Citrix ADC

DNSSEC-Vorgänge an Citrix ADC auslagern

Bei DNS-Zonen, für die Ihre DNS-Server autorisierend sind, können Sie DNSSEC-Vorgänge an den Citrix ADC auslagern. In einer DNSSEC-Offloading-Bereitstellung sendet ein DNS-Server nicht signierte Antworten. Der ADC signiert die Antwort im laufenden Betrieb, bevor er sie an den Client weiterleitet. Der ADC speichert auch die signierte Antwort. Neben der Verringerung der Belastung der DNS-Server bietet das Auslagern von DNSSEC-Vorgängen an den ADC folgende Vorteile:

  • Sie können Datensätze signieren, die von den DNS-Servern programmgesteuert generiert werden. Solche Datensätze können nicht durch routinemäßige Zonensignierungsvorgänge signiert werden, die auf den DNS-Servern ausgeführt werden.
  • Sie können signierte Antworten an Clients senden, auch wenn Sie DNSSEC auf Ihren Servern nicht implementiert haben.

Zum Einrichten der DNSSEC-Abladung müssen Sie einen virtuellen DNS-Lastausgleichsserver konfigurieren, Dienste konfigurieren, die die DNS-Server darstellen, und dann die Dienste an den virtuellen Server binden. Informationen zum Konfigurieren eines virtuellen DNS-Lastausgleichsservers, zum Konfigurieren von Diensten und zum Binden der Dienste an den virtuellen Server finden Sie unterKonfigurieren einer DNS-Zone.

Sie müssen eine Zonenentität auf dem ADC für jede DNS-Zone erstellen, deren DNSSEC-Vorgänge Sie entladen möchten. Für jede DNS-Zone müssen Sie die Parameter Proxy Mode und DNSSEC Offload aktivieren. Sie können optional die NSEC-Datensatzgenerierung für eine ausgelagerte Zone konfigurieren. Um eine DNS-Zonenentität für DNSSEC-Abladung zu erstellen, folgen Sie den Anweisungen in diesem Thema.

Um die Konfiguration abzuschließen, müssen Sie DNS-Schlüssel für die Zone generieren, die Schlüssel zur Zone hinzufügen und dann die Zone mit den Schlüsseln signieren. Dieser Prozess ist der gleiche wie für normale DNSSEC. Informationen zum Erstellen von Schlüsseln, zum Hinzufügen von Schlüsseln zu einer Zone und zum Signieren der Zone finden Sie unterDomänennamen-System-Sicherheitserweiterungen.

Nachdem Sie DNS-Abladung konfiguriert haben, müssen Sie den DNS-Cache auf dem Citrix ADC leeren. Durch das Löschen des DNS-Cache wird sichergestellt, dass alle nicht signierten Datensätze im Cache entfernt und anschließend durch signierte Datensätze ersetzt werden. Hinweise zum Leeren des DNS-Cache finden Sie unterDNS-Einträge leeren.

Aktivieren der DNSSEC-Abladung für eine Zone mit der CLI

Geben Sie in der Befehlszeile die folgenden Befehle ein, um DNSSEC-Verschiebung für eine Zone zu aktivieren und die Konfiguration zu überprüfen:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone

Beispiel:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done

Aktivieren der DNSSEC-Abladung für eine Zone mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS > Zonen.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Klicken Sie auf Hinzufügen, um eine Zone auf dem Citrix ADC zu erstellen.
    • Um DNSSEC-Abladung für eine vorhandene Zone zu konfigurieren, doppelklicken Sie auf die Zone.
  3. Aktivieren Sie im Dialogfeld DNS-Zone erstellen oder DNS-Zone konfigurieren die Kontrollkästchen Proxymodus und DNSSEC-Abladung.
  4. Aktivieren Sie optional das Kontrollkästchen NSEC, wenn Citrix ADC NSEC-Einträge für die Zone generieren soll.

DNSSEC-Vorgänge an Citrix ADC auslagern