DNSSEC-fähige Zonen migrieren oder übertragen

Auf dieser Seite wird beschrieben, wie Sie eine DNSSEC-aktivierte Zone, die beim Domain-Registrator aktiviert ist, zwischen Cloud DNS und anderen DNS-Hosting-Anbietern migrieren und dabei die DNSSEC-Vertrauenskette aufrechterhalten.

Eine konzeptionelle Übersicht über DNSSEC finden Sie in der DNSSEC-Übersicht.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

• dns.dnsKeys.create zum Erstellen von DNSKEYs
• dns.dnsKeys.delete zum Löschen von DNSKEYs
• dns.dnsKeys.list, um DNSKEYs aufzulisten
• dns.dnsKeys.update zum Aktualisieren von DNSKEYs

Rollen

• roles/dns.admin

Hinweise

Die DNSSEC-Migration ist komplex und erfordert eine Koordination, um eine Zone zwischen Betreibern zu migrieren, ohne Ausfälle zu verursachen. Lesen Sie diese Anleitung vollständig, bevor Sie eine Zone übertragen oder migrieren. Wir empfehlen, den Migrationsprozess in einer weniger kritischen Zone zu testen, bevor Sie versuchen, kritische Produktionszonen zu migrieren.

Mit DNS-Betreibern und Domain-Registrator abstimmen

Damit validierende Resolver die Domain nicht als ungültig behandeln, müssen Sie die Migration mit den DNS-Betreibern und dem Domain-Registrator koordinieren. Mit diesem Schritt wird sichergestellt, dass Sie während der Umstellung eine gültige Vertrauenskette von der übergeordneten Zone zu den von beiden DNS-Betreibern verwalteten Schlüsseln einrichten und aufrechterhalten können.

Wenn Ihr Domainregistrar auch DNS-Hosting anbietet, müssen Sie die Migration der DNSSEC-Vertrauenskette mit Ihrem Domainregistrar koordinieren. Wenn der Registrator diesen Vorgang nicht unterstützt, können Sie die Nameserver nicht migrieren und gleichzeitig die DNSSEC-Vertrauenskette beibehalten.

Warten, bis Resolver-Caches ablaufen

Warten Sie während der Migration nach wichtigen Aktualisierungen von Datensätzen, bis die Resolver-Caches ablaufen. Dieser Schritt verhindert Validierungsfehler, die durch alte, im Cache gespeicherte Datensätze verursacht werden, die nach der Migration zu den neuen Nameservern nicht mit der aktualisierten Zone übereinstimmen.

Beschränkungen

Für die Migration einer DNSSEC-Zone gelten die folgenden Einschränkungen:

• Sie können eine Zone nur migrieren und gleichzeitig die DNSSEC-Vertrauenskette beibehalten, wenn der neue Operator und der neue Registrar die DNSSEC-Migration unterstützen. Dazu gehört das Importieren von DNSKEY-Einträgen, das Festlegen mehrerer DS-Einträge und das Verhindern der automatischen Schlüsselrotation während der Migration.

• Sie müssen für beide Operatoren denselben Algorithmus verwenden, da Zonen mit allen verwendeten Algorithmen signiert werden müssen. Weitere Informationen finden Sie in RFC 4035, Abschnitt 2.2. Cloud DNS kann jeweils nur mit einem Algorithmus signieren. Sie können Algorithmen während der Migration zwischen Anbietern nicht ändern.

• Sie müssen DNSKEY-Einträge aus Cloud DNS in die Zone des anderen Operators importieren und mit den Schlüsseln des Operators signieren lassen können. In Cloud DNS können DNSKEY-Einträge für Zonen im Modus Transfer hinzugefügt werden.

• Sie müssen der übergeordneten Zone einen zweiten DS-Eintrag aus Cloud DNS hinzufügen können. Der Registrar oder die übergeordnete Zone muss DS-Einträge zulassen, die öffentlichen Schlüsseln entsprechen, mit denen keine Einträge in der untergeordneten Zone signiert werden.

• Sie müssen die automatische Schlüsselrotation durch den alten oder neuen Betreiber für die Zone bis zum Abschluss der Migration stoppen können. Cloud DNS beendet die Schlüsselrotation für Zonen im Transfer-Modus automatisch.

Wenn der neue Betreiber die Migration nicht unterstützt, gehen Sie so vor:

1. Deaktivieren Sie DNSSEC bei Ihrem Registrator.
2. Führen Sie die Übertragung oder Migration aus.
3. Aktivieren Sie DNSSEC.
4. Aktivieren Sie DNSSEC bei Ihrem Registrator.

Eine informative Präsentation zu DNSSEC und zur Domainübertragung und zu möglichen Fehlern finden Sie unter DNS/DNSSEC und Domainübertragungen: Sind sie kompatibel?

Migration zwischen Operatoren

Cloud DNS verwendet für DNSSEC-Migrationen als technischen Ansatz die in RFC 6781 Anhang D Alternativer Rollout-Ansatz für zusammenarbeitende Operatoren beschriebene Rollover-Variante Double-DS KSK.

Bei der DNSSEC-Migration müssen keine privaten Schlüssel oder Signaturen zwischen DNS-Betreibern ausgetauscht werden. Stattdessen werden die vorhandenen Nameserver und die übergeordnete Zone vorab signierte Datensätze für die öffentlichen Schlüssel des neuen Betreibers zusätzlich zu den öffentlichen Schlüsseln des alten Betreibers veröffentlichen. Ebenso veröffentlichen die neuen Nameserver signierte Einträge für die Schlüssel des alten Betreibers zusätzlich zu den Schlüsseln des neuen Betreibers.

Diese Schlüssel des anderen Operators sind signiert, wodurch ein gegenseitiges Vertrauen zwischen den beiden Operatoren und der übergeordneten Zone entsteht. So können validierende Resolver Datensätze des einen Operators verwenden, um Antworten des anderen Operators zu validieren. Dieser Prozess ermöglicht den Übergang zu den neuen Nameservern des Betreibers ohne Unterbrechung.

Nachdem diese Einträge weitergegeben wurden, können Resolver Antworten von beiden Betreibern während des nachfolgenden Übergangszeitraums validieren, während die neuen Nameserver-Delegierungseinträge an alle Resolver-Caches weitergegeben werden.

Nachdem die aktualisierten Nameserver-Einträge übernommen wurden, können Sie die Migration abschließen. Sie können die untergeordnete Zone von den alten Nameservern und den Trust-Anker des alten Betreibers aus der übergeordneten Zone entfernen.

DNSSEC-signierte Zonen zu Cloud DNS migrieren

Lesen Sie zuerst alle Anleitungen. Außerdem müssen Sie prüfen, ob Ihr Anbieter die Migration unterstützt. Andernfalls können Sie die Zone nicht mit diesem Verfahren migrieren.

So führen Sie die Migration durch:

1. Beenden Sie die gesamte Schlüsselrotation für die Zone auf dem alten Nameserver.

2. Erstellen Sie eine neue DNSSEC-signierte Zone mit dem DNSSEC-Status Transfer. Im Status Transfer wird die Schlüsselrotation beendet und der DNSKEY-Import ist möglich.

   Sie müssen dieselben Algorithmen verwenden, die beim bestehenden Anbieter im Einsatz sind.

3. Exportieren Sie Ihre nicht signierten Zonendateien und importieren Sie sie dann in die neue Zone.

   Folgen Sie der Anleitung Ihres Anbieters zum Exportieren von Zonendaten.

   Sie können in diesem Schritt DNSKEYs einschließen. Schließen Sie aber keine anderen DNSSEC-Eintragstypen aus der vorhandenen Zone (CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM oder RRSIG) ein.

   Sie können Zonen mit dem Befehl gcloud dns record-sets import importieren.

4. Rufen Sie die vorherigen DNSKEY-Einträge vom alten Nameserver ab.

   Sie können auch dig oder delv verwenden, um DNSKEY-Einträge abzufragen. Sie müssen jedoch prüfen, ob die zurückgegebenen öffentlichen Schlüssel für Ihre Zone korrekt und gültig sind.

5. Rufen Sie die neuen DNSKEY-Einträge aus Cloud DNS ab. Im Transfer-Modus werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

6. Fügen Sie die vorhandenen DNSKEY-Einträge der Cloud DNS-Zone zusätzlich zu den automatisch generierten DNSKEY-Einträgen hinzu.

   Sie können in Schritt 3 auch DNSKEYs importieren und diesen Schritt überspringen, wenn Ihr Anbieter DNSKEYs zusammen mit den restlichen Zonendaten exportiert.

7. Fügen Sie der Zone im bestehenden Operator die neuen DNSKEY-Einträge aus Cloud DNS hinzu. Signieren Sie die Zone bei Bedarf neu.

8. Fügen Sie den DS-Eintrag für die Cloud DNS-Zone zu Ihrem Registrator hinzu.

9. Warten Sie, bis die neuen Einträge übernommen und die alten Einträge aus allen Resolver-Caches entfernt wurden. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

   Warten Sie, bis alle folgenden Bedingungen erfüllt sind:

   • Einträge werden an alle Nameserver weitergegeben, die vom alten Betreiber verwendet werden.

   • Die TTL des übergeordneten NS-Eintragssatzes läuft ab.

   • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

   • Die TTL des untergeordneten NS-Eintragssatzes am alten Operator läuft ab.

   • Die TTL des untergeordneten DNSKEY-Datensatzes am alten Operator läuft ab.

10. Prüfen Sie, ob die Zone bereit ist, indem Sie überprüfen, ob der alte Operator alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

11. Ändern Sie die Nameserver-Delegierungen, sodass sie auf Cloud DNS verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Cloud DNS-Nameserver für die neue Zone.

12. Warten Sie, bis die neuen Nameserver-Einträge weitergegeben wurden und die alten Delegierungseinträge aus allen Resolver-Caches abgelaufen sind. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis alle folgenden Bedingungen erfüllt sind:

    • Die TTL des übergeordneten NS-Eintragssatzes läuft ab.

    • Die TTL des untergeordneten NS-Eintragssatzes am alten Operator läuft ab.

    Danach können Sie die Bereitstellung der Zone beim alten Betreiber sicher beenden.

13. Entfernen Sie die DNSKEY-Einträge der alten Zone, die der Cloud DNS-Zone hinzugefügt wurden.

14. Ändern Sie den DNSSEC-Status der Zone von Transfer zu On.

    Wenn Sie den Übertragungsstatus verlassen, wird die automatische Schlüsselrotation für die Zone aktiviert. Ihre Zonen können den DNSSEC-Übertragungsstatus nach einer Woche sicher verlassen und dürfen nicht länger als ein oder zwei Monate im DNSSEC-Übertragungsstatus verbleiben.

15. Entfernen Sie den DS-Eintrag für die Zone des alten Betreibers von Ihrem Registrator.

DNSSEC-signierte Zonen von Cloud DNS migrieren

Lesen Sie sich vor der Migration alle Anleitungen durch. Außerdem müssen Sie prüfen, ob Ihr Anbieter die Migration unterstützt. Andernfalls können Sie die Zone nicht mit diesem Verfahren migrieren.

So führen Sie die Migration durch:

1. Ändern Sie den DNSSEC-Status von On zu Transfer. Durch diesen Schritt wird die Schlüsselrotation gestoppt.

2. Exportieren Sie Ihre Zonendatei und importieren Sie sie in den neuen Betreiber.

   Mit gcloud dns record-sets export können Sie eine Zone exportieren.

   Wenn Sie eine Zone im Modus Transfer exportieren, werden auch DNSKEY-Einträge aus Cloud DNS exportiert. Wenn Ihr Anbieter DNSKEY in diesem Schritt akzeptiert, können Sie sie jetzt einfügen und die Schritte unten überspringen, in denen öffentliche Schlüssel von Cloud DNS zum neuen Anbieter übertragen werden.

3. Signieren Sie die Zone beim neuen Anbieter.

   Sie müssen beim neuen Anbieter dieselben Algorithmen verwenden, die von Cloud DNS verwendet werden.

   Sie müssen die Schlüsselrotation für die Zone auf dem neuen Nameserver beenden, bis die Migration abgeschlossen ist.

4. Rufen Sie die DNSKEY-Einträge aus Cloud DNS ab. Im Transfer-Modus werden DNSKEY-Einträge wie normale Einträge in der Zone angezeigt.

   Sie können auch dig oder delv verwenden, um die Cloud DNS-Nameserver nach DNSKEY-Einträgen zu fragen. Sie müssen jedoch prüfen, ob die zurückgegebenen öffentlichen Schlüssel für Ihre Zone korrekt und gültig sind.

5. Rufen Sie die neuen DNSKEY-Einträge vom neuen Operator ab.

   Möglicherweise müssen Sie zuerst die Zone signieren oder DNSSEC konfigurieren, um Schlüssel zu erhalten.

6. Fügen Sie die Cloud DNS DNSKEY-Einträge in der Zone des neuen Operators zusätzlich zu den DNSKEY-Einträgen für die neue Zone hinzu.

7. Fügen Sie Cloud DNS die DNSKEY-Einträge des neuen Operators hinzu.

8. Fügen Sie den DS-Eintrag für die Zone des neuen Operators zu Ihrem Registrator hinzu. Der vorhandene DS-Eintrag von Cloud DNS bleibt bestehen.

9. Warten Sie, bis die neuen Einträge übernommen und die alten Einträge aus allen Resolver-Caches entfernt wurden. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

   Warten Sie, bis alle folgenden Bedingungen erfüllt sind:

   • Die TTL des übergeordneten NS-Eintragssatzes läuft ab.

   • Die TTL des übergeordneten DS-Eintagssatzes läuft ab.

   • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes läuft ab.

   • Die TTL des Cloud DNS-Zonen-DNSKEY-Eintragssatzes läuft ab.

   Sie können prüfen, ob die Zone bereit ist, indem Sie überprüfen, ob Cloud DNS alle DNSKEY-Einträge und die übergeordnete Zone beide DS-Einträge bereitstellt.

10. Migrieren Sie die Nameserver-Delegierungen, sodass sie auf den neuen Betreiber verweisen.

    Aktualisieren Sie die Nameserver-Einträge beim Registrator auf die Nameserver des neuen Betreibers für die Zone.

11. Warten Sie, bis die neuen Nameserver-Einträge weitergegeben wurden und die alten Delegierungseinträge aus allen Resolver-Caches abgelaufen sind. Andernfalls können veraltete Daten zu Validierungsfehlern führen.

    Warten Sie, bis alle folgenden abgelaufen sind:

    • Die TTL des übergeordneten NS-Eintragssatzes.

    • Die TTL des Cloud DNS-Zonen-NS-Eintragssatzes.

    Danach können Sie die Zone in Cloud DNS löschen.

12. Entfernen Sie die Cloud DNS DNSKEY-Einträge, die der neuen Zone hinzugefügt wurden.

13. Entfernen Sie den DS-Eintrag für Cloud DNS von Ihrem Registrator.

14. Schließen Sie die Migration bei Bedarf beim neuen Mobilfunkanbieter ab.

Wenn der andere DNS-Betreiber einen Prozess für die Migration einer DNSSEC-signierten Zone hat, müssen Sie nach diesem Schritt 1 die Schritte parallel ausführen.

Nächste Schritte

• Informationen zu bestimmten DNSSEC-Konfigurationen finden Sie unter Erweitertes DNSSEC verwenden.
• Informationen zum Arbeiten mit verwalteten Zonen finden Sie unter Zonen erstellen, ändern und löschen.
• Informationen zu Lösungen für häufige Probleme, die bei der Verwendung von Cloud DNS auftreten können, finden Sie in den Informationen zur Fehlerbehebung.
• Eine Übersicht über Cloud DNS finden Sie in der Cloud DNS-Übersicht.