Migrar o transferir zonas habilitadas para DNSSEC

Esta página describe cómo migrar una zona habilitada para DNSSEC que está activada en el registrador de dominio entre Cloud DNS y otros proveedores de alojamiento de DNS mientras se mantiene la cadena de confianza de DNSSEC.

Para obtener una descripción general conceptual de DNSSEC, consulte Descripción general de DNSSEC .

Antes de empezar

La migración de DNSSEC es compleja y requiere coordinación para migrar una zona entre operadores sin interrupciones. Lea esta guía completa antes de transferir o migrar una zona. Le recomendamos que pruebe el proceso de migración en una zona menos crítica antes de intentar migrar zonas de producción críticas.

Coordinar con los operadores de DNS y el registrador de dominios

Para evitar que los solucionadores de validación consideren el dominio como no válido, debe coordinar la migración con los operadores DNS y el registrador del dominio. Este paso garantiza que pueda establecer y mantener una cadena de confianza válida desde la zona principal hasta las claves administradas por ambos operadores DNS durante la transición.

Si su registrador de dominios también ofrece alojamiento DNS, debe coordinarse con él para migrar la cadena de confianza DNSSEC. Si el registrador no admite esta operación, no podrá migrar los servidores de nombres mientras mantiene la cadena de confianza DNSSEC.

Espere a que caduquen los cachés de resolución

Durante la migración, después de realizar actualizaciones críticas de registros, espere a que caduquen las cachés de resolución. Este paso evita errores de validación causados ​​por registros antiguos en caché que no coinciden con la zona actualizada tras la migración a los nuevos servidores de nombres.

Limitaciones

La migración de una zona DNSSEC tiene las siguientes limitaciones:

• Solo se puede migrar una zona manteniendo la cadena de confianza DNSSEC si el nuevo operador y registrador admiten la migración DNSSEC, incluida la importación de registros DNSKEY, la configuración de múltiples registros DS y la prevención de la rotación automática de claves durante la migración.

• Debe usar el mismo algoritmo en ambos operadores, ya que las zonas deben firmarse con todos los algoritmos en uso. Para más información, consulte la sección 2.2 de RFC 4035. Cloud DNS solo puede firmar con un algoritmo a la vez. No se pueden cambiar los algoritmos durante la migración entre proveedores.

• Debe poder importar registros DNSKEY desde Cloud DNS a la zona del otro operador y firmarlos con las claves del operador. Cloud DNS permite agregar registros DNSKEY para zonas en modo Transfer .

• Debe poder agregar un segundo registro DS desde Cloud DNS a la zona principal. El registrador o la zona principal deben permitir registros DS que correspondan a claves públicas que no firmen ningún registro en la zona secundaria.

• Debe poder detener la rotación automática de claves por parte del operador anterior o del nuevo para la zona hasta que se complete la migración. Cloud DNS detiene automáticamente la rotación de claves para las zonas en modo Transfer .

Si el nuevo operador no admite la migración, haga lo siguiente:

1. Desactive DNSSEC en su registrador .
2. Realizar la transferencia o migración.
3. Habilitar DNSSEC .
4. Active DNSSEC en su registrador .

Para obtener una presentación informativa sobre DNSSEC y las transferencias de dominios y sus posibles dificultades, consulte DNS/DNSSEC y transferencias de dominios: ¿Son compatibles?

Migración entre operadores

El enfoque técnico que utiliza Cloud DNS para las migraciones de DNSSEC es la variante de renovación de KSK Double-DS descrita en el Apéndice D de RFC 6781, Enfoque de renovación alternativo para operadores cooperantes .

La migración de DNSSEC funciona sin intercambiar claves privadas ni firmas entre operadores DNS. En su lugar, los servidores de nombres existentes y la zona principal publican previamente los registros firmados para las claves públicas del nuevo operador, además de las del operador anterior. Asimismo, los nuevos servidores de nombres publican los registros firmados para las claves del operador anterior, además de las del nuevo.

Estas claves del otro operador se firman, lo que crea confianza cruzada entre ambos operadores y la zona principal, de modo que los resolutores de validación puedan usar los registros de un operador para validar las respuestas del otro. Este proceso permite la transición a los nuevos servidores de nombres del operador sin interrupciones.

Una vez que estos registros se propagan, los resolutores pueden validar las respuestas de ambos operadores durante el período de transición posterior, mientras que los nuevos registros de delegación del servidor de nombres se propagan a todos los cachés de los resolutores.

Una vez que se propaguen los registros actualizados del servidor de nombres, puede finalizar la migración. Puede eliminar la zona secundaria de los servidores de nombres antiguos y el ancla de confianza del operador anterior de la zona principal.

Migrar zonas firmadas por DNSSEC a Cloud DNS

Antes de comenzar, revise todas las instrucciones . También debe verificar que su proveedor admita la migración . De lo contrario, no podrá migrar la zona mediante este proceso.

Para realizar la migración, siga estos pasos:

1. Detener toda rotación de claves para la zona en el servidor de nombres antiguo.

2. Crea una nueva zona firmada por DNSSEC en estado Transfer DNSSEC. Transfer estado detiene la rotación de claves y permite la importación de DNSKEY.

   Debes utilizar los mismos algoritmos que utiliza el proveedor actual.

3. Exporte los archivos de zona sin firmar y luego impórtelos a la nueva zona.

   Siga las instrucciones de su proveedor para exportar datos de zona.

   Puede incluir DNSKEYs en este paso, pero no incluya ningún otro tipo de registro DNSSEC de la zona existente (tipos CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM o RRSIG).

   Puede importar zonas utilizando el comando gcloud dns record-sets import .

4. Recupere los registros DNSKEY anteriores del servidor de nombres antiguo.

   También puede utilizar dig o delv para consultar registros DNSKEY, pero debe verificar que las claves públicas devueltas sean correctas y válidas para su zona.

5. Recupera los nuevos registros DNSKEY de Cloud DNS. En el modo Transfer , los registros DNSKEY aparecen como registros normales en la zona.

6. Agregue los registros DNSKEY existentes a la zona DNS en la nube además de los registros DNSKEY generados automáticamente.

   También puede importar DNSKEYs durante el paso 3 y omitir este paso si su proveedor exporta DNSKEYs junto con el resto de los datos de la zona.

7. Agregue los nuevos registros DNSKEY de Cloud DNS a la zona del operador existente. Asegúrese de volver a firmar la zona si es necesario.

8. Agregue el registro DS para la zona DNS en la nube a su registrador además del registro DS existente.

9. Espere hasta que los nuevos registros se propaguen y los antiguos caduquen en todas las cachés de resolución. De lo contrario, los datos obsoletos podrían causar errores de validación.

   Espere hasta que ocurra todo lo siguiente:

   • Los registros se propagan a todos los servidores de nombres utilizados por el operador antiguo.

   • El TTL del conjunto de registros NS de la zona principal expira.

   • El TTL del conjunto de registros DS de la zona principal expira.

   • El conjunto de registros NS de la zona secundaria TTL en el operador anterior caduca.

   • El conjunto TTL del registro DNSKEY de la zona secundaria en el operador anterior caduca.

10. Verifique que la zona esté lista verificando que el operador anterior esté atendiendo todos los registros DNSKEY y que la zona principal esté atendiendo ambos registros DS.

11. Cambie las delegaciones del servidor de nombres para que apunten a Cloud DNS.

    Actualice los registros del servidor de nombres en el registrador a los servidores de nombres DNS en la nube para la nueva zona.

12. Espere hasta que los nuevos registros del servidor de nombres se propaguen y los antiguos registros de delegación caduquen en todas las cachés de resolución. De lo contrario, los datos obsoletos podrían causar errores de validación.

    Espere hasta que ocurra todo lo siguiente:

    • El TTL del conjunto de registros NS de la zona principal expira.

    • El conjunto de registros NS de la zona secundaria TTL en el operador anterior caduca.

    Después de este paso, puedes dejar de prestar servicio a la zona en el operador anterior de forma segura.

13. Eliminar los registros DNSKEY de la zona anterior agregados a la zona DNS de la nube.

14. Cambie el estado DNSSEC de la zona de Transfer a On .

    Al salir del estado de transferencia, se habilita la rotación automática de claves para la zona. Sus zonas pueden salir del estado de transferencia DNSSEC de forma segura después de una semana y no deben permanecer en dicho estado durante más de uno o dos meses.

15. Elimine el registro DS de la zona del antiguo operador de su registrador.

Migrar zonas firmadas con DNSSEC desde Cloud DNS

Antes de comenzar la migración, revise todas las instrucciones . También debe verificar que su proveedor admita la migración . De lo contrario, no podrá migrar la zona mediante este proceso.

Para realizar la migración, siga estos pasos:

1. Cambie el estado de DNSSEC de On a Transfer . Este paso detiene la rotación de claves.

2. Exporte su archivo de zona e impórtelo al nuevo operador.

   Puede utilizar gcloud dns record-sets export para exportar una zona.

   Al exportar una zona en modo Transfer , también se exportan los registros DNSKEY de Cloud DNS. Si su proveedor acepta DNSKEY en este paso, puede incluirlos ahora y omitir los pasos a continuación que transfieren las claves públicas de Cloud DNS al nuevo proveedor.

3. Firmar la zona en el nuevo proveedor.

   Debe utilizar los mismos algoritmos que utiliza Cloud DNS en el nuevo proveedor.

   Debe detener la rotación de claves para la zona en el nuevo servidor de nombres hasta que se complete la migración.

4. Recupere los registros DNSKEY de Cloud DNS. En el modo Transfer los registros DNSKEY aparecen como registros normales en la zona.

   También puede usar dig o delv para consultar los registros DNSKEY de los servidores de nombres DNS de la nube, pero debe verificar que las claves públicas devueltas sean correctas y válidas para su zona.

5. Recupere los nuevos registros DNSKEY del nuevo operador.

   Es posible que primero tengas que firmar la zona o configurar DNSSEC para obtener claves.

6. Agregue los registros DNSKEY de Cloud DNS a la zona del nuevo operador además de los registros DNSKEY para la nueva zona.

7. Agregue los registros DNSKEY del nuevo operador a Cloud DNS.

8. Agregue el registro DS para la zona del nuevo operador a su registrador además del registro DS existente de Cloud DNS.

9. Espere hasta que los nuevos registros se propaguen y los antiguos caduquen en todas las cachés de resolución. De lo contrario, los datos obsoletos podrían causar errores de validación.

   Espere hasta que ocurra todo lo siguiente:

   • El TTL del conjunto de registros NS de la zona principal expira.

   • El TTL del conjunto de registros DS de la zona principal expira.

   • El TTL del conjunto de registros NS de la zona DNS de la nube caduca.

   • El TTL del conjunto de registros DNSKEY de la zona DNS en la nube caduca.

   Puede verificar que la zona esté lista verificando que Cloud DNS esté sirviendo todos los registros DNSKEY y que la zona principal esté sirviendo ambos registros DS.

10. Migrar las delegaciones del servidor de nombres para que apunten al nuevo operador.

    Actualice los registros del servidor de nombres en el registrador a los servidores de nombres del nuevo operador para la zona.

11. Espere hasta que los nuevos registros del servidor de nombres se propaguen y los antiguos registros de delegación caduquen en todas las cachés de resolución. De lo contrario, los datos obsoletos podrían causar errores de validación.

    Espere hasta que caduquen todos los siguientes:

    • El conjunto de registros NS de la zona principal establece TTL.

    • El conjunto de registros NS de la zona DNS de la nube TTL.

    Después de este paso, puedes eliminar la zona de Cloud DNS de forma segura.

12. Eliminar los registros DNSKEY de Cloud DNS agregados a la nueva zona.

13. Elimina el registro DS para Cloud DNS de tu registrador.

14. Finalice la migración en el nuevo operador según sea necesario.

Si el otro operador de DNS tiene un proceso para migrar una zona firmada por DNSSEC, debe realizar sus pasos en paralelo con este procedimiento, después del paso 1.

¿Qué sigue?

• Para obtener información sobre configuraciones específicas de DNSSEC, consulte Usar DNSSEC avanzado .
• Para trabajar con zonas administradas, consulte Crear, modificar y eliminar zonas .
• Para encontrar soluciones a problemas comunes que pueda encontrar al usar Cloud DNS, consulte Solución de problemas .
• Para obtener una descripción general de Cloud DNS, consulte Descripción general de Cloud DNS .