Citrix ADC

Zonenwartung

Aus DNSSEC-Perspektive umfasst die Zonenwartung das Überführen von Zonensignaturschlüsseln und Schlüsselsignaturschlüsseln, wenn der Schlüsselablauf bevorsteht. Diese Zonenwartungsaufgaben müssen manuell ausgeführt werden. Die Zone wird automatisch neu signiert und erfordert keinen manuellen Eingriff.

Erneut signieren einer aktualisierten Zone

Wenn eine Zone aktualisiert wird (einen Datensatz hinzufügen oder einen vorhandenen Datensatz ändern), signiert die Appliance den neuen (oder geänderten) Datensatz automatisch neu. Wenn eine Zone mehrere Zonensignaturschlüssel enthält, signiert die Appliance den neuen (oder geänderten) Datensatz erneut mit dem Schlüssel, der zum Signieren der Zone verwendet wird.

Überrollen von DNSSEC-Schlüsseln

Hinweis: Führen Sie die DNSSEC-Schlüssel (KSK, ZSK) manuell durch, bevor sie ablaufen.

Auf dem Citrix ADC können Sie die Prepublish- und Double-Signaturmethoden verwenden, um ein Rollover des Zonensignaturschlüssels und des Schlüsselsignaturschlüssels durchzuführen. Weitere Informationen zu diesen beiden Rollover-Methoden finden Sie in RFC 4641, DNSSEC Operational Practices.

Die folgenden Themen ordnen Befehle im ADC den Schritten in den in RFC 4641 beschriebenen Rollover-Prozeduren zu.

Die Schlüsselablaufbenachrichtigung wird über ein SNMP-Trap namens DNSKeyExpiry gesendet. Drei MIB-Variablen, DNSKeyName, DNSKeyTimeToExpire und DNSKeyUnitsOfExpiry werden zusammen mit dem SNMP-Trap DNSKeyExpiry gesendet. Weitere Informationen finden Sie unter Citrix NetScaler SNMP OID-Referenz unterNetScaler 12.0 SNMP OID-Referenz .

Schlüsselrollover für die Vorveröffentlichung

RFC 4641, DNSSEC Operational Practices definiert vier Stufen für die Prepublish-Key Rollover-Methode: initiale, neue DNSKEY, neue RRSIGs und DNSKEY Entfernung. Jede Stufe ist mit einer Reihe von Aufgaben verknüpft, die Sie auf dem ADC ausführen müssen. Im Folgenden finden Sie die Beschreibungen der einzelnen Schritte und die Aufgaben, die Sie ausführen müssen. Das hier beschriebene Rollover-Verfahren kann sowohl für Schlüsselsignaturschlüssel als auch für Zonensignaturschlüssel verwendet werden.

  • Stufe 1: Initial. Die Zone enthält nur die Schlüsselsätze, mit denen die Zone derzeit signiert wurde. Der Status der Zone in der Anfangsphase ist der Zustand der Zone, kurz bevor Sie mit dem Schlüsselrollover-Prozess beginnen.

    Beispiel:

    Betrachten Sie den Schlüssel example.com.zsk1, mit dem die Zone example.com signiert ist. Die Zone enthält nur die RRSIGs, die durch den Schlüssel example.com.zsk1 generiert werden, der für den Ablauf fällig ist. Der Schlüsselsignaturschlüssel lautet example.com.ksk1.

  • Stufe 2: Neuer DNSKEY. Ein neuer Schlüssel wird erstellt und in der Zone veröffentlicht (dh der Schlüssel wird dem ADC hinzugefügt), aber die Zone wird erst mit dem neuen Schlüssel signiert, wenn die Pre-Roll-Phase abgeschlossen ist. In dieser Phase enthält die Zone den alten Schlüssel, den neuen Schlüssel und die vom alten Schlüssel generierten RRSIGs. Wenn Sie den neuen Schlüssel für die gesamte Dauer der Pre-Roll-Phase veröffentlichen, erhält der DNSKEY-Ressourceneintrag (der dem neuen Schlüssel entspricht) genügend Zeit, um an die sekundären Nameserver weiterzuleiten.

    Beispiel:

    Ein neuer Schlüssel example.com.zsk2 wird zur Zone example.com hinzugefügt. Die Zone wird erst mit example.com.zsk2 signiert, wenn die Pre-Roll-Phase abgeschlossen ist. Die Zone example.com enthält DNSKEY-Ressourceneinträge für example.com.zsk1 und example.com.zsk2.

    Citrix ADC Befehle:

    Führen Sie die folgenden Aufgaben auf dem ADC aus:

  • Stufe 3: Neue RRSIGs. Die Zone wird mit dem neuen DNS-Schlüssel signiert und dann mit dem alten DNS-Schlüssel nicht signiert. Der alte DNS-Schlüssel wird nicht aus der Zone entfernt und bleibt veröffentlicht, bis die vom alten Schlüssel generierten RRSIGs ablaufen.

    Beispiel:

    Die Zone wird mit example.com.zsk2 signiert und dann mit example.com.zsk1 nicht signiert. Die Zone veröffentlicht example.com.zsk1 weiter, bis die von example.com.zsk1 generierten RRSIGs ablaufen.

    Citrix ADC Befehle:

    Führen Sie die folgenden Aufgaben auf dem ADC aus:

    • Signieren Sie die Zone mit dem neuen DNS-Schlüssel mit demsign dns zone Befehl.
    • Heben Sie die Signatur der Zone mit dem alten DNS-Schlüssel mithilfe desunsign dns zone Befehls auf.

    Weitere Informationen zum Signieren und Aufheben der Signierung einer Zone, einschließlich Beispielen, finden Sie unterSignieren und Aufheben der Signatur einer DNS-Zone.

  • Stufe 4: DNSKEY Entfernung. Wenn die vom alten DNS-Schlüssel generierten RRSIGs ablaufen, wird der alte DNS-Schlüssel aus der Zone entfernt.

    Beispiel:

    Der alte DNS-Schlüssel example.com.zsk1 wird aus der Zone example.com entfernt.

    Citrix ADC Befehle

    Auf dem ADC entfernen Sie den alten DNS-Schlüssel mit dem Befehl rm dns key. Weitere Hinweise zum Entfernen eines Schlüssels aus einer Zone, einschließlich eines Beispiels, finden Sie unter Entfernen eines DNS-Schlüssels.

Doppelte Signaturschlüssel Rollover

RFC 4641, DNSSEC Operational Practices definiert drei Stufen für Doppelsignaturschlüssel Rollover: anfängliche, neue DNSKEY und DNSKEY Entfernung. Jede Stufe ist mit einer Reihe von Aufgaben verknüpft, die Sie auf dem ADC ausführen müssen. Im Folgenden finden Sie die Beschreibungen der einzelnen Schritte und die Aufgaben, die Sie ausführen müssen. Das hier beschriebene Rollover-Verfahren kann sowohl für Schlüsselsignaturschlüssel als auch für Zonensignaturschlüssel verwendet werden.

  • Stufe 1: Initial. Die Zone enthält nur die Schlüsselsätze, mit denen die Zone derzeit signiert wurde. Der Status der Zone in der Anfangsphase ist der Zustand der Zone, kurz bevor Sie mit dem Schlüsselrollover-Prozess beginnen.

    Beispiel:

    Betrachten Sie den Schlüssel example.com.zsk1, mit dem die Zone example.com signiert ist. Die Zone enthält nur die RRSIGs, die durch den Schlüssel example.com.zsk1 generiert werden, der für den Ablauf fällig ist. Der Schlüsselsignaturschlüssel lautet example.com.ksk1.

  • Stufe 2: Neuer DNSKEY. Der neue Schlüssel wird in der Zone veröffentlicht und die Zone ist mit dem neuen Schlüssel signiert. Die Zone enthält die RRSIGs, die von den alten und den neuen Schlüsseln generiert werden. Die Mindestdauer, für die die Zone beide Sätze von RRSIGs enthalten muss, ist die Zeit, die benötigt wird, bis alle RRSIGs ablaufen.

    Beispiel:

    Ein neuer Schlüssel example.com.zsk2 wird zur Zone example.com hinzugefügt. Die Zone ist mit example.com.zsk2 signiert. Die example.com-Zone enthält nun die von beiden Schlüsseln generierten RRSIGs.

    Citrix ADC Befehle

    Führen Sie die folgenden Aufgaben auf dem ADC aus:

  • Stufe 3: DNSKEY Entfernung. Wenn die vom alten DNS-Schlüssel generierten RRSIGs ablaufen, wird der alte DNS-Schlüssel aus der Zone entfernt.

    Beispiel:

    Der alte DNS-Schlüssel example.com.zsk1 wird aus der Zone example.com entfernt.

    Citrix ADC Befehle:

    Auf dem ADC entfernen Sie den alten DNS-Schlüssel mit dem Befehl rm dns key.

    Weitere Hinweise zum Entfernen eines Schlüssels aus einer Zone, einschließlich eines Beispiels, finden Sie unter Entfernen eines DNS-Schlüssels.

Zonenwartung