Citrix ADC

DNSSEC konfigurieren

Führen Sie die folgenden Schritte aus, um DNSSEC zu konfigurieren:

  1. Aktivieren Sie DNSSEC auf der Citrix ADC Appliance.
  2. Erstellen Sie einen Zonensignierungsschlüssel und einen Schlüsselsignierungsschlüssel für die Zone.
  3. Fügen Sie die beiden Schlüssel zur Zone hinzu.
  4. Unterschreiben Sie die Zone mit den Schlüsseln.

Die Citrix ADC Appliance fungiert nicht als DNSSEC-Resolver. DNSSEC auf dem ADC wird nur in den folgenden Bereitstellungsszenarien unterstützt:

  1. ADNS — Citrix ADC ist das ADNS und generiert die Signaturen selbst.
  2. Proxy: Citrix ADC fungiert als DNSSEC-Proxy. Es wird davon ausgegangen, dass Citrix ADC in einem vertrauenswürdigen Modus vor den ADNS/LDNS-Servern platziert wird. Der ADC fungiert nur als Proxy-Caching-Entität und überprüft keine Signaturen.

DNSSEC aktivieren und deaktivieren

Aktivieren Sie DNSSEC auf dem Citrix ADC, damit der ADC auf DNSSEC-fähige Clients reagiert. Standardmäßig ist DNSSEC aktiviert.

Sie können die DNSSEC-Funktion deaktivieren, wenn Citrix ADC nicht auf Clients mit DNSSEC-spezifischen Informationen antworten soll.

Aktivieren oder Deaktivieren von DNSSEC mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um DNSSEC zu aktivieren oder zu deaktivieren, und überprüfen Sie die Konfiguration:

-  set dns parameter -dnssec ( ENABLED | DISABLED )
-  show dns parameter  

Beispiel:

> set dns parameter -dnssec ENABLED
 Done
> show dns parameter
        DNS parameters:
        DNS retries: 5
         .
         .
         .
         DNSEC Extension: ENABLED
        Max DNS Pipeline Requests: 255
 Done

Aktivieren oder Deaktivieren von DNSSEC mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS.
  2. Klicken Sie im Detailbereich auf DNS-Einstellungen ändern.
  3. Aktivieren oder deaktivieren Sie im Dialogfeld DNS-Parameter konfigurieren das Kontrollkästchen DNSSEC-Erweiterung aktivieren.

Erstellen von DNS-Schlüsseln für eine Zone

Für jede DNS-Zone, die Sie signieren möchten, müssen Sie zwei Paare asymmetrischer Schlüssel erstellen. Ein Paar, der Zonensignierungsschlüssel (ZSK) genannt, wird verwendet, um alle Ressourcendatensätze in der Zone zu signieren. Das zweite Paar wird als Schlüsselsignierungsschlüssel (Key Signing Key, KSK) bezeichnet und wird verwendet, um nur die DNSKEY-Ressourceneinträge in der Zone zu signieren.

Wenn ZSK und KSK erstellt werden, suffix.key wird der an die Namen der öffentlichen Komponenten der Schlüssel angehängt. Die suffix.private wird an die Namen ihrer privaten Komponenten angehängt. Das Anhängen erfolgt automatisch.

Der Citrix ADC erstellt auch einen Delegation Signner (DS) -Datensatz und fügt das Suffix .ds an den Namen des Datensatzes an. Wenn es sich bei der übergeordneten Zone um eine signierte Zone handelt, müssen Sie den DS-Eintrag in der übergeordneten Zone veröffentlichen, um die Vertrauensskette einzurichten.

Wenn Sie einen Schlüssel erstellen, wird der Schlüssel im /nsconfig/dns/ Verzeichnis gespeichert, aber er wird nicht automatisch in der Zone veröffentlicht. Nachdem Sie einen Schlüssel mithilfe des create dns key Befehls erstellt haben, müssen Sie den Schlüssel explizit mithilfe des add dns key Befehls in der Zone veröffentlichen. Der Prozess zum Generieren eines Schlüssels ist getrennt vom Prozess der Veröffentlichung des Schlüssels in einer Zone, damit Sie alternative Mittel zum Generieren von Schlüsseln verwenden können. Sie können beispielsweise Schlüssel importieren, die von anderen Schlüsselgenerierungsprogrammen (z. B. bind-keygen) generiert wurden, indem Sie Secure FTP (SFTP) verwenden und dann die Schlüssel in der Zone veröffentlichen. Weitere Hinweise zum Veröffentlichen eines Schlüssels in einer Zone finden Sie unterVeröffentlichen eines DNS-Schlüssels in einer Zone.

Führen Sie die in diesem Thema beschriebenen Schritte aus, um einen Zonensignierungsschlüssel zu erstellen, und wiederholen Sie dann die Schritte zum Erstellen eines Schlüsselsignierungsschlüssels. Im Beispiel, das der Befehlssyntax folgt, wird zunächst ein Schlüsselpaar für Zonensignierung für die Zone example.com erstellt. Das Beispiel verwendet dann den Befehl, um ein Schlüsselsignierungsschlüsselpaar für die Zone zu erstellen.

Ab Version 13.0 Build 61.x unterstützt die Citrix ADC Appliance jetzt stärkere Krypto-Algorithmen, wie RSASHA256 und RSASHA512, um eine DNS-Zone zu authentifizieren. Bisher wurde nur der RSASHA1-Algorithmus unterstützt.

Erstellen eines DNS-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create dns key -zoneName <string> -keyType <keyType> -algorithm <algorithm> -keySize <positive_integer> -fileNamePrefix <string>

Beispiel:

> create dns key -zoneName example.com -keyType zsk -algorithm RSASHA256 -keySize 1024 -fileNamePrefix example.com.zsk.rsasha1.1024
File Name: /nsconfig/dns/example.com.zsk.rsasha1.1024.key (public); /nsconfig/dns/example.com.zsk.rsasha1.1024.private (private); /nsconfig/dns/example.com.zsk.rsasha1.1024.ds (ds)
This operation may take some time, Please wait...
 Done
> create dns key -zoneName example.com -keyType ksk -algorithm RSASHA512 -keySize 4096 -fileNamePrefix example.com.ksk.rsasha1.4096
File Name: /nsconfig/dns/example.com.ksk.rsasha1.4096.key (public); /nsconfig/dns/example.com.ksk.rsasha1.4096.private (private); /nsconfig/dns/example.com.ksk.rsasha1.4096.ds (ds)
This operation may take some time, Please wait...
 Done

Erstellen eines DNS-Schlüssels mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS.
  2. Klicken Sie im Detailbereich auf DNS-Schlüssel erstellen.
  3. Geben Sie Werte für die verschiedenen Parameter ein, und klicken Sie auf Erstellen.

    Erstellen eines DNS-Schlüssels

    Hinweis: So ändern Sie das Dateinamenpräfix eines vorhandenen Schlüssels:

    • Klicken Sie auf den Pfeil neben der Schaltfläche Durchsuchen.
    • Klicken Sie entweder auf Lokal oder Appliance (je nachdem, ob der vorhandene Schlüssel auf Ihrem lokalen Computer oder im /nsconfig/dns/ Verzeichnis auf der Appliance gespeichert ist).
    • Navigieren Sie zum Speicherort des Schlüssels, und doppelklicken Sie dann auf den Schlüssel. Das Feld Dateinamenpräfix wird nur mit dem Präfix des vorhandenen Schlüssels gefüllt. Ändern Sie das Präfix entsprechend.

Veröffentlichen eines DNS-Schlüssels in einer Zone

Ein Schlüssel (Zonensignierungsschlüssel oder Schlüsselsignierungsschlüssel) wird in einer Zone veröffentlicht, indem der Schlüssel zur ADC-Appliance hinzugefügt wird. Ein Schlüssel muss in einer Zone veröffentlicht werden, bevor Sie die Zone signieren.

Bevor Sie einen Schlüssel in einer Zone veröffentlichen, muss der Schlüssel im Verzeichnis /nsconfig/dns/ verfügbar sein. Wenn Sie den DNS-Schlüssel auf einem anderen Computer erstellt haben (z. B. mithilfe des bind-keygen Programms), stellen Sie sicher, dass der Schlüssel dem /nsconfig/dns/ Verzeichnis hinzugefügt wird. Veröffentlichen Sie dann den Schlüssel in der Zone. Verwenden Sie die ADC-GUI, um den Schlüssel zum /nsconfig/dns/ Verzeichnis hinzuzufügen. Oder verwenden Sie ein anderes Programm, um den Schlüssel in das Verzeichnis zu importieren, z. B. das Secure FTP (SFTP).

Verwenden Sie den add dns key Befehl für jedes Public-Private-Schlüsselpaar, das Sie in einer bestimmten Zone veröffentlichen möchten. Wenn Sie ein ZSK-Paar und ein KSK-Paar für eine Zone erstellt haben, verwenden Sie den add dns key Befehl, um zuerst eines der Schlüsselpaare in der Zone zu veröffentlichen. Wiederholen Sie den Befehl, um das andere Schlüsselpaar zu veröffentlichen. Für jeden Schlüssel, den Sie in einer Zone veröffentlichen, wird in der Zone ein DNSKEY-Ressourceneintrag erstellt.

Im Beispiel, das der Befehlssyntax folgt, wird zuerst das Schlüsselpaar für die Zonensignierung (das für die Zone example.com erstellt wurde) in der Zone veröffentlicht. Das Beispiel verwendet dann den Befehl, um das Schlüsselsignierungsschlüsselpaar in der Zone zu veröffentlichen.

Veröffentlichen eines Schlüssels in einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um einen Schlüssel in einer Zone zu veröffentlichen und die Konfiguration zu überprüfen:

-  add dns key <keyName> <publickey> <privatekey> [-expires <positive_integer> [<units>]] [-notificationPeriod <positive_integer> [<units>]] [-TTL <secs>]
-  show dns zone [<zoneName> | -type <type>]

Beispiel:

> add dns key example.com.zsk example.com.zsk.rsasha1.1024.key example.com.zsk.rsasha1.1024.private
 Done
> add dns key example.com.ksk example.com.ksk.rsasha1.4096.key example.com.ksk.rsasha1.4096.private
 Done
> show dns zone example.com
         Zone Name : example.com
         Proxy Mode : NO
         Domain Name : example.com
                 Record Types : NS SOA DNSKEY
         Domain Name : ns1.example.com
                 Record Types : A
         Domain Name : ns2.example.com
                 Record Types : A
 Done

Veröffentlichen eines Schlüssels in einer DNS-Zone mit der GUI

Navigieren Sie zu Verkehrsverwaltung > DNS > Schlüssel.

Hinweis: Um einen Schlüssel hinzuzufügen, der auf dem lokalen Computer gespeichert ist, klicken Sie auf den Pfeil neben der Schaltfläche Durchsuchen, klicken Sie auf Lokal, navigieren Sie zum Speicherort des Schlüssels, und doppelklicken Sie dann auf den Schlüssel.

Konfigurieren eines DNS-Schlüssels

Sie können die Parameter eines Schlüssels konfigurieren, der in einer Zone veröffentlicht wurde. Sie können die Ablaufzeit, den Benachrichtigungszeitraum und die Gültigkeitsdauer des Schlüssels ändern. Wenn Sie die Ablaufzeit eines Schlüssels ändern, signiert die Appliance automatisch alle Ressourcendatensätze in der Zone mit dem Schlüssel neu. Das erneute Signieren geschieht, wenn die Zone mit dem bestimmten Schlüssel signiert ist.

Konfigurieren eines Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um einen Schlüssel zu konfigurieren und die Konfiguration zu überprüfen:

-  set dns key <keyName> [-expires <positive_integer> [<units>]] [-notificationPeriod <positive_integer> [<units>]] [-TTL <secs>]
-  show dns key [<keyName>]

Beispiel:

> set dns key example.com.ksk -expires 30 DAYS -notificationPeriod 3 DAYS -TTL 3600
 Done
> show dns key example.com.ksk
1)      Key Name: example.com.ksk
        Expires: 30 DAYS        Notification: 3 DAYS    TTL: 3600
        Public Key File: example.com.ksk.rsasha1.4096.key
        Private Key File: example.com.ksk.rsasha1.4096.private
 Done

Konfigurieren eines Schlüssels mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS > Schlüssel.

  2. Klicken Sie im Detailbereich auf den Schlüssel, den Sie konfigurieren möchten, und klicken Sie dann auf Öffnen.

  3. Ändern Sie im Dialogfeld DNS-Schlüssel konfigurieren die Werte der folgenden Parameter wie gezeigt:

    • Ablaufdatum — expires
    • Benachrichtigungszeitraum — notificationPeriod
    • TTL—TTL
  4. Klicken Sie auf OK.

Signieren und Aufheben der Signatur einer DNS-Zone

Um eine DNS-Zone zu sichern, müssen Sie die Zone mit den in der Zone veröffentlichten Schlüsseln signieren. Wenn Sie eine Zone signieren, erstellt Citrix ADC für jeden Besitzernamen einen NSEC-Ressourceneintrag (Next Secure). Anschließend wird der Schlüsselsignierungsschlüssel verwendet, um den DNSKEY-Ressourcendatensatz zu signieren. Schließlich wird das ZSK verwendet, um alle Ressourcendatensätze in der Zone zu signieren, einschließlich der DNSKEY-Ressourcendatensätze und NSEC-Ressourcendatensätze. Jeder Vorzeichenvorgang führt zu einer Signatur für die Ressourcendatensätze in der Zone. Die Signatur wird in einem neuen Ressourceneintrag erfasst, der RRSIG-Ressourceneintrag genannt wird.

Nachdem Sie eine Zone signiert haben, speichern Sie die Konfiguration.

Signieren einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um eine Zone zu signieren und die Konfiguration zu überprüfen:

-  sign dns zone <zoneName> [-keyName <string> ...]
-  show dns zone [<zoneName> | -type (ADNS | PROXY | ALL)]
-  save config

Beispiel:

> sign dns zone example.com -keyName example.com.zsk example.com.ksk
 Done
> show dns zone example.com
         Zone Name : example.com
         Proxy Mode : NO
         Domain Name : example.com
                 Record Types : NS SOA DNSKEY RRSIG NSEC
         Domain Name : ns1.example.com
                 Record Types : A RRSIG NSEC
         Domain Name : ns2.example.com
                 Record Types : A RRSIG
         Domain Name : ns2.example.com
                 Record Types : RRSIG NSEC
Done
> save config
 Done

Aufheben der Signatur einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Signierung einer Zone aufzuheben und die Konfiguration zu überprüfen:

-  unsign dns zone <zoneName> [-keyName <string> ...]
-  show dns zone [<zoneName> | -type (ADNS | PROXY | ALL)]

Beispiel:

> unsign dns zone example.com -keyName example.com.zsk example.com.ksk
 Done
> show dns zone example.com
         Zone Name : example.com
         Proxy Mode : NO
         Domain Name : example.com
                 Record Types : NS SOA DNSKEY
         Domain Name : ns1.example.com
                 Record Types : A
         Domain Name : ns2.example.com
                 Record Types : A
 Done

Signieren oder Aufheben der Signatur einer Zone mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS > Zonen.
  2. Klicken Sie im Detailbereich auf die Zone, die Sie signieren möchten, und klicken Sie dann auf Sign/Unsignieren.
  3. Führen Sie im Dialogfeld DNS-Zone signieren/unsignieren eine der folgenden Aktionen aus:
    • Um die Zone zu signieren, aktivieren Sie die Kontrollkästchen für die Schlüssel (Zonensignierungsschlüssel und Schlüsselsignierungsschlüssel), mit denen Sie die Zone signieren möchten.

      Sie können die Zone mit mehr als einem Zonensignierungsschlüssel oder Schlüsselsignierungsschlüsselpaar signieren.

    • Um die Signierung der Zone aufzuheben, deaktivieren Sie die Kontrollkästchen für die Schlüssel (Zonensignierungsschlüssel und Schlüsselsignierungsschlüssel), mit denen Sie die Signierung der Zone aufheben möchten.

      Sie können die Signierung der Zone mit mehr als einem Zonensignierungsschlüssel oder Schlüsselsignierungsschlüsselpaar aufheben.

  4. Klicken Sie auf OK.

Anzeigen der NSEC-Einträge für einen bestimmten Datensatz in einer Zone

Sie können die NSEC-Datensätze anzeigen, die der Citrix ADC automatisch für jeden Eigentümernamen in der Zone erstellt.

Anzeigen des NSEC-Datensatzes für einen bestimmten Datensatz in einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um den NSEC-Eintrag für einen bestimmten Datensatz in einer Zone anzuzeigen:

show dns nsecRec [<hostName> | -type (ADNS | PROXY | ALL)]

Beispiel:

> show dns nsecRec example.com
1)      Domain Name : example.com
        Next Nsec Name: ns1.example.com
        Record Types : NS SOA DNSKEY RRSIG NSEC
 Done

Anzeigen des NSEC-Datensatzes für einen bestimmten Datensatz in einer Zone mit der GUI

  1. Navigieren Sie zu Datenverkehrsverwaltung > DNS > Datensätze > Nächste sichere Datensätze.
  2. Klicken Sie im Detailbereich auf den Namen des Datensatzes, für den Sie den NSEC-Datensatz anzeigen möchten. Der NSEC-Eintrag für den ausgewählten Datensatz wird im Detailbereich angezeigt.

Entfernen eines DNS-Schlüssels

Entfernen Sie einen Schlüssel aus der Zone, in der er veröffentlicht wird, wenn der Schlüssel abgelaufen ist oder wenn der Schlüssel kompromittiert wurde. Wenn Sie einen Schlüssel aus der Zone entfernen, wird die Zone automatisch mit dem Schlüssel nicht signiert. Wenn Sie den Schlüssel mit diesem Befehl entfernen, werden die im Verzeichnis /nsconfig/dns/ vorhandenen Schlüsseldateien nicht entfernt. Wenn die Schlüsseldateien nicht mehr benötigt werden, müssen sie explizit aus dem Verzeichnis entfernt werden.

Entfernen eines Schlüssels aus dem Citrix ADC mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um einen Schlüssel zu entfernen und die Konfiguration zu überprüfen:

-  rm dns key <keyName>
-  show dns key <keyName>

Beispiel:

> rm dns key example.com.zsk
 Done
> show dns key example.com.zsk
ERROR: No such resource [keyName, example.com.zsk]

Entfernen eines Schlüssels aus dem Citrix ADC mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS > Schlüssel.
  2. Klicken Sie im Detailbereich auf den Namen des Schlüssels, den Sie aus dem ADC entfernen möchten, und klicken Sie dann auf Entfernen.