法案同样配置域名系统安全扩展
Procédez comme西装倒配置DNSSEC:
- Activez DNSSEC sur l 'appliance Citrix ADC。
- Créez une clé de signature de zone et une clé de signature de clé pour la zone。
- Ajoutez les deux clés à la zone。
- 巴黎地区签名clés。
L 'appliance Citrix ADC n 'agit pas tant que résolveur DNSSEC。Le DNSSEC sur ADC est pris en charge uniquement dans les scénarios de déploiement suivants:
- ADNS: Citrix ADC est l 'ADNS et génère les signatures elle-même。
- 代理:Citrix ADC的代理DNSSEC。Il est supposé que Citrix ADC est placé devant les servers ADNS/LDNS en mode approuvé。ADC agit unique comme une entité de mise en cache proxy et ne valide auune签名。
激活et désactiver DNSSEC
Activez DNSSEC sur Citrix ADC pour que ADC réponde aux clients prenant en charge DNSSEC。Par défaut, DNSSEC est activé。
Vous pouvez désactiver la fonctionnalité DNSSEC si Vous ne souhaitez pas que Citrix ADC réponde aux clients avec des information spécifiques à DNSSEC。
激活ou désactiver DNSSEC à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez les commands suivantes pour activer ou désactiver DNSSEC et vérifier la配置:
- set dns parameter -dnssec (ENABLED | DISABLED) - show dns parameter 为例:
> set dns parameter -dnssec ENABLED Done > show dns parameter dns parameters: dns retries: 5 . .DNSEC扩展:ENABLED最大DNS管道请求:255 Done 激活ou désactiver DNSSEC à l 'aide de l 'interface graphique
- Accedez一Gestion du traffic > DNS.
- Dans le volet d ' information, cliquez sur Modifier les paramètres DNS。
- Dans la boîte de对话配置les paramètres DNS, activez oudésactivez la case à cocher activerl 'extension DNSSEC.
Créer des clés DNS pour une zone
Pour chque zone DNS que vous souhaitez signer, vous devez créer deux paires de clés asymétriques。Une paire, appelée la clé de signature de zone (ZSK), est utilisée pour signer tous les jeux d ' enregistration de resources dans la zone。La deuxième paire est appelée clé de signature de clé (KSK) et est utilisée pour签名者uniquement les enregistration de resource DNSKEY dans La zone。
Lorsque le ZSK et le KSK sont créés,suffix.keyEst ajouté aux names des composants publics des clés。勒suffix.privateEst ajouté aux names de leurs composants privés。L 'ajout se产品自动化。
Citrix ADC crée également un enregiment DS (Délégation签名者)et ajoute le suffix . DS au nom de l ' enregiment。Si la zone parent est une zone signée, vous devez publier l ' enregiment DS dans la zone parent pour établir la chaîne d ' approved。
Lorsque vous créez une clé, la clé est stockée dans le/ nsconfig / dns /Répertoire, mais elle n 'est pas publiée automatiquement dans la zone。Après avoir créé une clé à l 'aide de la创建DNS密钥指挥官,vous devez publier explicitement la clé dans la zone à l 'aide de la添加DNS密钥对。Le进程génération d 'une clé最独特的出版进程clé dan une zone pour vous permettre d 'utiliser d ' moyens pour générer des clés。例如,vous pouvez importer des clés générées Par d’autres programs de génération de clés (tels quebind-keygen) à l 'aide de Secure FTP (SFTP), puis publier les clés dans la zone。Pour plus d ' information sur la publication d 'une clé dans une zone, voir发布者une clé DNS dan une区域.
效果les étapes décrites丹斯樱桃倒créer une clé de签名de zone, puis répétez les étapes倒créer une clé de签名de clé。L ' example suivant la syntax de command crée d 'abord une paire de clés de signature de zone pour la zone exemplple.com。L ' example use ensuite la command pour créer une paire de clés de signature de clé pour la zone。
À partir de la version 13.0 build 61。x, l 'appliance Citrix ADC prend désormais en charge des algorithmes de chiffrement plus puissants, tels que RSASHA256 et RSASHA512, pour authenticfier une zone DNS。Auparavant, seul l 'algorithme RSASHA1 était pris en charge。
Créer une clé DNS à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez:
create dns key -zoneName
为例:
> create dns key -zoneName example.com -keyType zsk -algorithm RSASHA256 -keySize 1024 -fileNamePrefix example.zsk.rsasha1.1024文件名称:/nsconfig/dns/ example.zsk.rsasha1.1024 key (public);/ nsconfig / dns / example.com.zsk.rsasha1.1024.private(私人);/nsconfig/dns/example.com.zsk.rsasha1.1024.ds (ds)该操作可能需要一些时间,请等待…Done >创建dns密钥-zoneName example.com -keyType ksk -algorithm RSASHA512 -keySize 4096 -fileNamePrefix example.com.ksk.rsasha1.4096文件名称:/nsconfig/dns/example.com.ksk.rsasha1.4096.key (public);/ nsconfig / dns / example.com.ksk.rsasha1.4096.private(私人);/nsconfig/dns/example.com.ksk.rsasha1.4096.ds (ds)该操作可能需要一些时间,请等待…做< !——NeedCopy >Créer une clé DNS à l 'aide de l 'interface graphique
- Accedez一Gestion du traffic > DNS.
- 丹斯拉区Détails, cliquez surCréer une clé DNS.
我们的价值观différents paramètres和我们的朋友克里尔.
备注:倒修饰语le préfixe笔名d 'une clé existante:
- Cliquez sur la flèche en regard du boutonParcourir.
- 双击苏尔当地的欧设备(selon que la clé existante est stockée sur votre ordinateur local ou dans le
/ nsconfig / dns /Répertoire de l 'appliance) - Accédez à l 'emplacement de la clé, puis double cliquez sur la clé。拉带Préfixe du nom de fichierEst renseignée unique ement avec le préfixe de la clé existante。Modifiez le préfixe en conséquence。
发布者une clé DNS dan une区域
Une clé (clé de signature de zone ou clé de signature de clé) est publiée dans Une zone en ajoutant la clé à l’appliance ADC。Une clé doit être publiée dans Une zone avant de signer la zone。
Avant de publier une clé dans une zone, la clé doit être disponible dans le répertoire/ nsconfig / dns /.Si vous avez créé la clé DNS sur un autre ordinateur(例如à l 'aide)bind-keygenDu programme), assurez vous que la clé est ajoutée au/ nsconfig / dns /曲目。Ensuite, publiez la clé dans la zone。Utilisez l '接口graphique ADC倒ajouter la clé au/ nsconfig / dns /曲目。Ou bien, utilisez un autre program pour importer la clé dans le répertoire, tel que Secure FTP (SFTP)。
用拉添加DNS密钥command pour chque paire de clés public-privé que vous souhaitez publier dan une zone donnée。我爱你créé我们在一起,我们在一起,我们在一起,我们在一起添加DNS密钥在巴黎clés巴黎总指挥。Répétez la command pour publier l 'autre paiaire de clés。Pour chque clé que vous publiez dans une zone, un enregiment de resource DNSKEY est créé dans la zone。
L ' example suivant la syntax de command publie d ' ard la paiaire de clés de signature de zone (créée pour la zone example.com) dans la zone。L ' example use ensuite la command pour publier la paire de clés de signature de clé dans la zone。
Publier une clé dans une zone à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez la command suivante pour publier une clé dans une zone et vérifier la配置:
- add dns key [-expires []] [- notificationperiod []] [- ttl ] - show dns zone [ | type ] 为例:
>添加dns关键example.com.zsk example.com.zsk.rsasha1.1024.key example.com.zsk.rsasha1.1024.private做>添加dns关键example.com.ksk example.com.ksk.rsasha1.4096.key example.com.ksk.rsasha1.4096.private >显示完成dns区域example.com区域名称:example.com代理模式:没有域名:example.com记录类型:NS SOA DNSKEY域名:ns1.example.com记录类型:一个域名:ns2.example.com记录类型:做< !——NeedCopy >Publier une clé dans une zone DNS à l 'aide de l 'interface graphique
Accedez一流量应答> DNS > Clés.
标记:Pour Clé publique et Private Key, Pour ajouter une clé stockée sur votre ordinateur local, cliquez sur la flèche en regard du boutonParcourir, cliquez sur当地的, accédez à l 'emplacement de la clé, puis double cliquez sur la clé。
配置une clé DNS
Vous pouvez configurer les paramètres d 'une clé publiée dans une zone。Vous pouvez修饰符la période d 'expiration, la période de notification et les paramètres de durée de vie (TTL) de la clé。你可以修改période过期clé,你可以自动辞职登记地区资源à辅助clé。La签名se product si La zone est signée avec La clé particulière。
配置une clé à l 'aide de l 'interface de ligne de命令
À l 'invite de commands, tapez la command suivante pour configurer une clé et vérifier la配置:
- set dns key [-expires []] [- notificationperiod []] [- ttl ] - show dns key [] 为例:
> set dns key example.ksk -expires 30 DAYS -notificationPeriod 3 DAYS -TTL 3600 Done > show dns key example.ksk 1)密钥名称:example.ksk有效期:30天通知:3天TTL: 3600 Public key File: example.ksk.rsasha1.4096.key Private key File: example.ksk.rsasha1.4096.private Done 配置une clé à l 'aide de l 'interface graphique
Accedez一流量应答> DNS > Clés.
信息之神,我们的组织clé à我们的组织,我们的组织。
丹斯拉boîte de对话配置拉clé DNS, modifiez les valeurs des paramètres suivants comme indiqué:
- Expiration:过期
- Période de notification - notificationPeriod
- TTL-TTL
Cliquez sur OK。
签名者和供应商la签名d 'une区域DNS
Pour sécuriser une zone DNS, vous devez signer la zone avec les clés quont été publiées dans la zone。Lorsque vous signez une zone, Citrix ADC crée un enregiment de resource NSEC (Next Secure) pour chque nom de propriétaire。Ensuite, il utilise la clé de signature de clé pour signer le jeu d ' enregistration de resources DNSKEY。Enfin, il utilise le ZSK pour signer tous les jeux d ' registration de resources de la zone, y包括les jeux d ' registration de resources DNSKEY和les jeux d ' registration de resources NSEC。查克opération de signe génère une signature pour les jeux d ' enregistrations de resources dans la zone。La signature est capturée dans un nouvel enregiment de resource appelé enregiment de resource RRSIG。
Après avoir signé une zone, enregistrez la configuration。
签名者une zone à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez la command suivante pour signer une zone et vérifier la configuration:
- sign dns zone [- keyname …]- show dns zone [ | -type (ADNS | PROXY | ALL)] - save config 为例:
> sign dns zone example.com -keyName example.com.zsk example.com.ksk Done > show dns zone example.com zone名称:example.com代理模式:NO域名:example.com记录类型:NS SOA DNSKEY RRSIG NSEC域名:ns1.example.com记录类型:A RRSIG NSEC域名:ns2.example.com记录类型:A RRSIG域名:ns2.example.com记录类型:RRSIG NSEC Done > save config Done Désigner une zone à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez la command suivante pour désigner une zone et vérifier la配置:
- unsign dns zone [- keyname …]- show dns zone [ | -type (ADNS | PROXY | ALL)] 为例:
> unsign dns zone example.com -keyName example.com.zsk example.com.ksk Done > show dns zone example.com zone Name: example.com Proxy Mode: NO Domain Name: example.com Record Types: NS SOA DNSKEY Domain Name: ns1.example.com Record Types: A Domain Name: ns2.example.com Record Types: A Done 签名者ou désigner une区à l 'aide de l 'interface graphique
- Accedez一流量应答> DNS >安全区域.
- 巴黎信息中心à签名者,巴黎签名者俱乐部/Désigner。
- Dans la boîte de dialogue Sign/Désigner la zone DNS, effectuez l’une des opérations suivantes:
倒签名人la zone, activez les case à cocher des clés (clé de signature de zone et clé de signature de clé) avec lesquelles vous souhaitez signer la zone。
你是我们的签字人,我们是你的签字人,我们是你的签字人clé我们是你的签字人,我们是你的签字人clé。
倒déconnecter la zone, désactivez les cases à cocher des clés (clé de signature de zone et clé de signature de clé) avec lesquelles vous souhaitez déconnecter la zone。
Vous pouvez déconnecter la zone avec + d 'une clé de signature de zone ou une paire clés de signature de clé。
- Cliquez sur OK。
Afficher les enregistrations NSEC d 'un enregistrment donné dans une zone
Vous pouvez afficher les registrations NSEC créés automatiquement par Citrix ADC pour chque nom de propriétaire dans la zone。
Afficher l ' registration NSEC d 'un enregistration donné dans une zone à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez la command suivante pour afficher l ' enregisternsec d 'un enregisterdonné dans une zone:
show dns nsecRec [
为例:
> show dns nsecRec example.com 1)域名:example.com Next Nsec名称:ns1.example.com记录类型:NS SOA DNSKEY RRSIG Nsec Done Afficher l ' registration NSEC pour un registration donné dans une zone à l 'aide de l 'interface graphique
- Accedez一流量Gestion du traffic > DNS > enregistrations > enregistrations sécurisés suivants.
- 我的信息,我的名义,我的信息,我的信息,我的信息,我的信息,NSEC。L ' enregisternsec de L ' enregistersélectionné s 'affiche dans la zone Détails。
供应商une clé DNS
Supprimez une clé de la zone danslaquelle elle est publiée lorsque la clé a expiré ou si la clé a été妥协。Lorsque vous suprimez une clé de la zone, cellle -ci est automatiquement désignée avec la clé。La suppression de La clé avec cette command ne priprime pas les fichiers clés présents dans le répertoire /nsconfig/dns/。Si les fichiers clés ne sont plus nécessaires, ils doivent être explicitement supprimés du répertoire。
主une clé德Citrix ADC à l 'aide de l 'interface de ligne de command
À l 'invite de commands, tapez la command suivante pour suppler une clé et vérifier la配置:
—rm dns key —show dns key 为例:
> rm dns key Done > show dns key ERROR: No such resource [keyName, example.com.zsk] 供应商une clé de Citrix ADC à l 'aide de l 'interface graphique
- Accedez一流量应答> DNS > Clés.
- 我们的信息,我们的笔名clé我们的ADC的支持者,我们的支持者。