Configurar DNSSEC para una zona para la que Citrix ADC es un servidor proxy DNS

El procedimiento para firmar una zona para la que Citrix ADC está configurado como servidor proxy DNS depende de si el ADC posee o no un subconjunto de la información de zona propiedad de los servidores de nombres de back-end. Si lo hace, la configuración se considera una configuración de propiedad de zona parcial. Si el ADC no posee un subconjunto de la información de zona, la configuración de Citrix ADC para administrar los servidores back-end se considera una configuración de servidor proxy DNS sin zonas. Las tareas básicas de configuración DNSSEC para ambas configuraciones de Citrix ADC son las mismas. Sin embargo, la firma de la zona parcial en Citrix ADC requiere algunos pasos de configuración adicionales.

Nota: Los términos configuración del servidor proxy sin zonas y zona parcial solo se utilizan en el contexto del dispositivo Citrix ADC.

Importante: Cuando se configura en modo proxy, el ADC no realiza la verificación de firma en las respuestas DNSSEC antes de actualizar la caché.

Si configura el ADC como un proxy DNS para equilibrar la carga de resolvers (servidores) conscientes de DNSSEC, debe establecer la opción Recursión disponible mientras configura el servidor virtual DNS. Si llega una consulta DNSSEC con el conjunto de bits de comprobación inhabilitada (CD), la consulta se transfiere al servidor con el bit de CD retenido y la respuesta del servidor no se almacena en caché. En versiones anteriores a 10.5.e build xx.x, el ADC desconfiguró el bit de CD antes de pasarlo al servidor y también almacenó en caché la respuesta del servidor.

Configurar DNSSEC para una configuración de servidor proxy DNS sin zonas

Para una configuración de servidor proxy DNS sin zonas, la firma de zonas debe realizarse en los servidores de nombres de back-end. En Citrix ADC, configure el ADC como un servidor proxy DNS para la zona. Crear un servidor virtual de equilibrio de carga de tipo de protocolo DNS, configurar servicios en el ADC para representar los servidores de nombres y, a continuación, enlazar los servicios al servidor virtual de equilibrio de carga. Para obtener más información acerca de estas tareas de configuración, consulte Configurar NetScaler como servidor proxy DNS.

Cuando un cliente envía al ADC una solicitud DNS con el bit DNSSEC OK (DO) configurado, el ADC comprueba su caché para la información solicitada. Si los registros de recursos no están disponibles en su caché, el ADC reenvía la solicitud a uno de los servidores de nombres DNS y, a continuación, transmite la respuesta del servidor de nombres al cliente. Además, el ADC almacena en caché los registros de recursos RRSIG junto con la respuesta del servidor de nombres. Las solicitudes posteriores de clientes compatibles con DNSsec se sirven desde la caché (incluidos los registros de recursos RRSIG), sujeto al parámetro de tiempo de vida (TTL). Si un cliente envía una solicitud DNS sin establecer el bit DO, el ADC responde solo con los registros de recursos solicitados y no incluye los registros de recursos RRSIG específicos de DNSSEC.

Configurar DNSSEC para una configuración de propiedad de zona parcial

En algunas configuraciones de Citrix ADC, aunque la autoridad de una zona reside en los servidores de nombres de back-end, es posible que se configure un subconjunto de los registros de recursos que pertenecen a la zona en el Citrix ADC. El ADC solo posee (o tiene autoridad para) este subconjunto de registros. Este subconjunto de registros puede considerarse como una zona parcial en el ADC. El ADC posee la zona parcial. Todos los demás registros son propiedad de los servidores de nombres de back-end.

Una configuración típica de zona parcial en Citrix ADC se ve cuando los dominios de equilibrio de carga global del servidor (GSLB) se configuran en el ADC y los dominios GSLB forman parte de una zona para la que los servidores de nombres de back-end tienen autoridad.

Firmar una zona que incluye solo una zona parcial en el ADC implica incluir la información de zona parcial en los archivos de zona del servidor de nombres de back-end, firmar la zona en los servidores de nombres de back-end y, a continuación, firmar la zona parcial en el ADC. Se debe usar el mismo conjunto de claves para firmar la zona en los servidores de nombres y la zona parcial en el ADC.

Firmar la zona en los servidores de nombres de back-end

  1. Incluya los registros de recursos contenidos en la zona parcial, en los archivos de zona de los servidores de nombres.
  2. Cree claves y use las claves para firmar la zona en los servidores de nombres de back-end.

Firmar la zona parcial en el Citrix ADC

  1. Cree una zona con el nombre de la zona que pertenece a los servidores de nombres de back-end. Al configurar la zona parcial, establezca el parámetro ProxyMode en YES. Esta zona es la zona parcial que contiene los registros de recursos propiedad del ADC.

    Por ejemplo, si el nombre de la zona configurada en los servidores de nombres de back-end es example.com, debe crear una zona denominada example.com en el ADC, con el parámetro ProxyMode establecido en YES. Para obtener más información sobre cómo agregar una zona, consulte Configurar una zona DNS.

    Nota

    No agregue registros SOA y NS para la zona. Estos registros no deben existir en el ADC para una zona para la que el ADC no tenga autoridad.

  2. Importe las claves (desde uno de los servidores de nombres back-end) al ADC y, a continuación, agréguelas al directorio /nsconfig/dns/. Para obtener más información sobre cómo importar una clave y agregarla al ADC, consulte Publicar una clave DNS en una zona.
  3. Firme la zona parcial con las claves importadas. Al firmar la zona parcial con las claves, el ADC genera registros RRSIG y NSEC para los conjuntos de registros de recursos y registros de recursos individuales en la zona parcial, respectivamente. Para obtener más información acerca de la firma de una zona, consulte firmar y anular la firma de una zona DNS.