Migra o transfiere zonas con DNSSEC habilitada

En esta página, se describe cómo migrar una zona con DNSSEC habilitada que se activa en el registrador de dominios entre Cloud DNS y otros proveedores de hosting de DNS, mientras se mantiene la cadena de confianza de DNSSEC.

Para ver una descripción general conceptual de DNSSEC, consulta Descripción general de DNSSEC.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o los siguientes roles de IAM.

Permisos

• dns.dnsKeys.create para crear una DNSKEY
• dns.dnsKeys.delete para borrar una DNSKEY
• dns.dnsKeys.list para enumerar las DNSKEY
• dns.dnsKeys.update para actualizar una DNSKEY

Roles

• roles/dns.admin

Antes de comenzar

La migración de DNSSEC es compleja y requiere coordinación para migrar una zona entre operadores sin incurrir en interrupciones. Lee esta guía en su totalidad antes de transferir o migrar una zona. Recomendamos que pruebes el proceso de migración en una zona menos importante antes de llevarla a cabo en zonas de producción fundamentales.

Coordina con los operadores de DNS y el registrador de dominios

Para evitar que los agentes de resolución de validación traten al dominio como no válido, debes coordinar la migración con los operadores de DNS y el registrador de dominios. Esto garantiza que puedas establecer y mantener una cadena de confianza válida de la zona principal a las claves administradas por ambos operadores DNS durante la transición.

Si el registrador de dominios también brinda hosting de DNS, debes coordinar con el registrador de dominios para migrar la cadena de confianza de DNSSEC. Si el registrador no admite esta operación, no puedes migrar los servidores de nombres mientras mantienes la cadena de confianza de DNSSEC.

Espera a que venzan las memorias caché del agente de resolución

Durante la migración, después de realizar las actualizaciones esenciales del registro, espera a que venzan las memorias caché del agente de resolución. Esto evita fallas en la validación causadas por registros almacenados en caché antiguos que son incoherentes con la zona actualizada después de migrar a los nuevos servidores de nombres.

Limitaciones

La migración de una zona DNSSEC tiene las siguientes limitaciones:

• Solo puedes migrar una zona mientras mantienes la cadena de confianza de DNSSEC si el operador y el registrador nuevos admiten la migración de DNSSEC, incluida la importación de registros DNSKEY, la configuración de varios registros DS y la prevención de la rotación automática de claves durante la migración.

• Debes usar el mismo algoritmo en ambos operadores, ya que las zonas se deben firmar con todos los algoritmos en uso. Para obtener más información, consulta RFC 4035 artículo 2.2. Cloud DNS solo puede firmar con un algoritmo a la vez. No puedes cambiar algoritmos durante la migración entre proveedores.

• Debes poder importar registros DNSKEY desde Cloud DNS a la zona del otro operador y tener esos registros firmados con sus claves. Cloud DNS permite agregar registros DNSKEY para zonas en modo Transfer.

• Debes poder agregar un segundo registro DS desde Cloud DNS a la zona superior. El registrador o la zona superior deben permitir registros DS que correspondan a claves públicas que no firmen ningún registro en la zona secundaria.

• Debes poder detener la rotación de claves automatizada por el operador nuevo o antiguo de la zona hasta que se complete la migración. Cloud DNS detiene la rotación de clave de forma automática para las zonas en modo Transfer.

Si el operador nuevo no admite la migración, haz lo siguiente:

1. Desactiva DNSSEC en tu registrador.
2. Realiza la transferencia o migración.
3. Habilita DNSSEC.
4. Activa DNSSEC en tu registrador.

Para obtener una presentación informativa sobre las transferencias de dominio y DNSSEC, y los posibles errores, consulta Transferencias de dominio y DNS/DNSSEC: ¿Son compatibles?.

Migración entre operadores

El enfoque técnico que usa Cloud DNS para las migraciones de DNSSEC es la variante de desplazamiento KSK Double-DS descrita en el enfoque de desplazamiento alternativo del apéndice D de RFC 6781 para operadores cooperativos.

La migración de DNSSEC funciona sin intercambiar claves privadas ni firmas entre operadores DNS. En su lugar, los servidores de nombres existentes y la zona superior publican registros firmados de forma previa para las claves públicas del operador nuevo, además de las claves públicas del operador anterior. Del mismo modo, los servidores de nombres nuevos publican registros firmados para las claves del operador anterior y las del operador nuevo.

Estas claves del otro operador se firman y, por ende, crean confianza cruzada entre los dos operadores y la zona superior, de modo que los agentes de resolución de validación puedan usar registros de un operador para validar las respuestas del otro. Este proceso permite la transición a los servidores de nombres del operador nuevo sin interrupciones.

Una vez que se propagan estos registros, los agentes de resolución pueden validar las respuestas de ambos operadores durante el período de transición posterior, mientras que los registros de delegación del servidor de nombres nuevo se propagan a todas las memorias caché del agente de resolución.

Una vez que se propaguen los registros actualizados del servidor de nombres, puedes finalizar la migración. Puedes quitar la zona secundaria de los servidores de nombres anteriores y quitar el ancla de confianza del operador anterior de la zona superior.

Migra zonas con firma de DNSSEC a Cloud DNS

Antes de comenzar, revisa todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, sigue estos pasos:

1. Detén toda rotación de claves de la zona en el servidor de nombres anterior.

2. Crea una zona con firma de DNSSEC nueva en el estado de DNSSEC Transfer. El estado Transfer detiene la rotación de claves y permite la importación de DNSKEY.

   Debes usar los mismos algoritmos vigentes en el proveedor existente.

3. Exporta tus archivos de zona sin firmar y, luego, impórtalos en la zona nueva.

   Sigue las instrucciones de tu proveedor para exportar los datos de zona.

   Puedes incluir DNSKEYs en este paso, pero no incluyas ningún otro tipo de registro DNSSEC de la zona existente, por ejemplo, los tipos CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG.

   Puedes importar zonas con el comando gcloud dns record-sets import.

4. Recupera los registros DNSKEY previos del servidor de nombres anterior.

   También puedes usar dig o delv para realizar consultas sobre registros DNSKEY, pero debes verificar que las claves públicas que se devuelvan sean correctas y válidas para tu zona.

5. Recupera los registros DNSKEY nuevos de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

6. Agrega los registros DNSKEY existentes a la zona de Cloud DNS, además de los registros DNSKEY que se generan de forma automática.

   También puedes importar DNSKEYs durante el paso 3 y omitir este si tu proveedor exporta DNSKEYs junto con el resto de los datos de la zona.

7. Agrega los registros DNSKEY nuevos de Cloud DNS a la zona del operador existente. Asegúrate de volver a firmar la zona si es necesario.

8. Agrega el registro DS para la zona de Cloud DNS a tu registrador, además del registro DS existente.

9. Espera hasta que se propaguen los registros nuevos y venzan los registros antiguos de todas las memorias caché del agente de resolución. De lo contrario, los datos inactivos podrían provocar fallas en la validación.

   Espera hasta que se realicen todas estas acciones:

   • Los registros se propaguen a todos los servidores de nombres que usa el operador anterior.

   • El TTL del conjunto de registros NS de la zona superior venza.

   • El TTL del conjunto de registros DS de la zona superior venza.

   • El TTL del conjunto de registros NS de la zona secundaria en el operador anterior venza.

   • El TTL del conjunto de registros DNSKEY de la zona secundaria en el operador anterior venza.

10. Para verificar que la zona esté lista, comprueba que el operador anterior entregue todos los registros DNSKEY y que la zona superior entregue ambos registros DS.

11. Cambia las delegaciones del servidor de nombres para que apunten a Cloud DNS.

    Actualiza los registros del servidor de nombres del registrador con los servidores de nombres de Cloud DNS para la zona nueva.

12. Espera hasta que se propaguen los registros del servidor de nombres nuevo y venzan los registros de delegación antiguos de todas las memorias cachés del agente de resolución. De lo contrario, los datos inactivos podrían provocar fallas en la validación.

    Espera hasta que se realicen todas estas acciones:

    • El TTL del conjunto de registros NS de la zona superior venza.

    • El TTL del conjunto de registros NS de la zona secundaria en el operador anterior venza.

    Después de este paso, puedes dejar de entregar la zona de forma segura en el operador anterior.

13. Quita los registros DNSKEY de la zona antigua que se agregaron a la zona de Cloud DNS.

14. Cambia el estado de DNSSEC de la zona de Transfer a On.

    Si abandonas el estado de transferencia, se habilitará la rotación de claves automática para la zona. Tus zonas pueden abandonar el estado de transferencia de DNSSEC de forma segura al cabo de una semana y no deberían permanecer en este estado durante más de uno o dos meses.

15. Quita el registro DS para la zona del operador anterior de tu registrador.

Migra zonas con firma de DNSSEC desde Cloud DNS

Antes de comenzar la migración, revisa todas las instrucciones. También debes verificar que tu proveedor admita la migración. De lo contrario, no podrás migrar la zona con este proceso.

Para realizar la migración, sigue estos pasos:

1. Cambia el estado de DNSSEC de On a Transfer. Este paso detiene la rotación de claves.

2. Exporta tu archivo de zona y, luego, impórtalo en el operador nuevo.

   Puedes usar gcloud dns record-sets export para exportar una zona.

   Exportar una zona en modo Transfer también permite exportar registros DNSKEY desde Cloud DNS. Si tu proveedor acepta DNSKEY en este paso, puedes incluirlos ahora y omitir los pasos que se indican a continuación para transferir las claves públicas de Cloud DNS al nuevo proveedor.

3. Firma la zona en el proveedor nuevo.

   Debes usar los mismos algoritmos vigentes en Cloud DNS en el proveedor nuevo.

   Debes detener la rotación de claves de la zona en el servidor de nombres nuevo hasta que se complete la migración.

4. Recupera los registros DNSKEY de Cloud DNS. En el modo Transfer, los registros DNSKEY aparecen como registros normales en la zona.

   También puedes usar dig o delv para realizar consultas sobre registros DNSKEY en el servidor de nombres de Cloud DNS, pero debes verificar que las claves públicas que se devuelvan sean correctas y válidas para tu zona.

5. Recupera los registros DNSKEY nuevos del operador nuevo.

   Es posible que primero debas firmar la zona o configurar DNSSEC para obtener las claves.

6. Agrega los registros DNSKEY de Cloud DNS a la zona del operador nuevo, además de los de la zona nueva.

7. Agrega los registros DNSKEY del operador nuevo a Cloud DNS.

8. Agrega el registro DS para la zona nueva del operador a tu registrador, además del registro DS existente de Cloud DNS.

9. Espera hasta que se propaguen los registros nuevos y venzan los registros antiguos de todas las memorias caché del agente de resolución. De lo contrario, los datos inactivos podrían provocar fallas en la validación.

   Espera hasta que se realicen todas estas acciones:

   • El TTL del conjunto de registros NS de la zona superior venza.

   • El TTL del conjunto de registros DS de la zona superior venza.

   • El TTL del conjunto de registros NS de la zona de Cloud DNS venza.

   • El TTL del conjunto de registros DNSKEY de la zona de Cloud DNS venza.

   Para verificar que la zona esté lista, comprueba que Cloud DNS entregue todos los registros DNSKEY y que la zona principal entregue ambos registros DS.

10. Migra las delegaciones del servidor de nombres para que apunten hacia el operador nuevo.

    Actualiza los registros del servidor de nombres del registrador con los servidores de nombres del operador nuevo para la zona.

11. Espera hasta que se propaguen los registros del servidor de nombres nuevo y venzan los registros de delegación antiguos de todas las memorias cachés del agente de resolución. De lo contrario, los datos inactivos podrían provocar fallas en la validación.

    Espera hasta que venzan todos estos elementos:

    • El TTL del conjunto de registros NS de la zona superior.

    • El TTL del conjunto de registros NS de la zona de Cloud DNS.

    Después de este paso, puedes borrar la zona de Cloud DNS de forma segura.

12. Quita los registros DNSKEY de Cloud DNS que se agregaron a la zona nueva.

13. Quita el registro DS para Cloud DNS de tu registrador.

14. Finaliza la migración en el operador nuevo según sea necesario.

Si el otro operador de DNS tiene un proceso para migrar una zona con firma de DNSSEC, debes llevar a cabo sus pasos en paralelo con este procedimiento, después del paso 1.

¿Qué sigue?

• Para obtener información sobre parámetros de configuración específicos de DNSSEC, consulta Usa DNSSEC avanzadas.
• Para trabajar con zonas administradas, consulta Crea, modifica y borra zonas.
• Para encontrar soluciones a problemas habituales que podrías tener cuando usas Cloud DNS, consulta Soluciona problemas.
• Para obtener una descripción general de Cloud DNS, consulta Descripción general de Cloud DNS.