DNSSEC konfigurieren

Die Konfiguration von DNSSEC umfasst die Aktivierung von DNSSEC auf der Citrix ADC-Appliance, das Erstellen eines Zonensignierungsschlüssels und eines Schlüsselsignaturschlüssels für die Zone, das Hinzufügen der beiden Schlüssel zur Zone und das Signieren der Zone mit den Schlüsseln.

Die Citrix ADC Appliance fungiert nicht als DNSSEC-Resolver. DNSSEC auf dem ADC wird nur in den folgenden Bereitstellungsszenarien unterstützt:

  1. ADNS — Citrix ADC ist das ADNS und generiert die Signaturen selbst.
  2. Proxy: Citrix ADC fungiert als DNSSEC-Proxy. Es wird davon ausgegangen, dass Citrix ADC in einem vertrauenswürdigen Modus vor den ADNS/LDNS-Servern platziert wird. Der ADC fungiert nur als Proxy-Caching-Entität und überprüft keine Signaturen.

DNSSEC aktivieren und deaktivieren

Sie müssen DNSSEC auf dem Citrix ADC aktivieren, damit der ADC auf DNSSEC-fähige Clients reagieren kann. Standardmäßig ist DNSSEC aktiviert.

Sie können die DNSSEC-Funktion deaktivieren, wenn Citrix ADC nicht auf Clients mit DNSSEC-spezifischen Informationen antworten soll.

Aktivieren oder Deaktivieren von DNSSEC mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um DNSSEC zu aktivieren oder zu deaktivieren, und überprüfen Sie die Konfiguration:

-  set dns parameter -dnssec ( ENABLED | DISABLED )
-  show dns parameter  

Beispiel:

> set dns parameter -dnssec ENABLED
 Done
> show dns parameter
        DNS parameters:
        DNS retries: 5
         .
         .
         .
         DNSEC Extension: ENABLED
        Max DNS Pipeline Requests: 255
 Done

Aktivieren oder Deaktivieren von DNSSEC mit der GUI

  1. Navigieren Sie zu Traffic Management > DNS.
  2. Klicken Sie im Detailbereich auf DNS-Einstellungen ändern.
  3. Aktivieren oder deaktivieren Sie im Dialogfeld DNS-Parameter konfigurieren das Kontrollkästchen DNSSEC-Erweiterung aktivieren.

Erstellen von DNS-Schlüsseln für eine Zone

Für jede DNS-Zone, die Sie signieren möchten, müssen Sie zwei Paare asymmetrischer Schlüssel erstellen. Ein Paar, genannt Zonensignaturschlüssel, wird verwendet, um alle Ressourcendatensätze in der Zone zu signieren. Das zweite Paar wird Schlüsselsignaturschlüssel genannt und wird verwendet, um nur die DNSKEY-Ressourceneinträge in der Zone zu signieren.

Wenn der Zonensignaturschlüssel und der Schlüsselsignaturschlüssel erstellt werden, wird das Suffix .key automatisch an die Namen der öffentlichen Komponenten der Schlüssel angehängt, und das Suffix .private wird automatisch an die Namen ihrer privaten Komponenten angehängt.

Darüber hinaus erstellt Citrix ADC auch einen Delegierungssignierer-Datensatz (DS) und fügt das Suffix .ds an den Namen des Datensatzes an. Wenn es sich bei der übergeordneten Zone um eine signierte Zone handelt, müssen Sie den DS-Eintrag in der übergeordneten Zone veröffentlichen, um die Vertrauensskette einzurichten.

Wenn Sie einen Schlüssel erstellen, wird der Schlüssel im Verzeichnis /nsconfig/dns/ gespeichert, aber er wird nicht automatisch in der Zone veröffentlicht. Nachdem Sie einen Schlüssel mithilfe des Befehls create dns key erstellt haben, müssen Sie den Schlüssel explizit in der Zone mithilfe des Befehls add dns key veröffentlichen. Der Prozess der Generierung eines Schlüssels wurde vom Prozess der Veröffentlichung des Schlüssels in einer Zone getrennt, damit Sie alternative Mittel zum Generieren von Schlüsseln verwenden können. Beispielsweise können Sie Schlüssel importieren, die von anderen Schlüsselgenerierungsprogrammen (z. B. bind-keygen) generiert wurden, mithilfe von SFTP (Secure File Transfer Protocol) und dann die Schlüssel in der Zone veröffentlichen. Weitere Hinweise zum Veröffentlichen eines Schlüssels in einer Zone finden Sie unterVeröffentlichen eines DNS-Schlüssels in einer Zone.

Führen Sie die in diesem Thema beschriebenen Schritte aus, um einen Zonensignaturschlüssel zu erstellen, und wiederholen Sie die Schritte zum Erstellen eines Schlüsselsignaturschlüssels. Im Beispiel, das der Befehlssyntax folgt, wird zunächst ein Zonensignaturschlüsselpaar für die Zone example.com erstellt. Im Beispiel wird dann mit dem Befehl ein Schlüsselschlüsselpaar für die Zone erstellt.

Erstellen eines DNS-Schlüssels mit der CLI

Geben Sie an der Citrix ADC Eingabeaufforderung den folgenden Befehl ein, um einen DNS-Schlüssel zu erstellen:

create dns key -zoneName <string> -keyType <keyType> -algorithm RSASHA1 -keySize <positive_integer> -fileNamePrefix <string>

Beispiel:

> create dns key -zoneName example.com -keyType zsk -algorithm RSASHA1 -keySize 1024 -fileNamePrefix example.com.zsk.rsasha1.1024
File Name: /nsconfig/dns/example.com.zsk.rsasha1.1024.key (public); /nsconfig/dns/example.com.zsk.rsasha1.1024.private (private); /nsconfig/dns/example.com.zsk.rsasha1.1024.ds (ds)
This operation may take some time, Please wait...
 Done
> create dns key -zoneName example.com -keyType ksk -algorithm RSASHA1 -keySize 4096 -fileNamePrefix example.com.ksk.rsasha1.4096
File Name: /nsconfig/dns/example.com.ksk.rsasha1.4096.key (public); /nsconfig/dns/example.com.ksk.rsasha1.4096.private (private); /nsconfig/dns/example.com.ksk.rsasha1.4096.ds (ds)
This operation may take some time, Please wait...
 Done

Erstellen eines DNS-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > DNS.
  2. Klicken Sie im Detailbereich auf DNS-Schlüssel erstellen und erstellen Sie einen DNS-Schlüssel.

    Hinweis: Wenn Sie das Dateinamenpräfix eines vorhandenen Schlüssels ändern möchten, klicken Sie auf den Pfeil neben der Schaltfläche Durchsuchen, klicken Sie entweder auf Lokal oder Appliance (je nachdem, ob der vorhandene Schlüssel auf Ihrem lokalen Computer oder im Verzeichnis /nsconfig/dns/ auf der Appliance gespeichert ist), navigieren Sie zum Speicherort des Schlüssels, und doppelklicken Sie dann auf den Schlüssel. Das Feld Dateinamenpräfix wird nur mit dem Präfix des vorhandenen Schlüssels gefüllt. Ändern Sie das Präfix entsprechend.

Veröffentlichen eines DNS-Schlüssels in einer Zone

Ein Schlüssel (Zonensignaturschlüssel oder Schlüsselsignaturschlüssel) wird in einer Zone veröffentlicht, indem der Schlüssel zum Citrix ADC hinzugefügt wird. Ein Schlüssel muss in einer Zone veröffentlicht werden, bevor Sie die Zone signieren.

Bevor Sie einen Schlüssel in einer Zone veröffentlichen, muss der Schlüssel im Verzeichnis /nsconfig/dns/ verfügbar sein. Wenn Sie also andere Mittel zum Generieren des Schlüssels verwendet haben, also außer dem Befehl create dns key auf dem Citrix ADC (z. B. mithilfe des bind-keygen-Programms auf einem anderen Computer), stellen Sie sicher, dass der Schlüssel dem Verzeichnis /nsconfig/dns/ hinzugefügt wird, bevor Sie den Schlüssel in der Zone veröffentlichen.

Wenn der Schlüssel von einem anderen Programm generiert wurde, können Sie den Schlüssel auf Ihren lokalen Computer importieren und das Citrix ADC Konfigurationsprogramm verwenden, um den Schlüssel dem Verzeichnis /nsconfig/dns/ hinzuzufügen. Sie können auch andere Mittel verwenden, um den Schlüssel in das Verzeichnis zu importieren, z. B. das Secure File Transfer Protocol (SFTP).

Sie müssen den Befehl add dns key für jedes öffentlich-private Schlüsselpaar verwenden, das Sie in einer bestimmten Zone veröffentlichen möchten. Wenn Sie ein Zonensignaturschlüsselpaar und ein Schlüsselsignaturschlüsselpaar für eine Zone erstellt haben, verwenden Sie den Befehl dns key, um zuerst eines der Schlüsselpaare in der Zone zu veröffentlichen, und wiederholen Sie dann den Befehl, um das andere Schlüsselpaar zu veröffentlichen. Für jeden Schlüssel, den Sie in einer Zone veröffentlichen, wird in der Zone ein DNSKEY-Ressourceneintrag erstellt.

Das Beispiel, das der Befehlssyntax folgt, veröffentlicht zuerst das Zonensignaturschlüsselpaar (das für die Zone example.com erstellt wurde) in der Zone. Im Beispiel wird dann der Befehl verwendet, um das Schlüsselpaar Schlüsselsignaturschlüssel in der Zone zu veröffentlichen.

Veröffentlichen eines Schlüssels in einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um einen Schlüssel in einer Zone zu veröffentlichen und die Konfiguration zu überprüfen:

-  add dns key <keyName> <publickey> <privatekey> [-expires <positive_integer> [<units>]] [-notificationPeriod <positive_integer> [<units>]] [-TTL <secs>]
-  show dns zone [<zoneName> | -type <type>]

Beispiel:

> add dns key example.com.zsk example.com.zsk.rsasha1.1024.key example.com.zsk.rsasha1.1024.private
 Done
> add dns key example.com.ksk example.com.ksk.rsasha1.4096.key example.com.ksk.rsasha1.4096.private
 Done
> show dns zone example.com
         Zone Name : example.com
         Proxy Mode : NO
         Domain Name : example.com
                 Record Types : NS SOA DNSKEY
         Domain Name : ns1.example.com
                 Record Types : A
         Domain Name : ns2.example.com
                 Record Types : A
 Done

Veröffentlichen eines Schlüssels in einer DNS-Zone mit der GUI

Navigieren Sie zu Traffic Management > DNS > Schlüssel.

Hinweis: Um einen auf dem lokalen Computer gespeicherten Schlüssel und einen privaten Schlüssel hinzuzufügen, klicken Sie auf den Pfeil neben der Schaltfläche Durchsuchen, klicken Sie auf Lokal, navigieren Sie zum Speicherort des Schlüssels, und doppelklicken Sie dann auf den Schlüssel.

Konfigurieren eines DNS-Schlüssels

Sie können die Parameter eines Schlüssels konfigurieren, der in einer Zone veröffentlicht wurde. Sie können die Ablaufzeit, den Benachrichtigungszeitraum und die Gültigkeitsdauer des Schlüssels ändern. Wenn Sie die Ablaufzeit eines Schlüssels ändern, signiert Citrix ADC automatisch alle Ressourceneinträge in der Zone mit dem Schlüssel, vorausgesetzt, dass die Zone derzeit mit dem jeweiligen Schlüssel signiert ist.

Konfigurieren eines Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um einen Schlüssel zu konfigurieren und die Konfiguration zu überprüfen:

-  set dns key <keyName> [-expires <positive_integer> [<units>]] [-notificationPeriod <positive_integer> [<units>]] [-TTL <secs>]
-  show dns key [<keyName>]

Beispiel:

> set dns key example.com.ksk -expires 30 DAYS -notificationPeriod 3 DAYS -TTL 3600
 Done
> show dns key example.com.ksk
1)      Key Name: example.com.ksk
        Expires: 30 DAYS        Notification: 3 DAYS    TTL: 3600
        Public Key File: example.com.ksk.rsasha1.4096.key
        Private Key File: example.com.ksk.rsasha1.4096.private
 Done

Konfigurieren eines Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > DNS > Schlüssel.

  2. Klicken Sie im Detailbereich auf den Schlüssel, den Sie konfigurieren möchten, und klicken Sie dann auf Öffnen.

  3. Ändern Sie im Dialogfeld DNS-Schlüssel konfigurieren die Werte der folgenden Parameter wie gezeigt:

    • Ablaufdatum — expires
    • Benachrichtigungszeitraum — notificationPeriod
    • TTL—TTL
  4. Klicken Sie auf OK.

Signieren und Aufheben der Signatur einer DNS-Zone

Um eine DNS-Zone zu sichern, müssen Sie die Zone mit den in der Zone veröffentlichten Schlüsseln signieren. Wenn Sie eine Zone signieren, erstellt Citrix ADC für jeden Besitzernamen einen NSEC-Ressourceneintrag (Next Secure). Anschließend wird der Schlüssel Signaturschlüssel verwendet, um den DNSKEY-Ressourceneintragssatz zu signieren. Schließlich wird der Zonensignaturschlüssel verwendet, um alle Ressourceneintragssätze in der Zone zu signieren, einschließlich DNSKEY-Ressourceneintragsgruppen und NSEC-Ressourceneintragsgruppen. Jeder Vorzeichenvorgang führt zu einer Signatur für die Ressourcendatensätze in der Zone. Die Signatur wird in einem neuen Ressourceneintrag erfasst, der RRSIG-Ressourceneintrag genannt wird.

Nachdem Sie eine Zone signiert haben, müssen Sie die Konfiguration speichern.

Signieren einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um eine Zone zu signieren und die Konfiguration zu überprüfen:

-  sign dns zone <zoneName> [-keyName <string> ...]
-  show dns zone [<zoneName> | -type (ADNS | PROXY | ALL)]
-  save config

Beispiel:

> sign dns zone example.com -keyName example.com.zsk example.com.ksk
 Done
> show dns zone example.com
         Zone Name : example.com
         Proxy Mode : NO
         Domain Name : example.com
                 Record Types : NS SOA DNSKEY RRSIG NSEC
         Domain Name : ns1.example.com
                 Record Types : A RRSIG NSEC
         Domain Name : ns2.example.com
                 Record Types : A RRSIG
         Domain Name : ns2.example.com
                 Record Types : RRSIG NSEC
Done
> save config
 Done

Aufheben der Signatur einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um die Signierung einer Zone aufzuheben und die Konfiguration zu überprüfen:

-  unsign dns zone <zoneName> [-keyName <string> ...]
-  show dns zone [<zoneName> | -type (ADNS | PROXY | ALL)]

Beispiel:

> unsign dns zone example.com -keyName example.com.zsk example.com.ksk
 Done
> show dns zone example.com
         Zone Name : example.com
         Proxy Mode : NO
         Domain Name : example.com
                 Record Types : NS SOA DNSKEY
         Domain Name : ns1.example.com
                 Record Types : A
         Domain Name : ns2.example.com
                 Record Types : A
 Done

Signieren oder Aufheben der Signatur einer Zone mit der GUI

  1. Navigieren Sie zu Traffic Management > DNS > Zonen.
  2. Klicken Sie im Detailbereich auf die Zone, die Sie signieren möchten, und klicken Sie dann auf Sign/Unsignieren.
  3. Führen Sie im Dialogfeld DNS-Zone signieren/unsignieren eine der folgenden Aktionen aus:
    • Um die Zone zu signieren, aktivieren Sie die Kontrollkästchen für die Schlüssel (Zonensignaturschlüssel und Schlüsselsignaturschlüssel), mit denen Sie die Zone signieren möchten.

      Sie können die Zone mit mehreren Zonensignaturschlüsseln oder Schlüsselschlüsselpaaren signieren.

    • Um die Signatur der Zone aufzuheben, deaktivieren Sie die Kontrollkästchen für die Schlüssel (Zonensignaturschlüssel und Schlüsselsignaturschlüssel), mit denen Sie die Signatur der Zone aufheben möchten.

      Sie können die Signierung der Zone mit mehr als einem Zonensignaturschlüssel oder Schlüsselschlüsselpaar aufheben.

  4. Klicken Sie auf OK.

Anzeigen der NSEC-Einträge für einen bestimmten Datensatz in einer Zone

Sie können die NSEC-Datensätze anzeigen, die der Citrix ADC automatisch für jeden Eigentümernamen in der Zone erstellt.

Anzeigen des NSEC-Datensatzes für einen bestimmten Datensatz in einer Zone mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um den NSEC-Eintrag für einen bestimmten Datensatz in einer Zone anzuzeigen:

show dns nsecRec [<hostName> | -type (ADNS | PROXY | ALL)]

Beispiel:

> show dns nsecRec example.com
1)      Domain Name : example.com
        Next Nsec Name: ns1.example.com
        Record Types : NS SOA DNSKEY RRSIG NSEC
 Done

Anzeigen des NSEC-Datensatzes für einen bestimmten Datensatz in einer Zone mit der GUI

  1. Navigieren Sie zu Traffic Management > DNS > Datensätze > Nächste sichere Datensätze.
  2. Klicken Sie im Detailbereich auf den Namen des Datensatzes, für den Sie den NSEC-Datensatz anzeigen möchten. Der NSEC-Eintrag für den ausgewählten Datensatz wird im Detailbereich angezeigt.

Entfernen eines DNS-Schlüssels

Sie entfernen einen Schlüssel aus der Zone, in der er veröffentlicht wird, wenn der Schlüssel abgelaufen ist oder wenn der Schlüssel kompromittiert wurde. Wenn Sie einen Schlüssel aus der Zone entfernen, wird die Zone automatisch mit dem Schlüssel nicht signiert. Wenn Sie den Schlüssel mit diesem Befehl entfernen, werden die im Verzeichnis /nsconfig/dns/ vorhandenen Schlüsseldateien nicht entfernt. Wenn die Schlüsseldateien nicht mehr benötigt werden, müssen sie explizit aus dem Verzeichnis entfernt werden.

Entfernen eines Schlüssels aus dem Citrix ADC mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, um einen Schlüssel zu entfernen und die Konfiguration zu überprüfen:

-  rm dns key <keyName>
-  show dns key <keyName>

Beispiel:

> rm dns key example.com.zsk
 Done
> show dns key example.com.zsk
ERROR: No such resource [keyName, example.com.zsk]

Entfernen eines Schlüssels aus dem Citrix ADC mit der GUI

  1. Navigieren Sie zu Traffic Management > DNS > Schlüssel.
  2. Klicken Sie im Detailbereich auf den Namen des Schlüssels, den Sie aus dem ADC entfernen möchten, und klicken Sie dann auf Entfernen.