产品文档
Citrix ADC
当前版本 13.0 12.1
查看PDF

在Citrix ADC作为DNS代理服务器的区域配置DNSSEC

2021年1月6日
由:
年代 年代

对Citrix ADC配置为DNS代理服务器的区域进行签名的过程取决于ADC是否拥有后端名称服务器拥有的区域信息的子集。如果是,则该配置被认为是部分区域所有权配置。如果ADC不拥有区域信息的子集,则用于管理后端服务器的Citrix ADC配置被视为无区域DNS代理服务器配置。两个Citrix ADC配置的基本DNSSEC配置任务是相同的。但是,在Citrix ADC上签名部分区域需要一些额外的配置步骤。

注意:术语无区域代理服务器配置和部分区域仅在Citrix ADC设备的上下文中使用。

重要的是:当配置为代理模式时,ADC在更新缓存之前不会对DNSSEC响应进行签名验证。

如果将ADC配置为DNS代理,对感知DNSSEC的解析器(服务器)进行负载均衡,则必须在配置DNS虚拟服务器时设置递归可用选项。如果DNSSEC查询到达时设置了禁用检查(Checking Disabled, CD)位,则该查询将被传递到服务器,并保留CD位。没有缓存来自服务器的响应。

无区域DNS代理服务器配置DNSSEC

对于无区域的DNS代理服务器配置,必须在后端名称服务器上进行区域签名。在Citrix ADC上配置ADC作为区域的DNS代理服务器。创建协议类型为DNS的负载分担虚拟服务器。在ADC上配置服务以表示名称服务器。然后将服务绑定到负载均衡虚拟服务器。有关这些配置任务的详细信息,请参见配置NetScaler作为DNS代理服务器

当客户端向ADC发送带有DNSSEC OK (DO)位设置的DNS请求时,ADC检查其缓存中请求的信息。如果资源记录在其缓存中不可用,ADC将请求转发到其中一个DNS名称服务器。然后,它将来自名称服务器的响应中继到客户机。此外,ADC将RRSIG资源记录与来自名称服务器的响应一起缓存。来自dnssec感知客户机的后续请求将从缓存(包括RRSIG资源记录)提供服务,具体取决于生存时间(TTL)参数。如果客户端发送DNS请求而没有设置DO位,ADC只响应请求的资源记录。不包含DNSSEC特有的RRSIG资源记录。

为部分区域所有权配置DNSSEC

在某些ADC配置中,即使区域的权限属于后端名称服务器,属于该区域的资源记录的子集也可以在ADC上配置。ADC只拥有(或对其具有权威性)这部分记录。这样的记录子集可以被认为构成一个部分区ADC上。ADC拥有部分区域。所有其他记录都归后端名称服务器所有。

Citrix ADC上典型的局部区域配置如下:

  • 在ADC上配置GSLB域
  • GSLB域是后端名称服务器对其具有权威性的区域的一部分。

对ADC上仅包含部分区域的区域进行签名涉及:

  • 在后端名称服务器区域文件中包含部分区域信息
  • 在后端名称服务器上签名区域
  • 在ADC上对部分区域进行签名。

必须使用相同的密钥集对名称服务器上的区域和ADC上的部分区域进行签名。

在后端名称服务器上对区域进行签名

  1. 将部分区域中包含的资源记录包含在名称服务器的区域文件中。
  2. 创建密钥并使用密钥在后端名称服务器上对区域进行签名。

对Citrix ADC上的局部区域进行签名

  1. 使用后端名称服务器拥有的区域名称创建一个区域。配置局部分区时,将“proxyMode”参数设置为“YES”。这个区域是包含ADC拥有的资源记录的部分区域。

    例如,如果在后端名称服务器上配置的区域名称为example.com,则必须在ADC上创建一个名为example.com的区域。将proxyMode参数设置为“YES”。有关添加zone的详细信息,请参见配置DNS区域

    请注意

    不为分区添加SOA和NS记录。对于具有ADC权限的区域,这些记录必须存在于ADC上。

  2. 将密钥(从一个后端名称服务器)导入ADC,然后将它们添加到/nsconfig/dns/目录中。有关如何导入密钥并将其添加到ADC的详细信息,请参见在区域中发布DNS密钥
  3. 用导入的密钥对部分区域进行签名。当您使用密钥对部分区域进行签名时,ADC将分别为部分区域中的资源记录集和单个资源记录生成RRSIG和NSEC记录。有关对区域签名的详细信息,请参见对DNS区域进行签名和取消签名
在Citrix ADC作为DNS代理服务器的区域配置DNSSEC
2021年1月6日
由:
年代 年代
2021年1月6日
由:
年代 年代

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -云软件集团有限公司版权所有。