS, pur mantenendo la catena di attendibilità DNSSEC.

Per una panoramica concettuale di DNSSEC, vedi la panoramica DNSSEC.

Prima di iniziare

La migrazione di DNSSEC è complessa e richiede il coordinamento per eseguire la migrazione di una zona tra operatori senza incorrere in interruzioni. Leggi questa guida completamente prima di trasferire o eseguire la migrazione di una zona. Ti consigliamo di testare il processo di migrazione su una zona meno critica prima di tentare la migrazione delle zone di produzione critiche.

Per impedire alla convalida del resolver di considerare il dominio non valido, devi coordinare la migrazione sia con gli operatori DNS sia con il registrar di dominio. Questo garantisce che puoi stabilire e mantenere una catena di attendibilità valida dalla zona padre a chiavi gestite da entrambi gli operatori DNS durante la transizione.

Se il tuo registrar di domini fornisce anche l'hosting DNS, devi coordinarti con il registrar di domini per eseguire la migrazione della catena di attendibilità DNSSEC. Se il registrar non supporta questa operazione, non puoi eseguire la migrazione dei server dei nomi mantenendo la catena di attendibilità DNSSEC.

Durante la migrazione, dopo aver apportato aggiornamenti critici ai record, attendi che le cache del resolver scadano. Questo impedisce errori di convalida causati da vecchi record memorizzati nella cache incoerenti con la zona aggiornata dopo la migrazione ai nuovi server dei nomi.

Limitazioni

La migrazione di una zona DNSSEC presenta le seguenti limitazioni:

  • Puoi eseguire la migrazione di una zona mantenendo la catena di attendibilità DNSSEC solo se il nuovo operatore e registrar supporta la migrazione DNSSEC, inclusa l'importazione di record DNSKEY, l'impostazione di più record DS e l'esclusione della rotazione automatica delle chiavi durante la migrazione.

  • Devi usare lo stesso algoritmo per entrambi gli operatori, poiché le zone devono essere firmate con tutti gli algoritmi in uso. Per maggiori dettagli, consulta la sezione 2.2 di RFC 4035. Cloud DNS può firmare con un solo algoritmo alla volta. Non puoi modificare gli algoritmi durante la migrazione tra provider.

  • Devi essere in grado di importare i record DNSKEY da Cloud DNS nella zona dell'altro operatore e fare in modo che tali record vengano firmati con le chiavi dell'operatore. Cloud DNS consente di aggiungere record DNSKEY per le zone in modalità Transfer.

  • Devi essere in grado di aggiungere un secondo record DS da Cloud DNS alla zona padre. Il registrar o la zona padre deve consentire i record DS che corrispondono alle chiavi pubbliche che non firmano alcun record nella zona secondaria.

  • Devi essere in grado di interrompere la rotazione automatica delle chiavi da parte del vecchio o nuovo operatore per la zona fino al completamento della migrazione. Cloud DNS interrompe automaticamente la rotazione della chiave per le zone in modalità Transfer.

Se il nuovo operatore non supporta la migrazione:

  1. Disattiva DNSSEC nel tuo registrar.
  2. Eseguire il trasferimento o la migrazione.
  3. Attiva DNSSEC.
  4. Attiva DNSSEC nel tuo registrar.

Per una presentazione informativa su DNSSEC e trasferimenti del dominio e potenziali insidie, vedi DNS/DNSSEC e Domain Transfer: sono compatibili?.

Migrazione tra operatori

L'approccio tecnico utilizzato da Cloud DNS per le migrazioni DNSSEC è la variante di rollback KSK di DS DS descritta nell'approccio alternativo Rollover dell'Appendice D RFC 6781 per gli operatori di cooperazione.

La migrazione di DNSSEC funziona senza scambiare chiavi o firme private tra gli operatori DNS. Invece, i server dei nomi e la zona padre esistenti prepubblicano i record firmati per le chiavi pubbliche del nuovo operatore oltre alle chiavi pubbliche del vecchio operatore. Analogamente, i nuovi server dei nomi pubblicano record firmati per le chiavi del vecchio operatore oltre a quelle del nuovo operatore.

Queste chiavi dell'altro operatore vengono firmate creando un trust tra i due operatori e la zona padre, in modo che la convalida dei resolver possa utilizzare i record di un operatore per convalidare le risposte dell'altro operatore. Ciò consente la transizione ai nuovi server dei nomi degli operatori senza interruzioni.

Dopo la propagazione di questi record, i resolver possono convalidare le risposte di entrambi gli operatori durante il periodo di transizione successivo, mentre i nuovi record di delega dei server dei nomi si propagano a tutte le cache del resolver.

Dopo la propagazione dei record aggiornati del server dei nomi, puoi finalizzare la migrazione. Puoi rimuovere la zona secondaria dai vecchi server dei nomi e rimuovere l'ancoraggio di attendibilità del vecchio operatore dalla zona padre.

Eseguire la migrazione delle zone con firma DNSSEC in Cloud DNS

Prima di iniziare, consulta tutte le istruzioni. Devi anche verificare che il tuo provider supporti la migrazione. In caso contrario, non puoi eseguire la migrazione della zona utilizzando questa procedura.

Per eseguire la migrazione, segui questi passaggi:

  1. Interrompi tutta la rotazione delle chiavi per la zona sul vecchio server dei nomi.

  2. Crea una nuova zona con firma DNSSEC nello stato Transfer di DNSSEC. Lo stato Transfer interrompe la rotazione della chiave e consente l'importazione DNSKEY.

    Devi utilizzare gli stessi algoritmi in uso presso il provider esistente.

  3. Esporta i file di zona non firmati, quindi importali nella nuova zona.

    Segui le istruzioni del provider per esportare i dati della zona.

    In questo passaggio puoi includere DNSKEY, ma non altri tipi di record DNSSEC della zona esistente (tipi CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

    Puoi importare le zone utilizzando il comando gcloud dns record-sets import.

  4. Recupera i record DNSKEY precedenti dal server dei nomi precedente.

    Puoi anche utilizzare dig o delv per eseguire query sui record DNSKEY, ma devi verificare che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

  5. Recupera i nuovi record DNSKEY da Cloud DNS. In modalità Transfer, i record DNSKEY vengono visualizzati come record normali nella zona.

  6. Aggiungi i record DNSKEY esistenti alla zona Cloud DNS oltre ai record DNSKEY generati automaticamente.

    Puoi anche importare DNSKEY durante il passaggio 3 e saltare questo passaggio se il tuo provider esporta le DNSKEY insieme al resto dei dati della zona.

  7. Aggiungi i nuovi record DNSKEY da Cloud DNS alla zona nell'operatore esistente. Assicurati di firmare nuovamente la zona, se necessario.

  8. Aggiungi il record DS per la zona Cloud DNS al tuo registrar oltre al record DS esistente.

  9. Attendi la propagazione dei nuovi record e la scadenza dei record precedenti da tutte le cache del resolver. In caso contrario, i dati non aggiornati potrebbero causare errori di convalida.

    Attendi finché non si verifica quanto segue:

    • I record si propagano a tutti i server dei nomi utilizzati dal vecchio operatore.

    • Il set di record TTL della zona padre scade.

    • Il set di record DS della zona padre scade.

    • Il set di record NS della zona secondaria del vecchio operatore scade.

    • Il record DNSKEY della zona secondaria impostato sul vecchio operatore scade.

  10. Verifica che la zona sia pronta controllando che il vecchio operatore stia pubblicando tutti i record DNSKEY e che la zona principale stia pubblicando entrambi i record DS.

  11. Cambia le deleghe del server dei nomi in modo che rimandino a Cloud DNS.

    Aggiorna i record del server dei nomi nel registrar ai server dei nomi Cloud DNS per la nuova zona.

  12. Attendi che i nuovi record del server dei nomi si propaghino e che i vecchi record di delega scadano da tutte le cache del resolver. In caso contrario, i dati non aggiornati potrebbero causare errori di convalida.

    Attendi finché non si verifica quanto segue:

    • Il set di record TTL della zona padre scade.

    • Il set di record NS della zona secondaria del vecchio operatore scade.

    Dopo questo passaggio, puoi interrompere in sicurezza la gestione della zona presso il vecchio operatore.

  13. Rimuovi i record DNSKEY della zona precedente aggiunti alla zona Cloud DNS.

  14. Cambia lo stato DNSSEC della zona da Transfer a On.

    Lasciare lo stato di trasferimento abilita la rotazione automatica delle chiavi per la zona. Le zone possono lasciare lo stato di trasferimento DNSSEC in sicurezza dopo una settimana e non devono rimanere in questo stato per più di un mese o due.

  15. Rimuovi il record DS per la zona del vecchio operatore dal tuo registrar.

Eseguire la migrazione delle zone con firma DNSSEC da Cloud DNS

Prima di iniziare la migrazione, consulta tutte le istruzioni. Devi anche verificare che il tuo provider supporti la migrazione. In caso contrario, non puoi eseguire la migrazione della zona utilizzando questa procedura.

Per eseguire la migrazione, segui questi passaggi:

  1. Cambia lo stato di DNSSEC da On a Transfer. Questa operazione interrompe la rotazione delle chiavi.

  2. Esporta il file della zona e importalo nel nuovo operatore.

    Puoi utilizzare gcloud dns record-sets export per esportare una zona.

    L'esportazione di una zona in modalità Transfer esporta anche i record DNSKEY da Cloud DNS. Se il provider accetta DNSKEY in questo passaggio, puoi includerlo ora e saltare i passaggi seguenti di trasferimento delle chiavi pubbliche da Cloud DNS al nuovo provider.

  3. Firma la zona con il nuovo provider.

    Devi utilizzare gli stessi algoritmi in uso da Cloud DNS sul nuovo provider.

    Devi arrestare la rotazione delle chiavi per la zona nel nuovo server dei nomi fino al completamento della migrazione.

  4. Recuperare i record DNSKEY da Cloud DNS. In modalità Transfer, i record DNSKEY vengono visualizzati come normali record della zona.

    Puoi anche utilizzare dig o delv per eseguire query sui server dei nomi Cloud DNS per i record DNSKEY, ma devi verificare che le chiavi pubbliche restituite siano corrette e valide per la tua zona.

  5. Recupera i nuovi record DNSKEY dal nuovo operatore.

    Potrebbe essere necessario firmare prima la zona o configurare DNSSEC per ottenere le chiavi.

  6. Aggiungi i record DNSKEY di Cloud DNS alla zona del nuovo operatore oltre ai record DNSKEY per la nuova zona.

  7. Aggiungi i record DNSKEY dal nuovo operatore a Cloud DNS.

  8. Aggiungi il record DS per la zona del nuovo operatore al registrar, oltre al record DS esistente da Cloud DNS.

  9. Attendi la propagazione dei nuovi record e la scadenza dei record precedenti da tutte le cache del resolver. In caso contrario, i dati non aggiornati potrebbero causare errori di convalida.

    Attendi finché non si verifica quanto segue:

    • Il set di record TTL della zona padre scade.

    • Il set di record DS della zona padre scade.

    • La scadenza del set di record NS della zona Cloud DNS è TTL.

    • Il set di record DNSKEY della zona Cloud DNS DNS (TTL) scade.

    Per verificare che la zona sia pronta, controlla che Cloud DNS stia gestendo tutti i record DNSKEY e che la zona padre stia pubblicando entrambi i record DS.

  10. Esegui la migrazione delle deleghe del server dei nomi in modo che rimandino al nuovo operatore.

    Aggiorna i record del server dei nomi nel registrar ai server dei nomi del nuovo operatore per la zona.

  11. Attendi che i nuovi record del server dei nomi si propaghino e che i vecchi record di delega scadano da tutte le cache del resolver. In caso contrario, i dati non aggiornati potrebbero causare errori di convalida.

    Attendi che scadano tutte le seguenti condizioni:

    • Il set di record NS della zona padre ha valore TTL.

    • Il set di record NS della zona Cloud DNS.

    Dopo questo passaggio, puoi eliminare in sicurezza la zona da Cloud DNS.

  12. Rimuovi i record DNSKEY di Cloud DNS aggiunti alla nuova zona.

  13. Rimuovi il record DS per Cloud DNS dal tuo registrar.

  14. Completa la migrazione presso il nuovo operatore in base alle esigenze.

Se l'altro operatore DNS dispone di un processo per la migrazione di una zona con firma DNSSEC, devi eseguire i passaggi in parallelo a questa procedura, dopo il passaggio 1.

Passaggi successivi