העברה או העברה של תחומים שמופעלת בהם תמיכה ב-DNSSEC

בדף הזה נסביר איך להעביר תחום עם תמיכה ב-DNSSEC שמופעל אצל רשם הדומיין בין Cloud DNS לבין ספקי אירוח DNS אחרים, תוך שמירה על שרשרת האמון של DNSSEC.

סקירה כללית על DNSSEC

ההרשאות שנדרשות לביצוע המשימה הזו

כדי לבצע את המשימה הזו, צריכות להיות לכם ההרשאות הבאות או תפקידי ה-IAM הבאים.

הרשאות

• dns.dnsKeys.create כדי ליצור מפתחות DNSKEY
• dns.dnsKeys.delete כדי למחוק מפתחות DNS
• dns.dnsKeys.list כדי להציג רשימה של DNSKEYS
• dns.dnsKeys.update כדי לעדכן את רשומות ה-DNSKEY

תפקידים

• roles/dns.admin

לפני שמתחילים

ההעברה של DNSSEC מורכבת ומחייבת תיאום כדי להעביר תחום בין אופרטורים בלי לגרום להפסקות זמניות בשירות. מומלץ לקרוא את המדריך הזה במלואו לפני שמעבירים או מעבירים לאזור אחר. מומלץ לבדוק את תהליך ההעברה באזור פחות קריטי לפני שמנסים להעביר אזורי ייצור קריטיים.

תיאום עם מפעילי DNS ורשם דומיינים

כדי למנוע ממפצים מאמתים להתייחס לדומיין כאל לא תקין, צריך לתאם את ההעברה גם עם מפעילי ה-DNS וגם עם רשם הדומיין. השלב הזה מבטיח שתוכלו ליצור ולתחזק שרשרת אמון תקינה מהתחום ההורה למפתחות שמנוהלים על ידי שני מפעילי ה-DNS במהלך המעבר.

אם רשם הדומיין מספק גם אירוח DNS, עליכם לתאם איתו את העברת שרשרת האמון של DNSSEC. אם המרשם לא תומך בפעולה הזו, לא תוכלו להעביר את שרתי השמות תוך שמירה על שרשרת האמון של DNSSEC.

המתנה לתפוגת התוקף של מטמון המפַתח

במהלך ההעברה, אחרי שמבצעים עדכונים חיוניים של רשומות, צריך להמתין לתפוגת התוקף של מטמון המפַתח. השלב הזה מונע שגיאות אימות שנגרמות על ידי רשומות ישנות ששמורות במטמון ושאינן תואמות לתחום המעודכן אחרי ההעברה לשרתי השמות החדשים.

מגבלות

במעבר של תחום DNSSEC חלות המגבלות הבאות:

• אפשר להעביר אזור תוך שמירה על שרשרת האמון של DNSSEC רק אם המפעיל והרשם החדשים תומכים בהעברת DNSSEC, כולל ייבוא של רשומות DNSKEY, הגדרה של כמה רשומות DS ומניעת רוטציה אוטומטית של מפתחות במהלך ההעברה.

• עליכם להשתמש באותו אלגוריתם בשני המפעילים, כי יש לחתום על תחומים בכל האלגוריתמים שבשימוש. פרטים נוספים זמינים ב-RFC 4035, סעיף 2.2. אפשר לחתום ב-Cloud DNS רק עם אלגוריתם אחד בכל פעם. אי אפשר לשנות את האלגוריתמים במהלך ההעברה בין ספקים.

• צריכה להיות לכם אפשרות לייבא רשומות DNSKEY מ-Cloud DNS לתחום של המפעיל השני, ולחתום על הרשומות האלה באמצעות המפתחות של המפעיל. ב-Cloud DNS אפשר להוסיף רשומות DNSKEY לאזורים במצב Transfer.

• צריכה להיות לכם אפשרות להוסיף רשומת DS שנייה מ-Cloud DNS לאזור ההורה. הרשם או תחום ההורה חייבים לאפשר רשומות DS שתואמות למפתחות ציבוריים שלא חותמים על רשומות כלשהן בתחום הצאצא.

• צריך להיות אפשרות להפסיק את רוטציית המפתחות האוטומטית על ידי המפעיל הישן או החדש של האזור עד שההעברה תושלם. מערכת Cloud DNS מפסיקה באופן אוטומטי את רוטציית המפתחות של תחומים במצב Transfer.

אם המפעיל החדש לא תומך בהעברה, צריך לבצע את הפעולות הבאות:

1. משביתים את DNSSEC אצל הרשם.
2. מבצעים את ההעברה או את ההעברה.
3. מפעילים את DNSSEC.
4. מפעילים את DNSSEC אצל הרשם.

במצגת מפורטת בנושא DNSSEC והעברות דומיינים, עם פירוט של מלכודות פוטנציאליות, אפשר לעיין במאמר DNS/DNSSEC והעברות דומיינים: האם הם תואמים?.

מעבר בין ספקי שירות

הגישה הטכנית שבה Cloud DNS משתמש להעברות של DNSSEC היא הווריאנט של Double-DS KSK rollover שמתואר במאמר RFC 6781 Appendix D Alternative Rollover Approach for Cooperating Operators.

ההעברה של DNSSEC פועלת בלי החלפת מפתחות פרטיים או חתימות בין מפעילי DNS. במקום זאת, שרתי השמות הקיימים והתחום ההורה מפרסמים מראש רשומות חתומות של המפתחות הציבוריים של המפעיל החדש, בנוסף למפתחות הציבוריים של המפעיל הישן. באופן דומה, שרתי השמות החדשים מפרסמים רשומות חתומות למפתחות של המפעיל הישן, בנוסף למפתחות של המפעיל החדש.

המפתחות האלה מהמפעיל השני חתומים, וכך נוצר אמון הדדי בין שני המפעילים לבין תחום ההורה, כך שמפתרני פתרון שמבצעים אימות יכולים להשתמש ברשומות ממפעיל אחד כדי לאמת תשובות מהמפעיל השני. התהליך הזה מאפשר את המעבר לשרתי השמות החדשים של המפעיל ללא הפסקה.

אחרי שהרשומות האלה יופצו, פותרי ה-DNS יוכלו לאמת תשובות משני המפעילים במהלך תקופת המעבר הבאה, בזמן שרשומות הענקת הגישה החדשות של שרת השמות יופצו לכל מטמון ה-DNS.

אחרי שההפצה של רשומות שרתי השמות המעודכנות תסתיים, תוכלו להשלים את ההעברה. אפשר להסיר את תחום הצאצא משרתי השמות הישנים ולהסיר את עוגן האמון של המפעיל הקודם מתחום ההורה.

העברת תחומים עם חתימת DNSSEC ל-Cloud DNS

לפני שמתחילים, כדאי לעיין בכל ההוראות. בנוסף, עליכם לוודא שהספק תומך בהעברה. אחרת לא תוכלו להעביר את האזור באמצעות התהליך הזה.

כדי לבצע את ההעברה:

1. מפסיקים את כל סיבוב החתימות של האזור בשרת השמות הישן.

2. יוצרים תחום חדש עם חתימה של DNSSEC במצב Transfer של DNSSEC. המצב Transfer מפסיק את רוטציית המפתחות ומאפשר ייבוא של DNSKEY.

   עליכם להשתמש באותם אלגוריתמים שבהם אתם משתמשים אצל הספק הקיים.

3. מייצאים את קובצי הדומיין הלא חתומים ולאחר מכן מייבאים אותם לדומיין החדש.

   פועלים לפי ההוראות של הספק לייצוא נתוני תחום.

   בשלב הזה אפשר לכלול רשומות DNSKEY, אבל אסור לכלול סוגים אחרים של רשומות DNSSEC מהתחום הקיים (סוגים של CDS,‏ CDNSKEY,‏ NSEC,‏ NSEC3,‏ NSEC3PARAM או RRSIG).

   אפשר לייבא תחומים באמצעות הפקודה gcloud dns record-sets import.

4. אחזור של רשומות ה-DNSKEY הקודמות משרתי השמות הישנים.

   אפשר גם להשתמש ב-dig או ב-delv כדי לשלוח שאילתה לגבי רשומות DNSKEY, אבל צריך לוודא שהמפתחות הציבוריים שמוחזרים נכונים ותקינים לתחום שלכם.

5. אחזור של רשומות ה-DNSKEY החדשות מ-Cloud DNS. במצב Transfer, רשומות DNSKEY מופיעות כרשומות רגילות בתחום.

6. מוסיפים את רשומות ה-DNSKEY הקיימות לאזור Cloud DNS, בנוסף לרשומות ה-DNSKEY שנוצרו באופן אוטומטי.

   אפשר גם לייבא את רשומות ה-DNSKEY בשלב 3 ולדלג על השלב הזה אם הספק שלכם מייצא את רשומות ה-DNSKEY יחד עם שאר נתוני הדומיין.

7. מוסיפים את רשומות ה-DNSKEY החדשות מ-Cloud DNS לאזור במפעיל הקיים. אם צריך, חשוב לחתום מחדש על האזור.

8. מוסיפים את רשומת ה-DS של האזור ב-Cloud DNS לרשם, בנוסף לרשומת ה-DS הקיימת.

9. ממתינים עד שהרשומות החדשות יתפשטו והתוקף של הרשומות הישנות יפוג בכל המטמון של המפַתח. אחרת, נתונים לא עדכניים עלולים לגרום לכשלים באימות.

   צריך להמתין עד שכל הפעולות הבאות יתבצעו:

   • הרשומות מועברות לכל שרתי השמות שבהם המפעיל הישן משתמש.

   • תוקף ה-TTL של קבוצת רשומות ה-NS של תחום ההורה יפוג.

   • פג התוקף של TTL של קבוצת רשומות ה-DS של תחום ההורה.

   • תפוגת התוקף של TTL של רשומת ה-NS של תחום הצאצא במפעיל הישן.

   • פג התוקף של TTL שהוגדר ברשומת ה-DNSKEY של תחום הצאצא אצל המפעיל הישן.

10. כדי לוודא שהתחום מוכן, בודקים שהמפעיל הישן מציג את כל רשומות ה-DNSKEY ושהתחום ההורה מציג את שתי רשומות ה-DS.

11. משנים את הענקת הגישה של שרתי השמות כך שיצביעו על Cloud DNS.

    לעדכן את רשומות שרתי השמות אצל הרשם לשרתי השמות של Cloud DNS עבור האזור החדש.

12. צריך להמתין עד שההפצה של רשומות שרת השמות החדשות תסתיים ותוקף רשומות הענקת הגישה הישנות יפוג בכל מטמון של פותר. אחרת, נתונים לא עדכניים עלולים לגרום לכשלים באימות.

    צריך להמתין עד שכל הפעולות הבאות יתבצעו:

    • תוקף ה-TTL של קבוצת רשומות ה-NS של תחום ההורה יפוג.

    • תפוגת התוקף של TTL של רשומת ה-NS של תחום הצאצא במפעיל הישן.

    אחרי השלב הזה, אפשר להפסיק בבטחה את הצגת הדומיין אצל המפעיל הישן.

13. מסירים את רשומות ה-DNSKEY של האזור הישן שנוספו לאזור Cloud DNS.

14. משנים את סטטוס ה-DNSSEC של הדומיין מ-Transfer ל-On.

    יציאה ממצב העברה מאפשרת רוטציית מפתחות אוטומטית של האזור. אפשר להוציא את האזורים ממצב העברה של DNSSEC בבטחה אחרי שבוע, אסור שהם יישארו במצב העברה של DNSSEC יותר מחודש או חודשיים.

15. מסירים את רשומת ה-DS של תחום המפעיל הישן מהרשם.

העברת תחומים עם חתימת DNSSEC מ-Cloud DNS

לפני שמתחילים את ההעברה, כדאי לעיין בכל ההוראות. בנוסף, עליכם לוודא שהספק תומך בהעברה. אחרת לא תוכלו להעביר את האזור באמצעות התהליך הזה.

כדי לבצע את ההעברה:

1. משנים את המצב של DNSSEC מ-On ל-Transfer. השלב הזה מפסיק את רוטציית המפתחות.

2. מייצאים את קובץ הדומיין ומביאים אותו למפעיל החדש.

   אפשר להשתמש ב-gcloud dns record-sets export כדי לייצא תחום.

   ייצוא של תחום במצב Transfer כולל גם ייצוא של רשומות DNSKEY מ-Cloud DNS. אם הספק מקבל את ה-DNSKEY בשלב הזה, תוכלו לכלול אותו עכשיו ולדלג על השלבים הבאים להעברת מפתחות ציבוריים מ-Cloud DNS לספק החדש.

3. חותמים על האזור אצל הספק החדש.

   עליכם להשתמש באותם אלגוריתמים שבהם Cloud DNS משתמש אצל הספק החדש.

   צריך להפסיק את רוטציית המפתחות של האזור בשרת השמות החדש עד להשלמת ההעברה.

4. אחזור רשומות ה-DNSKEY מ-Cloud DNS. במצב Transfer, רשומות DNSKEY מופיעות כרשומות רגילות בתחום.

   אפשר גם להשתמש ב-dig או ב-delv כדי לשלוח שאילתה לשרתי השמות של Cloud DNS לגבי רשומות DNSKEY, אבל צריך לוודא שהמפתחות הציבוריים שמוחזרים נכונים ותקינים לתחום שלכם.

5. אחזור של רשומות ה-DNSKEY החדשות מהאופרטור החדש.

   יכול להיות שתצטרכו לחתום על האזור או להגדיר את DNSSEC כדי לקבל מפתחות.

6. מוסיפים את רשומות ה-DNSKEY של Cloud DNS לאזור של המפעיל החדש, בנוסף לרשומות ה-DNSKEY של האזור החדש.

7. מוסיפים את רשומות ה-DNSKEY מהמפעיל החדש ל-Cloud DNS.

8. מוסיפים את רשומת ה-DS של תחום המפעיל החדש לרשם, בנוסף לרשומת ה-DS הקיימת מ-Cloud DNS.

9. ממתינים עד שהרשומות החדשות יתפשטו והתוקף של הרשומות הישנות יפוג בכל המטמון של המפַתח. אחרת, נתונים לא עדכניים עלולים לגרום לכשלים באימות.

   צריך להמתין עד שכל הפעולות הבאות יתבצעו:

   • תוקף ה-TTL של קבוצת רשומות ה-NS של תחום ההורה יפוג.

   • פג התוקף של TTL של קבוצת רשומות ה-DS של תחום ההורה.

   • פג התוקף של TTL של קבוצת רשומות ה-NS של תחום Cloud DNS.

   • פג התוקף של TTL של קבוצת רשומות ה-DNSKEY של תחום Cloud DNS.

   כדי לוודא שהתחום מוכן, בודקים ש-Cloud DNS מציג את כל רשומות ה-DNSKEY ושהתחום ההורה מציג את שתי רשומות ה-DS.

10. מעבירים את הענקות הגישה של שרתי השמות כך שיצביעו על המפעיל החדש.

    עדכון רשומות שרתי השמות אצל הרשם לשרתי השמות של המפעיל החדש של האזור.

11. צריך להמתין עד שההפצה של רשומות שרת השמות החדשות תסתיים ותוקף רשומות הענקת הגישה הישנות יפוג בכל מטמון של פותר. אחרת, נתונים לא עדכניים עלולים לגרום לכשלים באימות.

    צריך להמתין עד שתוקף כל הפריטים הבאים יפוג:

    • רשומת ה-NS של אזור ההורה מגדירה את ערך ה-TTL.

    • TTL של רשומת ה-NS של תחום Cloud DNS.

    אחרי השלב הזה, אפשר למחוק את האזור בבטחה מ-Cloud DNS.

12. מסירים את רשומות ה-DNSKEY של Cloud DNS שנוספו לאזור החדש.

13. מסירים את רשומת ה-DS של Cloud DNS מהרשם.

14. מסיימים את ההעברה אצל המפעיל החדש לפי הצורך.

אם למפעיל ה-DNS השני יש תהליך להעברת תחום עם חתימה של DNSSEC, עליכם לבצע את השלבים שלו במקביל לתהליך הזה, אחרי שלב 1.

המאמרים הבאים

• מידע על הגדרות DNSSEC ספציפיות זמין במאמר שימוש ב-DNSSEC מתקדם.
• במאמר יצירה, שינוי ומחיקה של תחומים מוסבר איך עובדים עם תחומים מנוהלים.
• במאמר פתרון בעיות מפורטות פתרונות לבעיות נפוצות שעשויות להתרחש במהלך השימוש ב-Cloud DNS.
• בסקירה הכללית על Cloud DNS תוכלו לקרוא מידע נוסף על Cloud DNS.