此内容是机器动态翻译的。
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamicerstellt wurde。(Haftungsausschluss)
这篇文章是关于贸易自动化管理动态的。(无责任条款)
Este artículo lo ha traducido una máquina de forma dinámica。(通报法律)
此内容已动态机器翻译。放弃
。免責事項
此内容是机器动态翻译的。
此内容是机器动态翻译的。
此内容是机器动态翻译的。
这篇文章是机器翻译的。
德国机械制造技术有限公司。(Haftungsausschluss)
这篇文章是关于职业自动化的。(无责任条款)
Este artículo ha sido traducido automáticamente。(通报法律)
英文:中文:中文:免責事項
■■■■■■■
我们的目标是实现自动化。
这篇文章已经过机器翻译.放弃
翻译失败!
区维护
从DNSSEC的角度来看,区域维护包括在密钥即将到期时滚动区域签名密钥和密钥签名密钥。这些维护任务需要手动执行。区域将自动重新签名,不需要任何人工干预。
重新签名已更新的区域
当区域更新(添加记录或修改现有记录)时,设备会自动重新签署新的(或修改的)记录。如果区域包含多个区域签名密钥,则设备使用用于签名区域的密钥重新签名新的(或修改的)记录。
滚动DNSSEC密钥
注意:在DNSSEC密钥(KSK、ZSK)到期前手动滚转。
在Citrix ADC上,您可以使用预发布和双签名方法来执行区域签名密钥和密钥签名密钥的轮转。有关这两种轮转方法的更多信息,请参见RFC 4641,“DNSSEC操作实践”。
以下主题将ADC上的命令映射到RFC 4641中讨论的翻转过程中的步骤。
密钥到期通知通过一个名为dnskeyExpiry的SNMP trap发送。dnskeyName、dnskeyTimeToExpire和dnskeyUnitsOfExpiry三个MIB变量与dnskeyExpiry SNMP trap一起发送。有关更多信息,请参见Citrix NetScaler SNMP OID参考在NetScaler 12.0 SNMP OID参考.
预发布密钥轮转
RFC 4641“DNSSEC操作实践”为预发布密钥轮转方法定义了四个阶段:初始化、新DNSKEY、新rrsig和删除DNSKEY。每个阶段都与一组必须在ADC上执行的任务相关联。以下是每个阶段的描述和您必须执行的任务。此处描述的轮转过程可用于密钥签名密钥和区域签名密钥。
第一阶段:初始阶段。该区域仅包含当前已对该区域进行签名的密钥集。初始阶段的区域状态是在开始密钥轮转过程之前的区域状态。
例子:
考虑用密钥example.com.zsk1对区域example.com进行签名。该区域仅包含example.com.zsk1密钥生成的rrsig,该密钥即将到期。密钥签名密钥为example.com.ksk1。
第二阶段:新的DNSKEY。一个新的密钥被创建并发布到区域中。也就是说,将密钥添加到ADC,但是直到预滚阶段完成后才用新密钥对区域进行签名。在此阶段,区域包含旧密钥、新密钥和由旧密钥生成的rrsig。在预滚阶段的整个持续时间内发布新密钥,将使与新密钥时间相对应的DNSKEY资源记录传播到辅助名称服务器。
例子:
一个新的密钥example.com.zsk2被添加到example.com区域。在预滚阶段完成之前,不会使用example.com.zsk2对区域进行签名。example.com区域包含example.com.zsk1和example.com.zsk2的DNSKEY资源记录。
Citrix ADC命令:
在ADC上执行以下任务:
创建DNS密钥
创建DNS密钥
命令。有关创建DNS密钥的详细信息(包括示例),请参见为区域创建DNS密钥.
在区域中发布新的DNS密钥
添加DNS密钥
命令。有关在区域中发布密钥的详细信息(包括示例),请参见在区域中发布DNS密钥.
阶段3:新的rrsig。区域用新的DNS密钥签名,然后用旧的DNS密钥取消签名。旧的DNS密钥不会从区域中删除,并保持发布,直到旧密钥生成的rrsig过期。
例子:
区域用example.com.zsk2签名,然后用example.com.zsk1取消签名。区域继续发布example.com.zsk1,直到example.com.zsk1生成的rrsig过期为止。
Citrix ADC命令:
在ADC上执行以下任务:
- 使用新的DNS密钥对区域进行签名
签署DNS区域
命令。 - 使用旧DNS密钥取消对区域的签名
取消对DNS区域的签名
命令。
有关对区域进行签名和取消签名的详细信息(包括示例),请参见对DNS区域进行签名和取消签名.
- 使用新的DNS密钥对区域进行签名
阶段4:移除DNSKEY。当旧DNS密钥生成的rrsig到期时,旧DNS密钥将从区域中删除。
例子:
旧的DNS密钥example.com.zsk1从example.com区域中删除。
Citrix ADC命令
在ADC上,您可以使用
Rm DNS密钥
命令。有关从区域中删除密钥的详细信息(包括示例),请参见删除DNS密钥.
双签名密钥翻转
RFC 4641,“DNSSEC操作实践”定义了双签名密钥轮换的三个阶段:初始化、新的DNSKEY和移除DNSKEY。每个阶段都与一组必须在ADC上执行的任务相关联。以下是每个阶段的描述和您必须执行的任务。此处描述的轮转过程可用于密钥签名密钥和区域签名密钥。
第一阶段:初始阶段。该区域仅包含当前已对该区域进行签名的密钥集。初始阶段的区域状态是在开始密钥轮转过程之前的区域状态。
例子:
考虑用密钥example.com.zsk1对区域example.com进行签名。该区域仅包含example.com.zsk1密钥生成的rrsig,该密钥即将到期。密钥签名密钥为example.com.ksk1。
第二阶段:新的DNSKEY。在区域中发布新密钥,并用新密钥对区域进行签名。区域包含由新旧密钥生成的rrsig。区域必须包含两组rrsig的最短持续时间是所有rrsig到期所需的时间。
例子:
一个新的密钥example.com.zsk2被添加到example.com区域。区域用example.com.zsk2签名。example.com区域现在包含由两个密钥生成的rrsig。
Citrix ADC命令
在ADC上执行以下任务:
创建DNS密钥
创建DNS密钥
命令。有关创建DNS密钥的详细信息(包括示例),请参见为区域创建DNS密钥.
将新密钥发布到区域中
添加DNS密钥
命令。有关在区域中发布密钥的详细信息(包括示例),请参见在区域中发布DNS密钥.
使用新密钥对区域进行签名
签署DNS区域
命令。有关对区域进行签名的详细信息(包括示例),请参见对DNS区域进行签名和取消签名.
阶段3:移除DNSKEY。当旧DNS密钥生成的rrsig到期时,旧DNS密钥将从区域中删除。
例子:
旧的DNS密钥example.com.zsk1从example.com区域中删除。
Citrix ADC命令:
在ADC上,您可以使用
Rm DNS密钥
命令。有关从区域中删除密钥的详细信息(包括示例),请参见删除DNS密钥.
分享
分享
本预览版产品文档为思杰机密文档。
您同意根据Citrix测试版/技术预览版协议的条款保密本文档。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考,并非提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为Citrix产品购买决策的依据。
如果不同意,选择“不同意退出”。