Citrix ADC

Mantenimiento de zonas

Desde la perspectiva de DNSSEC, el mantenimiento de la zona implica pasar por las claves de firma de zona y las claves de firma de claves cuando la expiración de la clave es inminente. Estas tareas de mantenimiento de zonas deben realizarse manualmente. La zona se vuelve a firmar automáticamente y no requiere ninguna intervención manual.

Volver a firmar una zona actualizada

Cuando se actualiza una zona (agregar un registro o modificar un registro existente), el dispositivo vuelve a firmar automáticamente el nuevo registro (o modificado). Si una zona contiene varias claves de firma de zona, el dispositivo vuelve a firmar el nuevo registro (o modificado) con la clave utilizada para firmar la zona.

Roll over keys DNSSEC

Nota: Pase manualmente las claves DNSSEC (KSK, ZSK) antes de que caduquen.

En Citrix ADC, puede utilizar los métodos de prepublicación y doble firma para realizar un rollover de la clave de firma de zona y la clave de firma de claves. Más información acerca de estos dos métodos de rollover está disponible en RFC 4641, “Prácticas operacionales DNSSEC”.

Los temas siguientes asignan comandos del ADC a los pasos de los procedimientos de rollover descritos en RFC 4641.

La notificación de caducidad de la clave se envía a través de una captura SNMP llamada dnskeyExpiry. Se envían tres variables MIB, DNSKeyName, DNSKeyTimeToExpirate y DNSKeyUnitsSofExpirate junto con la captura SNMP de DNSKeyExpirate. Para obtener más información, consulte Referencia de OID de SNMP de Citrix NetScaler en Referencia del OID de SNMP de NetScaler 12.0.

Prepublicar el rollover de claves

RFC 4641, “Prácticas operativas de DNSSEC” define cuatro etapas para el método de rollover de claves de prepublicación: Inicial, nuevo DNSKEY, nuevo RRSIG y eliminación de DNSKEY. Cada etapa está asociada a un conjunto de tareas que debe realizar en el ADC. A continuación se presentan las descripciones de cada etapa y las tareas que debe realizar. El procedimiento de rollover descrito aquí se puede utilizar tanto para las claves de firma de claves como para las claves de firma de zona.

  • Etapa 1: Inicial. La zona contiene solo los conjuntos de claves con los que se ha firmado la zona actualmente. El estado de la zona en la etapa inicial es el estado de la zona justo antes de comenzar el proceso de rollover de claves.

    Ejemplo:

    Considere la clave, example.com.zsk1, con la que está firmada la zona example.com. La zona contiene solo los RRSIGs generados por la clave example.com.zsk1, que debe caducar. La clave de firma de claves es example.com.ksk1.

  • Etapa 2: Nuevo DNSKEY. Se crea una nueva clave y se publica en la zona (es decir, la clave se agrega al ADC), pero la zona no se firma con la nueva clave hasta que se complete la fase de pre-roll. En esta etapa, la zona contiene la clave antigua, la clave nueva y los RRSIGs generados por la clave anterior. La publicación de la nueva clave durante toda la fase de pre-roll da al registro de recursos DNSKEY (que corresponde a la nueva clave) tiempo suficiente para propagarse a los servidores de nombres secundarios.

    Ejemplo:

    Se agrega una nueva clave example.com.zsk2 a la zona example.com. La zona no está firmada con example.com.zsk2 hasta que se complete la fase de pre-roll. La zona example.com contiene registros de recursos DNSKEY para example.com.zsk1 y example.com.zsk2.

    Comandos Citrix ADC:

    Realice las siguientes tareas en el ADC:

    • Cree una clave DNS mediante el comando create dns key.

      Para obtener más información acerca de cómo crear una clave DNS, incluido un ejemplo, consulte Crear claves DNS para una zona.

    • Publique la nueva clave DNS en la zona mediante el comando add dns key.

      Para obtener más información acerca de la publicación de la clave en la zona, incluido un ejemplo, consulte Publicar una clave DNS en una zona.

  • Etapa 3: Nuevos RRSIG. La zona se firma con la nueva clave DNS y, a continuación, se desfirma con la clave DNS antigua. La clave DNS antigua no se quita de la zona y permanece publicada hasta que caduquen los RRSIGs generados por la clave anterior.

    Ejemplo:

    La zona está firmada con example.com.zsk2 y, a continuación, sin firmar con example.com.zsk1. La zona continúa publicando example.com.zsk1 hasta que caduquen los RRSIGs generados por example.com.zsk1.

    Comandos Citrix ADC:

    Realice las siguientes tareas en el ADC:

    • Firme la zona con la nueva clave DNS mediante el comando sign dns zone.
    • Anule la firma de la zona con la clave DNS antigua mediante el comando unsign dns zone.

    Para obtener más información sobre cómo firmar y anular la firma de una zona, incluidos ejemplos, consulte Firmar y anular la firma de una zona DNS.

  • Etapa 4: Eliminación de DNSKEY. Cuando caducan los RRSIGs generados por la clave DNS antigua, la clave DNS antigua se quita de la zona.

    Ejemplo:

    La clave DNS antigua example.com.zsk1 se elimina de la zona example.com.

    Comandos Citrix ADC

    En el ADC, quite la clave DNS antigua mediante el comando rm dns key. Para obtener más información sobre cómo quitar una clave de una zona, incluido un ejemplo, consulte Quitar una clave DNS.

Rollover de clave de firma doble

RFC 4641, “Prácticas operativas de DNSSEC” define tres etapas para el rollover de clave de firma doble: Inicial, nuevo DNSKEY y eliminación de DNSKEY. Cada etapa está asociada a un conjunto de tareas que debe realizar en el ADC. A continuación se presentan las descripciones de cada etapa y las tareas que debe realizar. El procedimiento de rollover descrito aquí se puede utilizar tanto para las claves de firma de claves como para las claves de firma de zona.

  • Etapa 1: Inicial. La zona contiene solo los conjuntos de claves con los que se ha firmado la zona actualmente. El estado de la zona en la etapa inicial es el estado de la zona justo antes de comenzar el proceso de rollover de claves.

    Ejemplo:

    Considere la clave, example.com.zsk1, con la que está firmada la zona example.com. La zona contiene solo los RRSIGs generados por la clave example.com.zsk1, que debe caducar. La clave de firma de claves es example.com.ksk1.

  • Etapa 2: Nuevo DNSKEY. La nueva clave se publica en la zona y la zona se firma con la nueva clave. La zona contiene los RRSIGs generados por las claves antiguas y nuevas. La duración mínima para la que la zona debe contener ambos conjuntos de RRSIGs es el tiempo necesario para que todos los RRSIGs caduquen.

    Ejemplo:

    Se agrega una nueva clave example.com.zsk2 a la zona example.com. La zona está firmada con example.com.zsk2. La zona example.com ahora contiene los RRSIGs generados a partir de ambas claves.

    Comandos Citrix ADC

    Realice las siguientes tareas en el ADC:

    • Cree una clave DNS mediante el comando create dns key.

      Para obtener más información acerca de cómo crear una clave DNS, incluido un ejemplo, consulte Crear claves DNS para una zona.

    • Publique la nueva clave en la zona mediante el comando add dns key.

      Para obtener más información acerca de la publicación de la clave en la zona, incluido un ejemplo, consulte Publicar una clave DNS en una zona.

    • Firme la zona con la nueva clave mediante el comando sign dns zone.

      Para obtener más información sobre la firma de una zona, incluidos ejemplos, consulte Firmar y anular la firma de una zona DNS.

  • Etapa 3: Eliminación de DNSKEY. Cuando caducan los RRSIGs generados por la clave DNS antigua, la clave DNS antigua se quita de la zona.

    Ejemplo:

    La clave DNS antigua example.com.zsk1 se elimina de la zona example.com.

    Comandos Citrix ADC:

    En el ADC, quite la clave DNS antigua mediante el comando rm dns key.

    Para obtener más información sobre cómo quitar una clave de una zona, incluido un ejemplo, consulte Quitar una clave DNS.

Mantenimiento de zonas