ADC

Zonenwartung

Aus DNSSEC-Perspektive umfasst die Zonenwartung das Überführen von Zonensignaturschlüsseln und Schlüsselsignaturschlüsseln, wenn der Schlüsselablauf bevorsteht. Diese Zonenwartungsaufgaben müssen manuell ausgeführt werden. Die Zone wird automatisch neu signiert und erfordert keinen manuellen Eingriff.

Erneut signieren einer aktualisierten Zone

Wenn eine Zone aktualisiert wird (einen Datensatz hinzufügen oder einen vorhandenen Datensatz ändern), signiert die Appliance den neuen (oder geänderten) Datensatz automatisch neu. Wenn eine Zone mehrere Zonensignaturschlüssel enthält, signiert die Appliance den neuen (oder geänderten) Datensatz erneut mit dem Schlüssel, der zum Signieren der Zone verwendet wird.

Überrollen von DNSSEC-Schlüsseln

Hinweis: Führen Sie die DNSSEC-Schlüssel (KSK, ZSK) manuell durch, bevor sie ablaufen.

Auf dem Citrix ADC können Sie die Prepublish- und Double-Signaturmethoden verwenden, um ein Rollover des Zonensignaturschlüssels und des Schlüsselsignaturschlüssels durchzuführen. Weitere Informationen zu diesen beiden Rollover-Methoden finden Sie in RFC 4641, DNSSEC Operational Practices.

Die folgenden Themen ordnen Befehle im ADC den Schritten in den in RFC 4641 beschriebenen Rollover-Prozeduren zu.

Die Schlüsselablaufbenachrichtigung wird über ein SNMP-Trap namens DNSKeyExpiry gesendet. Drei MIB-Variablen, DNSKeyName, DNSKeyTimeToExpire und DNSKeyUnitsOfExpiry werden zusammen mit dem SNMP-Trap DNSKeyExpiry gesendet. Weitere Informationen finden Sie unter Citrix NetScaler SNMP OID-Referenz bei NetScaler 12.0 SNMP OID Reference.

Schlüsselrollover für die Vorveröffentlichung

RFC 4641, “DNSSEC Operational Practices” definiert vier Phasen für die prepublish-Key-Rollover-Methode: anfängliche, neue DNSKEY, neue RRSIGs und DNSKEY-Entfernung. Jede Stufe ist mit einer Reihe von Aufgaben verknüpft, die Sie auf dem ADC ausführen müssen. Im Folgenden finden Sie die Beschreibungen der einzelnen Schritte und die Aufgaben, die Sie ausführen müssen. Das hier beschriebene Rollover-Verfahren kann sowohl für Schlüsselsignaturschlüssel als auch für Zonensignaturschlüssel verwendet werden.

  • Stufe 1: Initial. Die Zone enthält nur die Schlüsselsätze, mit denen die Zone derzeit signiert wurde. Der Status der Zone in der Anfangsphase ist der Zustand der Zone, kurz bevor Sie mit dem Schlüsselrollover-Prozess beginnen.

    Beispiel:

    Betrachten Sie den Schlüssel example.com.zsk1, mit dem die Zone example.com signiert ist. Die Zone enthält nur die RRSIGs, die durch den Schlüssel example.com.zsk1 generiert werden, der für den Ablauf fällig ist. Der Schlüsselsignaturschlüssel lautet example.com.ksk1.

  • Stufe 2: Neuer DNSKEY. Ein neuer Schlüssel wird erstellt und in der Zone veröffentlicht. Das heißt, der Schlüssel wird dem ADC hinzugefügt, aber die Zone wird erst mit dem neuen Schlüssel signiert, wenn die Preroll-Phase abgeschlossen ist. In dieser Phase enthält die Zone den alten Schlüssel, den neuen Schlüssel und die vom alten Schlüssel generierten RRSIGs. Durch die Veröffentlichung des neuen Schlüssels für die gesamte Dauer der Preroll-Phase erhält der DNSKEY-Ressourcendatensatz, der der neuen Schlüsselzeit für die Verbreitung auf die sekundären Nameserver entspricht.

    Beispiel:

    Ein neuer Schlüssel example.com.zsk2 wird zur Zone example.com hinzugefügt. Die Zone wird erst mit example.com.zsk2 signiert, wenn die Pre-Roll-Phase abgeschlossen ist. Die Zone example.com enthält DNSKEY-Ressourceneinträge für example.com.zsk1 und example.com.zsk2.

    Citrix ADC Befehle:

    Führen Sie die folgenden Aufgaben auf dem ADC aus:

    • Erstellen Sie mit dem Befehl create dns key einen DNS-Schlüssel.

      Weitere Informationen zum Erstellen eines DNS-Schlüssels, einschließlich eines Beispiels, finden Sie unter Erstellen von DNS-Schlüsseln für eine Zone.

    • Veröffentlichen Sie den neuen DNS-Schlüssel in der Zone mithilfe desadd dns key Befehls.

      Weitere Informationen zum Veröffentlichen des Schlüssels in der Zone, einschließlich eines Beispiels, finden Sie unter Veröffentlichen eines DNS-Schlüssels in einer Zone.

  • Stufe 3: Neue RRSIGs. Die Zone wird mit dem neuen DNS-Schlüssel signiert und dann mit dem alten DNS-Schlüssel nicht signiert. Der alte DNS-Schlüssel wird nicht aus der Zone entfernt und bleibt veröffentlicht, bis die vom alten Schlüssel generierten RRSIGs ablaufen.

    Beispiel:

    Die Zone wird mit example.com.zsk2 signiert und dann mit example.com.zsk1 nicht signiert. Die Zone veröffentlicht example.com.zsk1 weiter, bis die von example.com.zsk1 generierten RRSIGs ablaufen.

    Citrix ADC Befehle:

    Führen Sie die folgenden Aufgaben auf dem ADC aus:

    • Signieren Sie die Zone mit dem neuen DNS-Schlüssel mit demsign dns zone Befehl.
    • Heben Sie die Signatur der Zone mit dem alten DNS-Schlüssel mithilfe desunsign dns zone Befehls auf.

    Weitere Informationen zum Signieren und Aufheben einer Zone, einschließlich Beispielen, finden Sie unter Signieren und Aufheben der Unterzeichnung einer DNS-Zone.

  • Stufe 4: DNSKEY Entfernung. Wenn die vom alten DNS-Schlüssel generierten RRSIGs ablaufen, wird der alte DNS-Schlüssel aus der Zone entfernt.

    Beispiel:

    Der alte DNS-Schlüssel example.com.zsk1 wird aus der Zone example.com entfernt.

    Citrix ADC Befehle

    Auf dem ADC entfernen Sie den alten DNS-Schlüssel mit dem Befehl rm dns key. Weitere Informationen zum Entfernen eines Schlüssels aus einer Zone, einschließlich eines Beispiels, finden Sie unter Entfernen eines DNS-Schlüssels.

Doppelte Signaturschlüssel Rollover

RFC 4641, DNSSEC Operational Practices definiert drei Stufen für Doppelsignaturschlüssel Rollover: anfängliche, neue DNSKEY und DNSKEY Entfernung. Jede Stufe ist mit einer Reihe von Aufgaben verknüpft, die Sie auf dem ADC ausführen müssen. Im Folgenden finden Sie die Beschreibungen der einzelnen Schritte und die Aufgaben, die Sie ausführen müssen. Das hier beschriebene Rollover-Verfahren kann sowohl für Schlüsselsignaturschlüssel als auch für Zonensignaturschlüssel verwendet werden.

  • Stufe 1: Initial. Die Zone enthält nur die Schlüsselsätze, mit denen die Zone derzeit signiert wurde. Der Status der Zone in der Anfangsphase ist der Zustand der Zone, kurz bevor Sie mit dem Schlüsselrollover-Prozess beginnen.

    Beispiel:

    Betrachten Sie den Schlüssel example.com.zsk1, mit dem die Zone example.com signiert ist. Die Zone enthält nur die RRSIGs, die durch den Schlüssel example.com.zsk1 generiert werden, der für den Ablauf fällig ist. Der Schlüsselsignaturschlüssel lautet example.com.ksk1.

  • Stufe 2: Neuer DNSKEY. Der neue Schlüssel wird in der Zone veröffentlicht und die Zone ist mit dem neuen Schlüssel signiert. Die Zone enthält die RRSIGs, die von den alten und den neuen Schlüsseln generiert werden. Die Mindestdauer, für die die Zone beide Sätze von RRSIGs enthalten muss, ist die Zeit, die benötigt wird, bis alle RRSIGs ablaufen.

    Beispiel:

    Ein neuer Schlüssel example.com.zsk2 wird zur Zone example.com hinzugefügt. Die Zone ist mit example.com.zsk2 signiert. Die example.com-Zone enthält nun die von beiden Schlüsseln generierten RRSIGs.

    Citrix ADC Befehle

    Führen Sie die folgenden Aufgaben auf dem ADC aus:

    • Erstellen Sie mit dem Befehl create dns key einen DNS-Schlüssel.

      Weitere Informationen zum Erstellen eines DNS-Schlüssels, einschließlich eines Beispiels, finden Sie unter Erstellen von DNS-Schlüsseln für eine Zone.

    • Veröffentlichen Sie den neuen Schlüssel in der Zone mithilfe desadd dns key Befehls.

      Weitere Informationen zum Veröffentlichen des Schlüssels in der Zone, einschließlich eines Beispiels, finden Sie unter Veröffentlichen eines DNS-Schlüssels in einer Zone.

    • Signieren Sie die Zone mit dem neuen Schlüssel, indem Sie densign dns zone Befehl verwenden.

      Weitere Informationen zum Signieren einer Zone, einschließlich Beispielen, finden Sie unter Signieren und Aufheben einer DNS-Zone.

  • Stufe 3: DNSKEY Entfernung. Wenn die vom alten DNS-Schlüssel generierten RRSIGs ablaufen, wird der alte DNS-Schlüssel aus der Zone entfernt.

    Beispiel:

    Der alte DNS-Schlüssel example.com.zsk1 wird aus der Zone example.com entfernt.

    Citrix ADC Befehle:

    Auf dem ADC entfernen Sie den alten DNS-Schlüssel mit dem Befehl rm dns key.

    Weitere Informationen zum Entfernen eines Schlüssels aus einer Zone, einschließlich eines Beispiels, finden Sie unter Entfernen eines DNS-Schlüssels.

Zonenwartung