Migre ou transfira zonas com DNSSEC ativadas

Esta página descreve como migrar uma zona com DNSSEC ativadas que está ativada no registador de domínios entre o Cloud DNS e outros fornecedores de alojamento DNS, mantendo a cadeia de confiança DNSSEC.

Para uma vista geral conceptual das DNSSEC, consulte o artigo Vista geral das DNSSEC.

Autorizações necessárias para esta tarefa

Para realizar esta tarefa, tem de lhe ter sido concedidas as seguintes autorizações ou as seguintes funções do IAM.

Autorizações

• dns.dnsKeys.create para criar DNSKEYS
• dns.dnsKeys.delete para eliminar DNSKEYs
• dns.dnsKeys.list para listar as DNSKEYs
• dns.dnsKeys.update para atualizar as DNSKEYs

Funções

• roles/dns.admin

Antes de começar

A migração de DNSSEC é complexa e requer coordenação para migrar uma zona entre operadores sem incorrer em interrupções. Leia este guia na íntegra antes de transferir ou migrar uma zona. Recomendamos que teste o processo de migração numa zona menos crítica antes de tentar migrar zonas de produção críticas.

Coordene com os operadores de DNS e a entidade de registo de domínios

Para impedir que os resolvedores de validação tratem o domínio como inválido, tem de coordenar a migração com os operadores de DNS e a entidade de registo de domínio. Este passo garante que pode estabelecer e manter uma cadeia de confiança válida da zona principal para as chaves geridas por ambos os operadores de DNS durante a transição.

Se a sua entidade de registo de domínios também fornecer alojamento DNS, tem de coordenar a migração da cadeia de confiança DNSSEC com a entidade de registo de domínios. Se o registador não suportar esta operação, não pode migrar os servidores de nomes mantendo a cadeia de confiança das DNSSEC.

Aguarde até que as caches do resolvedor expirem

Durante a migração, depois de fazer atualizações de registos importantes, aguarde que as caches do resolvedor expirem. Este passo evita erros de validação causados por registos em cache antigos inconsistentes com a zona atualizada após a migração para os novos servidores de nomes.

Limitações

A migração de uma zona DNSSEC tem as seguintes limitações:

• Só pode migrar uma zona mantendo a cadeia de confiança DNSSEC se o novo operador e registador suportarem a migração DNSSEC, incluindo a importação de registos DNSKEY, a definição de vários registos DS e a prevenção da rotação automática de chaves durante a migração.

• Tem de usar o mesmo algoritmo em ambos os operadores, uma vez que as zonas têm de ser assinadas com todos os algoritmos em utilização. Para detalhes, consulte a secção 2.2 do RFC 4035. O Cloud DNS só pode assinar com um algoritmo de cada vez. Não pode alterar os algoritmos durante a migração entre fornecedores.

• Tem de conseguir importar registos DNSKEY do Cloud DNS para a zona do outro operador e ter esses registos assinados com as chaves do operador. O Cloud DNS permite adicionar registos DNSKEY para zonas no modo Transfer.

• Tem de conseguir adicionar um segundo registo DS do Cloud DNS à zona principal. O registador ou a zona principal tem de permitir registos DS que correspondam a chaves públicas que não assinam registos na zona secundária.

• Tem de conseguir parar a rotação automática de chaves pelo operador antigo ou novo para a zona até a migração estar concluída. O Cloud DNS para automaticamente a rotação de chaves para zonas no modo Transfer.

Se o novo operador não suportar a migração, faça o seguinte:

1. Desative as DNSSEC na entidade de registo.
2. Faça a transferência ou a migração.
3. Ative as DNSSEC.
4. Ative as DNSSEC na sua entidade de registo.

Para uma apresentação informativa sobre as DNSSEC e as transferências de domínios, bem como potenciais dificuldades, consulte o artigo DNS/DNSSEC e transferências de domínios: são compatíveis?.

Migração entre operadores

A abordagem técnica que o Cloud DNS usa para migrações de DNSSEC é a variante de substituição de KSK de DS duplo descrita no RFC 6781 Appendix D Alternative Rollover Approach for Cooperating Operators.

A migração de DNSSEC funciona sem trocar chaves privadas nem assinaturas entre operadores de DNS. Em vez disso, os servidores de nomes existentes e a zona principal pré-publicam registos assinados para as chaves públicas do novo operador, além das chaves públicas do operador antigo. Da mesma forma, os novos servidores de nomes publicam registos assinados para as chaves do operador antigo, além das chaves do novo operador.

Estas chaves do outro operador estão assinadas, o que cria uma confiança cruzada entre os dois operadores e a zona principal, de modo que os resolvedores de validação possam usar registos de um operador para validar as respostas do outro operador. Este processo permite a transição para os novos servidores de nomes do operador sem interrupções.

Após a propagação destes registos, os resolvedores podem validar as respostas de ambos os operadores durante o período de transição subsequente, enquanto os novos registos de delegação do servidor de nomes são propagados para todas as caches do resolvedor.

Depois de os registos do servidor de nomes atualizados serem propagados, pode concluir a migração. Pode remover a zona secundária dos servidores de nomes antigos e remover o ponto de confiança do operador antigo da zona principal.

Migre zonas assinadas com DNSSEC para o Cloud DNS

Antes de começar, reveja todas as instruções. Também tem de confirmar se o seu fornecedor suporta a migração. Caso contrário, não pode migrar a zona através deste processo.

Para realizar a migração, siga estes passos:

1. Pare toda a alteração da chave para a zona no servidor de nomes antigo.

2. Crie uma nova zona com assinatura DNSSEC no estado Transfer do DNSSEC. O estado Transfer interrompe a rotação de chaves e permite a importação de DNSKEY.

   Tem de usar os mesmos algoritmos em utilização no fornecedor existente.

3. Exporte os seus ficheiros de zona não assinados e, em seguida, importe-os para a nova zona.

   Siga as instruções do seu fornecedor para exportar os dados de zonas.

   Pode incluir DNSKEYs neste passo, mas não inclua outros tipos de registos DNSSEC da zona existente (tipos CDS, CDNSKEY, NSEC, NSEC3, NSEC3PARAM ou RRSIG).

   Pode importar zonas através do comando gcloud dns record-sets import.

4. Recupere os registos DNSKEY anteriores do servidor de nomes antigo.

   Também pode usar dig ou delv para consultar registos DNSKEY, mas tem de verificar se as chaves públicas devolvidas estão corretas e são válidas para a sua zona.

5. Obtenha os novos registos de DNSKEY do Cloud DNS. No modo Transfer, os registos DNSKEY aparecem como registos normais na zona.

6. Adicione os registos de DNSKEY existentes à zona do Cloud DNS, além dos registos de DNSKEY gerados automaticamente.

   Também pode importar DNSKEYs durante o passo 3 e ignorar este passo se o seu fornecedor exportar DNSKEYs juntamente com os restantes dados da zona.

7. Adicione os novos registos DNSKEY do Cloud DNS à zona no operador existente. Certifique-se de que volta a assinar a zona, se necessário.

8. Adicione o registo DS da zona do Cloud DNS ao seu registador, além do registo DS existente.

9. Aguarde até que os novos registos sejam propagados e os registos antigos expirem de todas as caches do resolvedor. Caso contrário, os dados desatualizados podem causar falhas de validação.

   Aguarde até que ocorram todas as seguintes situações:

   • Os registos propagam-se a todos os servidores de nomes usados pelo operador antigo.

   • O TTL do conjunto de registos NS da zona principal expira.

   • O TTL do conjunto de registos DS da zona principal expira.

   • O TTL do conjunto de registos NS da zona secundária no operador antigo expira.

   • O TTL do registo de DNSKEY da zona secundária definido no operador antigo expira.

10. Verifique se a zona está pronta, confirmando que o operador antigo está a publicar todos os registos DNSKEY e que a zona principal está a publicar os registos DS.

11. Altere as delegações de servidores de nomes para apontarem para o Cloud DNS.

    Atualize os registos do servidor de nomes no registador para os servidores de nomes do Cloud DNS da nova zona.

12. Aguarde até que os novos registos do servidor de nomes sejam propagados e os registos de delegação antigos expirem de todas as caches do resolvedor. Caso contrário, os dados desatualizados podem causar falhas de validação.

    Aguarde até que ocorram todas as seguintes situações:

    • O TTL do conjunto de registos NS da zona principal expira.

    • O TTL do conjunto de registos NS da zona secundária no operador antigo expira.

    Após este passo, pode interromper em segurança a publicação da zona no operador antigo.

13. Remova os registos de DNSKEY da zona antiga adicionados à zona do Cloud DNS.

14. Altere o estado das DNSSEC da zona de Transfer para On.

    A saída do estado de transferência ativa a rotação automática de chaves para a zona. As suas zonas podem sair em segurança do estado de transferência das DNSSEC após uma semana e não devem permanecer neste estado durante mais de um ou dois meses.

15. Remova o registo DS da zona do operador antigo do seu registador.

Migre zonas com assinatura DNSSEC do Cloud DNS

Antes de iniciar a migração, reveja todas as instruções. Também tem de confirmar se o seu fornecedor suporta a migração. Caso contrário, não pode migrar a zona através deste processo.

Para realizar a migração, siga estes passos:

1. Altere o estado das DNSSEC de On para Transfer. Este passo interrompe a rotação de chaves.

2. Exporte o ficheiro de zona e importe-o para o novo operador.

   Pode usar o gcloud dns record-sets export para exportar uma zona.

   A exportação de uma zona no modo Transfer também exporta registos DNSKEY do Cloud DNS. Se o seu fornecedor aceitar DNSKEY neste passo, pode incluí-las agora e ignorar os passos abaixo que transferem chaves públicas do DNS da Cloud para o novo fornecedor.

3. Assine a zona no novo fornecedor.

   Tem de usar os mesmos algoritmos usados pelo Cloud DNS no novo fornecedor.

   Tem de parar a rotação de chaves para a zona no novo servidor de nomes até que a migração esteja concluída.

4. Obtenha os registos de DNSKEY do Cloud DNS. No modo Transfer , os registos DNSKEY aparecem como registos normais na zona.

   Também pode usar dig ou delv para consultar os servidores de nomes do Cloud DNS para registos DNSKEY, mas tem de verificar se as chaves públicas devolvidas estão corretas e são válidas para a sua zona.

5. Obtenha os novos registos de DNSKEY do novo operador.

   Pode ter de assinar primeiro a zona ou configurar as DNSSEC para obter chaves.

6. Adicione os registos DNSKEY do Cloud DNS à zona do novo operador além dos registos DNSKEY da nova zona.

7. Adicione os registos DNSKEY do novo operador ao Cloud DNS.

8. Adicione o registo DS da zona do novo operador ao seu registador, além do registo DS existente do Cloud DNS.

9. Aguarde até que os novos registos sejam propagados e os registos antigos expirem de todas as caches do resolvedor. Caso contrário, os dados desatualizados podem causar falhas de validação.

   Aguarde até que ocorram todas as seguintes situações:

   • O TTL do conjunto de registos NS da zona principal expira.

   • O TTL do conjunto de registos DS da zona principal expira.

   • O TTL do conjunto de registos NS da zona do Cloud DNS expira.

   • O TTL do conjunto de registos DNSKEY da zona DNS do Cloud expira.

   Pode verificar se a zona está pronta verificando se o Cloud DNS está a publicar todos os registos DNSKEY e se a zona principal está a publicar ambos os registos DS.

10. Migre as delegações do servidor de nomes para apontarem para o novo operador.

    Atualize os registos do servidor de nomes na entidade de registo para os servidores de nomes do novo operador da zona.

11. Aguarde até que os novos registos do servidor de nomes sejam propagados e os registos de delegação antigos expirem de todas as caches do resolvedor. Caso contrário, os dados desatualizados podem causar falhas de validação.

    Aguarde até que todas as seguintes expirem:

    • O TTL do conjunto de registos NS da zona principal.

    • O TTL do conjunto de registos NS da zona do Cloud DNS.

    Após este passo, pode eliminar a zona em segurança do Cloud DNS.

12. Remova os registos de DNSKEY do Cloud DNS adicionados à nova zona.

13. Remova o registo DS do Cloud DNS da sua entidade de registo.

14. Conclua a migração no novo operador, conforme necessário.

Se o outro operador de DNS tiver um processo para migrar uma zona assinada com DNSSEC, tem de executar os respetivos passos em paralelo com este procedimento, após o passo 1.

O que se segue?

• Para obter informações sobre configurações DNSSEC específicas, consulte o artigo Use DNSSEC avançadas.
• Para trabalhar com zonas geridas, consulte o artigo Crie, modifique e elimine zonas.
• Para encontrar soluções para problemas comuns que pode encontrar ao usar o Cloud DNS, consulte a secção Resolução de problemas.
• Para obter uma vista geral do Cloud DNS, consulte o artigo Vista geral do Cloud DNS.