Citrix ADC

PDF anzeigen

DNSSEC konfigurieren

2021年8月19日

Beitrag冯:

Führen Sie die folgenden Schritte aus，嗯DNSSEC zu konfigurieren:

Aktivieren Sie DNSSEC auf der Citrix ADC Appliance。
Erstellen Sie einen Zonensignierungsschlüssel und einen Schlüsselsignierungsschlüssel für die Zone。
Fügen Sie die beiden Schlüssel zur Zone hinzu。
我们的世界Schlüsseln。

Die Citrix ADC电器真菌夜间dnssec解析器。DNSSEC auf dem ADC wid nur in den folgenden Bereitstellungsszenarien unterstützt:

ADNS - Citrix ADC ist das ADNS和generiert die Signaturen selbst。
代理:Citrix ADC fungiert als DNSSEC-Proxy。Es wid davon ausgegangen, dass Citrix ADC in einem vertrauenswürdigen Modus vor den ADNS/LDNS-Servern platziert wid。Der ADC fungiert nur als Proxy-Caching-Entität和überprüft keine签名。

DNSSEC aktivieren和deaktivieren

Aktivieren Sie DNSSEC auf dem Citrix ADC, damit der ADC auf DNSSEC-fähige客户reagiert。Standardmäßig ist DNSSEC aktiviert。

Sie können die DNSSEC-Funktion deaktivieren, wenn Citrix ADC nicht auf Clients mit DNSSEC-spezifischen Informationen antworten soll。

Aktivieren oder Deaktivieren von DNSSEC mit der CLI

Geben Sie an der eingbauforforderung die folgenden Befehle ein，嗯DNSSEC zu aktivieren oder zu deaktivieren und überprüfen Sie die configuration:

- set dns parameter -dnssec (ENABLED | DISABLED) - show dns parameter

Beispiel:

              > set dns parameter -dnssec ENABLED Done > show dns parameter dns parameters: dns retries: 5 . .DNSEC扩展:ENABLED最大DNS管道请求:255 Done 
             

Aktivieren order Deaktivieren von DNSSEC mit der GUI

航海家Sie zu流量管理> DNS．
关于DNS-Einstellungen ändern。
Aktivieren oder deaktivieren Sie im DialogfeldDNS-Parameter konfigurierendas KontrollkastchenDNSSEC-Erweiterung aktivieren．

Erstellen von DNS-Schlüsseln für eine Zone

Für jede DNS-Zone, die Sie signieren möchten, müssen Sie zwei Paare asymmetrischer Schlüssel erstellen。Ein Paar, der Zonensignierungsschlüssel (ZSK) genannt, wid verwendet, um alle Ressourcendatensätze在der Zone zu signieren。Das zweite Paar wid als Schlüsselsignierungsschlüssel(密钥签名密钥，KSK) bezeichnet und wid verwendet, um nur die DNSKEY-Ressourceneinträge在der Zone zu signieren。

Wenn ZSK und KSK erstellt werden, wildsuffix.keyan die Namen der öffentlichen Komponenten der Schlüssel angehängt。suffix.privatewid an die Namen ihrer privaten Komponenten angehängt。Das Anhängen erfolgt automatisch。

Der Citrix ADC erstellt auh einen委托签名者(DS)-Datensatz und fügt das后缀。DS an den Namen des Datensatzes an。温恩泽下übergeordneten区域um eine signierte区域handelt, müssen Sie den DS-Eintrag in der übergeordneten区域veröffentlichen, um die Vertrauensskette einzurichten。

Wenn Sie einen Schlüssel erstellen, wid der Schlüssel im Verzeichnis/ nsconfig / dns /gespeichert, aber er wild nicht automatisch在der Zone veröffentlicht。Nachdem Sie einen Schlüssel mit dem Befehl创建DNS密钥erstellt haben, müssen Sie den Schlüssel explizit mit dem Befehl添加DNS密钥在der Zone veröffentlichen。Der Prozess zum Generieren eines Schlüssels ist getrent vom Prozess Der Veröffentlichung des Schlüssels在埃纳区，damit Sie alternative Mittel zum Generieren von Schlüsseln verwenden können。Sie können beispielsweise Schlüssel importieren, die von anderen Schlüsselgenerierungsprogrammen (z. B.)bind-keygen) generiert wurden, indem Sie Secure FTP (SFTP) verwenden und dann die Schlüssel在der Zone veröffentlichen。Weitere Informationen zum Veröffentlichen eines Schlüssels在einer Zone finden Sie unterVeröffentlichen eines DNS-Schlüssels在einer区．

Führen你死在地狱里了Zonensignierungsschlüssel你死在地狱里了Schlüsselsignierungsschlüssels。Im Beispiel, das der Befehlssyntax folgt, wid zunächst ein Schlüsselpaar für Zonensignierung für die Zone example.com erstellt。Das Beispiel verwendet dann den Befehl，嗯ein Schlüsselsignierungsschlüsselpaar für die Zone zu erstellen。

Ab版本13.0 Build 61。x unterstützt die Citrix ADC Appliance jetzt stärkere rypto- algorithmen, wie RSASHA256和RSASHA512, um eine DNS-Zone zu authentifizieren。Bisher wurde nur der rsasha1 -算法unterstützt。

Erstellen eines DNS-Schlüssels mit der CLI

Geben Sie and der eingabeauforforderung Folgendes ein:

create dns key -zoneName -keyType -algorithm -keySize -fileNamePrefix .使用实例

Beispiel:

              > create dns key -zoneName example.com -keyType zsk -algorithm RSASHA256 -keySize 1024 -fileNamePrefix example.zsk.rsasha1.1024文件名称:/nsconfig/dns/ example.zsk.rsasha1.1024 key (public);/ nsconfig / dns / example.com.zsk.rsasha1.1024.private(私人);/nsconfig/dns/example.com.zsk.rsasha1.1024.ds (ds)该操作可能需要一些时间，请等待…Done >创建dns密钥-zoneName example.com -keyType ksk -algorithm RSASHA512 -keySize 4096 -fileNamePrefix example.com.ksk.rsasha1.4096文件名称:/nsconfig/dns/example.com.ksk.rsasha1.4096.key (public);/ nsconfig / dns / example.com.ksk.rsasha1.4096.private(私人);/nsconfig/dns/example.com.ksk.rsasha1.4096.ds (ds)该操作可能需要一些时间，请等待…做< !——NeedCopy >
             

Erstellen eines DNS-Schlüssels mit der GUI

航海家Sie zu流量管理> DNS．
Klicken Sie im Detailbereich aufDNS-Schlussel erstellen．
Geben Sie Werte für die verschiedenen参数ein, und klicken Sie aufErstellen．
Hinweis:所以ändern Sie das Dateinamenpräfix eines vorhandenen Schlüssels:
- 我们的友谊SchaltflächeDurchsuchen．
- Klicken Sie entweder aufLokal奥得河设备(je nachdem, ob der vorhandene Schlüssel auf Ihrem lokalen Computer oder im ./ nsconfig / dns /Verzeichnis auf der Appliance gespeichert ist)。
- 导航员你是使者Schlüssels，和分身者你是使者Schlüssel。达斯菲尔德Dateinamenprafix奇怪的nur mit dem Präfix des vorhandenen Schlüssels gefüllt。Ändern Sie das Präfix entsprechend。

Veröffentlichen eines DNS-Schlüssels在einer区

Ein Schlüssel (Zonensignierungsschlüssel oder Schlüsselsignierungsschlüssel) wid在einer Zone veröffentlicht, indem der Schlüssel zur ADC-Appliance hinzugefügt wid。Ein Schlüssel muss in einer Zone veröffentlicht werden, bevor Sie die Zone signieren。

Bevor Sie einen Schlüssel在einer区veröffentlichen, muss der Schlüssel im Verzeichnis/ nsconfig / dns /verfugbar盛。wen Sie den DNS-Schlüssel auf einem anderen Computer erstellt haben (z. B. mithillife desbind-keygen程序)，stellen Sie sicher, dass der Schlüssel dem/ nsconfig / dns /Verzeichnis hinzugefügt怪人。Veröffentlichen Sie dann den Schlüssel in der Zone。Verwenden Sie die ADC-GUI，嗯den Schlüssel zum/ nsconfig / dns /Verzeichnis hinzuzufugen。Oder verwenden Sie ein anderes Programm, um den Schlüssel in das Verzeichnis zu importieren, z. B. das Secure FTP (SFTP)。

Verwenden Sie den添加DNS密钥Befehl für jedes Public-Private-Schlüsselpaar, das Sie in einer bestimmten Zone veröffentlichen möchten。在zsk -帕尔和ksk -帕尔的温西für eine旧的哈本，绿色的西登添加DNS密钥Befehl, um zuerst eines der Schlüsselpaare在der Zone zu veröffentlichen。Wiederholen Sie den Befehl，嗯das andere Schlüsselpaar zu veröffentlichen。Für jeden Schlüssel, densie in einer Zone veröffentlichen, bird in derzone ein dnskey - resourceneintrag erstellt。

Im Beispiel, das der Befehlssyntax folgt, wid zuerst das Schlüsselpaar für die Zonensignierung (das für die Zone example.com erstellt wurde)在der Zone veröffentlicht。Das Beispiel verwendet dann den Befehl，嗯Das Schlüsselsignierungsschlüsselpaar在der Zone zu veröffentlichen。

在einer Zone mit CLI下，Veröffentlichen eines Schlüssels

Geben Sie an der eingbeauaufforderung den folgenden Befehl ein, um einen Schlüssel在einer Zone zu veröffentlichen和die Konfiguration zu überprüfen:

              - add dns key    [-expires  []] [- notificationperiod  []] [- ttl ] - show dns zone [ | type ] 
             

Beispiel:

              >添加dns关键example.com.zsk example.com.zsk.rsasha1.1024.key example.com.zsk.rsasha1.1024.private做>添加dns关键example.com.ksk example.com.ksk.rsasha1.4096.key example.com.ksk.rsasha1.4096.private >显示完成dns区域example.com区域名称:example.com代理模式:没有域名:example.com记录类型:NS SOA DNSKEY域名:ns1.example.com记录类型:一个域名:ns2.example.com记录类型:做< !——NeedCopy >
             

Veröffentlichen einer DNS-Zone mit GUI中包含Schlüssels

航海家Sie zuVerkehrsverwaltung > DNS > Schlüssel．

Hinweis:嗯杯Schlussel hinzuzufugen der auf民主党lokalen计算机gespeichert坚持,klicken您天改Pfeil neben SchaltflacheDurchsuchen，你说什么Lokal，导航员你是向导Schlüssels，和二重身你是向导Schlüssel。

Konfigurieren eines DNS-Schlüssels

Sie können die参数eines Schlüssels konfigurieren, der in einer Zone veröffentlicht wurde。Sie können die Ablaufzeit, den Benachrichtigungszeitraum und die Gültigkeitsdauer (TTL) des Schlüssels ändern。Wenn Sie die Ablaufzeit eines Schlüssels ändern, signiert die Appliance automatisch alle Ressourcendatensätze in der Zone mit dem Schlüssel neu。达尔涅特签名区Schlüssel签名区。

Konfigurieren eines Schlüssels mit der CLI

Geben Sie an der eingbeauauforderung den folgenden Befehl ein，嗯einen Schlüssel zu konfiguriren und die konfigururation zu überprüfen:

              - set dns key  [-expires  []] [- notificationperiod  []] [- ttl ] - show dns key [] 
             

Beispiel:

              > set dns key example.ksk -expires 30 DAYS -notificationPeriod 3 DAYS -TTL 3600 Done > show dns key example.ksk 1)密钥名称:example.ksk有效期:30天通知:3天TTL: 3600 Public key File: example.ksk.rsasha1.4096.key Private key File: example.ksk.rsasha1.4096.private Done 
             

Konfigurieren eines Schlüssels mit der GUI

航海家Sie zuVerkehrsverwaltung > DNS > Schlüssel．
与你联系的人Schlüssel，与你联系的人möchten，与你联系的人Öffnen。
Ändern Sie im Dialogfeld DNS-Schlüssel konfigurieren die Werte der folgenden参数:
- Ablaufdatum -过期
- Benachrichtigungszeitraum -通知周期
- TTL-TTL
Klicken Sie auf OK。

签名者和签名者dns区域

嗯eine DNS-Zone zu sichern, müssen Sie die Zone mit den in der Zone veröffentlichten Schlüsseln signieren。Wenn Sie eine Zone signieren, erstellcitrix ADC für jeden Besitzernamen einen NSEC-Ressourceneintrag(下一个安全)。Anschließend bird der Schlüsselsignierungsschlüssel verwendet, um den DNSKEY-Ressourcendatensatz zu signieren。Schließlich wid das ZSK verwendet, um alle Ressourcendatensätze in der Zone zu signieren, einschließlich der DNSKEY-Ressourcendatensätze und NSEC-Ressourcendatensätze。Jeder Vorzeichenvorgang führt祖恩纳签名für die Ressourcendatensätze在德区。Die Signatur bird in einem neuen resourceneingerfast, der rsig - resoursourceneinggenent bird。

那是我的地盘，是我的地盘。

Signieren einer Zone mit der CLI

Geben Sie an der eingabeauforderung den folgenden Befehl ein, um eine Zone zu signieren and die configuration zu überprüfen:

              - sign dns zone  [- keyname …]- show dns zone [ | -type (ADNS | PROXY | ALL)] - save config 
             

Beispiel:

              > sign dns zone example.com -keyName example.com.zsk example.com.ksk Done > show dns zone example.com zone名称:example.com代理模式:NO域名:example.com记录类型:NS SOA DNSKEY RRSIG NSEC域名:ns1.example.com记录类型:A RRSIG NSEC域名:ns2.example.com记录类型:A RRSIG域名:ns2.example.com记录类型:RRSIG NSEC Done > save config Done 
             

Aufheben der签名区命令行

这里有个小地方有个小地方有个小地方有个小地方有个小地方überprüfen:

              - unsign dns zone  [- keyname …]- show dns zone [ | -type (ADNS | PROXY | ALL)] 
             

Beispiel:

              > unsign dns zone example.com -keyName example.com.zsk example.com.ksk Done > show dns zone example.com zone Name: example.com Proxy Mode: NO Domain Name: example.com Record Types: NS SOA DNSKEY Domain Name: ns1.example.com Record Types: A Domain Name: ns2.example.com Record Types: A Done 
             

签名人的命令，aufhebender签名区，GUI

航海家Sie zuVerkehrsverwaltung > DNS > Zonen．
点击你的详细信息，点击你的签名möchten，点击你的签名/不签名。
Führen Sie im Dialogfeld DNS-Zone签名者/未签名者eine der folgenden Aktionen aus:
- 嗯die Zone zu signieren, aktivieren Sie die Kontrollkästchen für die Schlüssel (Zonensignierungsschlüssel und Schlüsselsignierungsschlüssel)， mit denen Sie die Zone signieren möchten。
  Sie können die Zone mit mehr als einem Zonensignierungsschlüssel oder Schlüsselsignierungsschlüsselpaar signieren。
- 嗯，在aufzuheben区里签名，deaktivieren Sie die Kontrollkästchen für die Schlüssel (Zonensignierungsschlüssel und Schlüsselsignierungsschlüssel)， mit die Signierung under Zone aufheben möchten。
  Sie können die Signierung der Zone mit mehr als einem Zonensignierungsschlüssel oder Schlüsselsignierungsschlüsselpaar aufheben。
Klicken Sie auf OK。

Anzeigen der NSEC-Einträge für einen bestimmten Datensatz在埃纳区

Sie können die NSEC-Datensätze anzeigen, die der Citrix ADC automatisch für jeden Eigentümernamen在der Zone erstellt。

Anzeigen des nsc - datensatzes für einen bestimmten Datensatz in einer Zone mit der CLI

Geben Sie an der eingbaauforforderung den folgenden Befehl ein, um den nsc - eintrag für einen bestimmten Datensatz在einer Zone anzuzeigen:

show dns nsecRec [ | -type (ADNS | PROXY | ALL)]

Beispiel:

              > show dns nsecRec example.com 1)域名:example.com Next Nsec名称:ns1.example.com记录类型:NS SOA DNSKEY RRSIG Nsec Done 
             

enzeigen des NSEC-Datensatzes für einen bestimmten Datensatz在einer Zone mit der GUI

航海家Sie zuDatenverkehrsverwaltung > DNS > Datensätze > Nächste sichere Datensätze．
德国数据中心信息链接，für德国数据中心信息链接möchten。Der NSEC-Eintrag für den ausgewählten Datensatz wid im Detailbereich angezeigt。

Entfernen eines DNS-Schlüssels

在欧洲的地方Schlüssel奥地利的地区，在德国的地方veröffentlicht怪异，在德国的地方Schlüssel阿格洛芬的地方Schlüssel kompromittiert wurde。Wenn Sie einen Schlüssel ausder Zone entfernen, wid die Zone automatisch mit dem Schlüssel nicht signiert。Wenn Sie den Schlüssel mit diesem Befehl entfernen, werden die im Verzeichnis /nsconfig/dns/ vorhandenen Schlüsseldateien nicht entfernt。Wenn die Schlüsseldateien nicht mehr benötigt werden, müssen sie explizit ausdem Verzeichnis entfernt werden。

Entfernen eines Schlüssels aus dem Citrix ADC mit der CLI

Geben Sie an der eingboauforforderung den folgenden Befehl ein，嗯einen Schlüssel zu entfernen und die Konfiguration zu überprüfen:

—rm dns key —show dns key

Beispiel:

              > rm dns key Done > show dns key ERROR: No such resource [keyName, example.com.zsk] 
             

Entfernen eines Schlüssels ausdem Citrix ADC mit der GUI

航海家Sie zuVerkehrsverwaltung > DNS > Schlüssel．
了解你的信息Schlüssels，了解你的信息möchten，了解你的信息Schlüssels。

Die offizielle版本dieses吸气ist auf english。Für den einfachen einsteg wid Teil des Inhalts der Citrix Dokumentation maschinell übersetzt。Citrix hat keine Kontrolle über maschinell übersetzte吸气，die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können。Es wid keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen ausdem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix products oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren endbenutze - lizenzvereinbarung oder Vertragsbedingungen oder einer anderandervereinbarung mit Citrix gegeben wid，dass das product oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde。Citrix kann nicht für Schäden oder problem verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter吸入entstehen können。

阿蒂克尔·希尔弗赖希?

DNSSEC konfigurieren

2021年8月19日

Beitrag冯:

2021年8月19日

Beitrag冯:

在diesem Artikel

阿蒂克尔·希尔弗赖希?