Dnssecの構成
Dnssecを設定するには,次の手順を実行します。
- Citrix ADCアプラemcアンスでDNSSECを有効にします。
- ゾンのゾン署名キとキ署名キを作成します。
- ゾンに2のキを追加します。
- キ,でゾ,ンに署名します。
Citrix ADCアプラaapl . exeアンスは,DNSSECリゾルバとして機能しません。Adcのdnssecは,次の展開シナリオでのみサポ,トされます。
- ADNS:Citrix ADCはADNSであり,署名自体を生成します。
- プロキシ:Citrix ADCはDNSSECプロキシとして機能します。Citrix ADCは、ADNS/LDNSサーバーの前にトラステッドモードで配置されることを前提としています。ADCはプロキシ・キャッシング・エンティティとしてのみ動作し、署名を検証しません。
Dnssecを有効または無効にする
法案同样ADCが域名系统安全扩展対応クライアントに応答するために,Citrix ADC法案同样で域名系统安全扩展を有効にします。デフォルトでは,dnssecは有効になっています。
法案同样Citrix ADCが域名系统安全扩展固有の情報を使用してクライアントに応答しないようにする場合は,DNSSEC機能を無効にできます。
Cliを使用してdnssecを有効または無効にする
コマンドプロンプトで次のコマンドを入力してdnssecを有効または無効にし,構成を確認します。
- set dns parameter -dnssec (ENABLED | DISABLED) - show dns parameter
例:
> set dns parameter -dnssec ENABLED Done > show dns parameter dns parameters: dns retries: 5 . .DNSEC扩展:ENABLED最大DNS管道请求:255 Done
GUIを使用してdnssecを有効または無効にする
- [トラフィック管理]> [dns . cn]に移動します。
- 詳細ウィンドウで,[dns設定の変更]をクリックします。
- [DNSパラメタの構成]ダ电子邮箱アログボックスで,[Dnssec拡張を有効にする]チェックボックスをオンまたはオフにします。
ゾンのDNSキの作成
署名するDNSゾンごとに,非対称キのペアを2作成する必要があります。ゾーン署名キー(ZSK)と呼ばれる1つのペアは,ゾーン内のすべてのリソースレコードセットに署名するために使用されます。2番目のペアは,キー署名キー(KSK)と呼ばれ,ゾーン内のDNSKEYリソースレコードにのみ署名するために使用されます。
ZSKとKSKが作成されると,キ,の公開コンポ,ネントの名前にsuffix.key
が追加されます。プラベトコンポネントの名前にsuffix.private
が付加されます。追加は自動的に行われます。
また,Citrix ADCは委任署名者(DS)レコードを作成し,レコードの名前に接尾辞.dsを追加します。親ゾーンが署名付きゾーンの場合,信頼チェーンを確立するには,親ゾーンでDSレコードを発行する必要があります。
キ,を作成すると,そのキ,は/ nsconfig / dns /
ディレクトリに格納されますが,ゾ,ンに自動的に公開されることはありません。创建DNS密钥
コマンドを使用してキ,を作成した後,添加DNS密钥
コマンドを使用してゾ,ンでキ,を明示的に公開する必要があります。キーを生成するプロセスは,ゾーンでキーを発行するプロセスとは独立しており,代替手段を使用してキーを生成できます。たとえば,Secure FTP(SFTP)を使用して,他のキ,生成プログラム(bind-keygen
など)によって生成されたキをンポトし,ゾンでキを発行できます。ゾンでのキの公開の詳細にいては,”ゾンでのDNSキの公開を参照してください。
このトピックで説明されている手順を実行してゾーン署名キーを作成し,その手順を繰り返してキー署名キーを作成します。コマンド構文に続く例では,まず区example.comのゾーン署名キーペアを作成します。次に,コマンドを使用して,ゾ,ンのキ,署名キ,ペアを作成します。
リリ.ス13.0ビルド61.;xから,Citrix ADCアプライアンスは,DNSゾーンを認証するために,RSASHA256やRSASHA512などの強力な暗号化アルゴリズムをサポートするようになりました。以前は,rsasha1アルゴリズムだけがサポ,トされていました。
Cliを使用してDNSキを作成する
コマンドプロンプトで入力します。
create dns key -zoneName
例:
> create dns key -zoneName example.com -keyType zsk -algorithm RSASHA256 -keySize 1024 -fileNamePrefix example.zsk.rsasha1.1024文件名称:/nsconfig/dns/ example.zsk.rsasha1.1024 key (public);/ nsconfig / dns / example.com.zsk.rsasha1.1024.private(私人);/nsconfig/dns/example.com.zsk.rsasha1.1024.ds (ds)该操作可能需要一些时间,请等待…Done >创建dns密钥-zoneName example.com -keyType ksk -algorithm RSASHA512 -keySize 4096 -fileNamePrefix example.com.ksk.rsasha1.4096文件名称:/nsconfig/dns/example.com.ksk.rsasha1.4096.key (public);/ nsconfig / dns / example.com.ksk.rsasha1.4096.private(私人);/nsconfig/dns/example.com.ksk.rsasha1.4096.ds (ds)该操作可能需要一些时间,请等待…做< !——NeedCopy >
GUIを使用してDNSキ,を作成する
- [トラフィック管理]> [dns . cn]に移動します。
- 詳細領域で,[DNSキの作成]をクリックします。
さまざまなパラメ,タの値を入力し,[作成]をクリックします。
注:既存のキのファル名プレフィックスを変更するには,次のようにします。
- [参照]ボタンの横にある矢印をクリックします。
- [ロカル]または[アプラ@ @アンス]をクリックします(既存のキがロカルコンピュタに保存されているか,アプラアンス上の
/ nsconfig / dns /
ディレクトリに保存されているかに応じて)。 - キ,の場所を参照し,キ,をダブルクリックします。[ファ@ @ル名の接頭辞]ボックスには,既存のキ,の接頭語のみが入力されます。それに応じて接頭辞を変更します。
ゾン内のDNSキを発行する
キー(ゾーン署名キーまたはキー署名キー)は,ADCアプライアンスにキーを追加することによってゾーンで公開されます。ゾ,ンに署名する前に,キ,をゾ,ンに発行する必要があります。
ゾ,ンでキ,を公開する前に,そのキ,が/ nsconfig / dns /ディレクトリにある必要があります。別のコンピュ,タにDNSキ,を作成した場合(たとえば,bind-keygen
プログラムを使用して),そのキ,が/ nsconfig / dns /
ディレクトリに追加されていることを確認します。次に,ゾ,ンでキ,を発行します。Adc GUIを使用して,キ,を/ nsconfig / dns /
ディレクトリに追加します。または安全FTP (SFTP)などの他のプログラムを使用して,キーをディレクトリにインポートします。
特定のゾ,ンで公開する公開鍵と秘密鍵のペアごとに添加DNS密钥
コマンドを使用します。ゾ,ンのZSKペアとKSKペアを作成した場合は,添加DNS密钥
コマンドを使用して、まずゾ、ン内のキ、ペアの1を公開します。コマンドを繰り返して,もう一方のキ,ペアを公開します。ゾ,ンで発行するキ,ごとに,ゾ,ンにdnskeyリソ,スレコ,ドが作成されます。
コマンド構文に続く例では,まず,ゾーン内のゾーン署名キーペア(example.comゾーン用に作成された)を公開します。次に,コマンドを使用して,ゾ,ン内のキ,署名キ,ペアを公開します。
Cliを使用してゾ,ンにキ,を発行する
コマンドプロンプトで次のコマンドを入力して,ゾ,ンにキ,を発行し,構成を確認します。
- add dns key [-expires []] [- notificationperiod []] [- ttl ] - show dns zone [ | type ]
例:
>添加dns关键example.com.zsk example.com.zsk.rsasha1.1024.key example.com.zsk.rsasha1.1024.private做>添加dns关键example.com.ksk example.com.ksk.rsasha1.4096.key example.com.ksk.rsasha1.4096.private >显示完成dns区域example.com区域名称:example.com代理模式:没有域名:example.com记录类型:NS SOA DNSKEY域名:ns1.example.com记录类型:一个域名:ns2.example.com记录类型:做< !——NeedCopy >
GUI界面を使用してDNSゾ,ンにキ,を発行する
[トラフィック管理]> [dns] >[キ]に移動します。
注:[公開キ,]と[秘密キ,]の場合,ロ,カルコンピュ,タに保存されているキ,を追加するには,[参照]ボタンの横にある矢印をクリックし,[ロカル]をクリックしてキ,の場所を参照し,キ,をダブルクリックします。
DNSキを構成する
ゾ,ンで公開されているキ,のパラメ,タを設定できます。キ,の有効期限,通知期間,および有効期限(ttl)パラメ,タを変更できます。キーの有効期限を変更すると,アプライアンスはゾーン内のすべてのリソースレコードをキーで自動的に再署名します。再署名は,ゾ,ンが特定のキ,で署名されている場合に発生します。
Cliを使用したキ,の設定
コマンドプロンプトで次のコマンドを入力して,キ,を構成し,構成を確認します。
- set dns key [-expires []] [- notificationperiod []] [- ttl ] - show dns key []
例:
> set dns key example.ksk -expires 30 DAYS -notificationPeriod 3 DAYS -TTL 3600 Done > show dns key example.ksk 1)密钥名称:example.ksk有效期:30天通知:3天TTL: 3600 Public key File: example.ksk.rsasha1.4096.key Private key File: example.ksk.rsasha1.4096.private Done
GUIを使用したキ,の設定
[トラフィック管理]> [dns] >[キ]に移動します。
詳細ウィンドウで,構成するキ,をクリックし,[開く]をクリックします。
[dnsキの構成]ダアログボックスで,次のパラメタの値を次のように変更します。
- 期限切れ-期限切れ
- 通知期間-notificationPeriod
- TTL: TTL
[ok]をクリックします。
DNSゾンの署名と署名の解除
DNSゾーンをセキュリティで保護するには,ゾーンで発行されたキーを使用してゾーンに署名する必要があります。ゾーンに署名すると,Citrix ADCは所有者名ごとにNSEC(下一个安全)リソースレコードを作成します。次に,キ,署名キ,を使用してdnskeyリソ,スレコ,ドセットに署名します。ZSKを最後に,使用して,ゾーン内のすべてのリソースレコードセット(DNSKEYリソースレコードセットやNSECリソースレコードセットを含む)に署名します。署名操作を行うたびに,ゾ,ン内のリソ,スレコ,ドセットの署名が作成されます。署名は、RRSIG リソースレコードと呼ばれる新しいリソースレコードにキャプチャされます。
ゾ,ンに署名したら,構成を保存します。
Cliを使用してゾ,ンに署名する
コマンドプロンプトで次のコマンドを入力してゾ,ンに署名し,構成を確認します。
- sign dns zone [- keyname …]- show dns zone [ | -type (ADNS | PROXY | ALL)] - save config
例:
> sign dns zone example.com -keyName example.com.zsk example.com.ksk Done > show dns zone example.com zone名称:example.com代理模式:NO域名:example.com记录类型:NS SOA DNSKEY RRSIG NSEC域名:ns1.example.com记录类型:A RRSIG NSEC域名:ns2.example.com记录类型:A RRSIG域名:ns2.example.com记录类型:RRSIG NSEC Done > save config Done
Cliを使用してゾ,ンの署名を解除する
コマンド·プロンプトで次のコマンドを入力して,ゾ,ンの署名を解除し,構成を確認します。
- unsign dns zone [- keyname …]- show dns zone [ | -type (ADNS | PROXY | ALL)]
例:
> unsign dns zone example.com -keyName example.com.zsk example.com.ksk Done > show dns zone example.com zone Name: example.com Proxy Mode: NO Domain Name: example.com Record Types: NS SOA DNSKEY Domain Name: ns1.example.com Record Types: A Domain Name: ns2.example.com Record Types: A Done
GUIを使用してゾ,ンに署名または署名解除する
- [トラフィック管理]> [dns] >[ゾ,ン]に移動します。
- 詳細ウィンドウで,署名するゾ,ンをクリックし,[署名/署名解除]をクリックします。
- [dnsゾ.ンの署名/署名解除]ダ。
ゾーンに署名するには,ゾーンに署名するキー(ゾーン署名キーとキー署名キー)のチェックボックスをオンにします。
ゾ,ンには,複数のゾ,ン署名キ,またはキ,署名キ,ペアを使用して署名できます。
ゾーンの署名を解除するには,ゾーンの署名を解除するキー(ゾーン署名キーとキー署名キー)のチェックボックスをオフにします。
複数のゾ,ン署名キ,またはキ,署名キ,ペアを使用して,ゾ,ンの署名を解除できます。
- [ok]をクリックします。
ゾ,ン内の特定のレコ,ドのnsec,レコ,ドを表示する
Citrix ADCがゾ,ン内の各所有者名に対して自動的に作成するNSECレコ,ドを表示できます。
Cliを使用してゾ,ン内の特定のレコ,ドのnsecレコ,ドを表示する
コマンドプロンプトで次のコマンドを入力して,ゾーン内の特定のレコードのNSECレコードを表示します。
show dns nsecRec [
例:
> show dns nsecRec example.com 1)域名:example.com Next Nsec名称:ns1.example.com记录类型:NS SOA DNSKEY RRSIG Nsec Done
GUIを使用して,ゾ,ン内の特定のレコ,ドのnsecレコ,ドを表示する
- [トラフィック管理]> [dns] >[レコ,ド]>[次のセキュアレコ,ド]に移動します。
- 詳細ウィンドウで,nsecレコ,ドを表示するレコ,ドの名前をクリックします。選択したレコ,ドのnsecレコ,ドが[詳細]領域に表示されます。
DNSキを削除する
キーの有効期限が切れたとき,またはキーが侵害された場合に,公開されているゾーンからキーを削除します。ゾ,ンからキ,を削除すると,ゾ,ンは自動的にキ,で署名されません。このコマンドでキーを削除しても,/ nsconfig / dns /ディレクトリにあるキーファイルは削除されません。キファルが不要になった場合は,ディレクトリから明示的に削除する必要があります。
CLIを使用してCitrix ADCからキ,を削除する
コマンドプロンプトで次のコマンドを入力してキ,を削除し,構成を確認します。
—rm dns key —show dns key
例:
> rm dns key Done > show dns key ERROR: No such resource [keyName, example.com.zsk]
GUIを使用してCitrix ADCからキ,を削除する
- [トラフィック管理]> [dns] >[キ]に移動します。
- 詳細ウィンドウで,adcから削除するキ,の名前をクリックし,[削除]をクリックします。