Citrix ADC

Configurar DNSSEC para una zona para la que Citrix ADC es un servidor proxy DNS

El procedimiento para firmar una zona para la que Citrix ADC está configurado como servidor proxy DNS depende de si el ADC posee un subconjunto de la información de zona propiedad de los servidores de nombres back-end. Si lo hace, la configuración se considera una configuración de propiedad de zona parcial. Si el ADC no posee un subconjunto de la información de zona, la configuración de Citrix ADC para administrar los servidores back-end se considera una configuración de servidor proxy DNS sin zona. Las tareas básicas de configuración DNSSEC para ambas configuraciones de Citrix ADC son las mismas. Sin embargo, la firma de la zona parcial en Citrix ADC requiere algunos pasos de configuración adicionales.

Nota: Los términos configuración del servidor proxy sin zona y zona parcial solo se utilizan en el contexto del dispositivo Citrix ADC.

Importante: Cuando se configura en modo proxy, el ADC no realiza la verificación de firma en las respuestas DNSSEC antes de actualizar la caché.

Si configura el ADC como un proxy DNS para equilibrar la carga de resolvers (servidores) conscientes de DNSSEC, debe establecer la opción Recursión disponible mientras configura el servidor virtual DNS. Si una consulta DNSSEC llega con el bit Checking Disabled (CD) establecido, la consulta se pasa al servidor con el bit de CD conservado. La respuesta del servidor no se almacena en caché.

Configurar DNSSEC para una configuración de servidor proxy DNS sin zonas

Para una configuración de servidor proxy DNS sin zona, la firma de zona debe realizarse en los servidores de nombres back-end. En Citrix ADC, configure el ADC como un servidor proxy DNS para la zona. Cree un servidor virtual de equilibrio de carga de tipo de protocolo DNS. Configure los servicios en el ADC para representar los servidores de nombres. A continuación, vincule los servicios al servidor virtual de equilibrio de carga. Para obtener más información acerca de estas tareas de configuración, consulte Configurar NetScaler como servidor proxy DNS.

Cuando un cliente envía al ADC una solicitud DNS con el bit DNSSEC Aceptar (DO) configurado, el ADC comprueba su caché para la información solicitada. Si los registros de recursos no están disponibles en su caché, el ADC reenvía la solicitud a uno de los servidores de nombres DNS. A continuación, retransmite la respuesta del servidor de nombres al cliente. Además, el ADC almacena en caché los registros de recursos RRSIG junto con la respuesta del servidor de nombres. Las solicitudes posteriores de clientes compatibles con DNSsec se sirven desde la caché (incluidos los registros de recursos RRSIG), sujeto al parámetro de tiempo de vida (TTL). Si un cliente envía una solicitud DNS sin establecer el bit DO, el ADC responde solo con los registros de recursos solicitados. No incluye los registros de recursos RRSIG específicos de DNSSEC.

Configurar DNSSEC para una configuración de propiedad de zona parcial

En algunas configuraciones de ADC, aunque la autoridad para una zona recae en los servidores de nombres back-end, un subconjunto de los registros de recursos pertenecientes a la zona podría configurarse en el ADC. El ADC solo posee (o tiene autoridad para) este subconjunto de registros. Este subconjunto de registros puede considerarse como una zona parcial en el ADC. El ADC posee la zona parcial. Todos los demás registros son propiedad de los servidores de nombres back-end.

Una configuración típica de zona parcial en el Citrix ADC se ve cuando:

  • Los dominios de equilibrio de carga global del servidor (GSLB) se configuran en el ADC
  • Los dominios GSLB forman parte de una zona para la que los servidores de nombres back-end son autoritativos.

Firmar una zona que incluya solo una zona parcial en el ADC implica:

  • Inclusión de la información de zona parcial en los archivos de zona del servidor de nombres back-end
  • Firma de la zona en los servidores de nombres back-end
  • Firma de la zona parcial en el ADC.

Se debe usar el mismo conjunto de claves para firmar la zona en los servidores de nombres y la zona parcial en el ADC.

Firmar la zona en los servidores de nombres back-end

  1. Incluya los registros de recursos contenidos en la zona parcial, en los archivos de zona de los servidores de nombres.
  2. Cree claves y utilice las claves para firmar la zona en los servidores de nombres back-end.

Firmar la zona parcial en el Citrix ADC

  1. Cree una zona con el nombre de la zona propiedad de los servidores de nombres back-end. Al configurar la zona parcial, establezca el parámetro ProxyMode en YES. Esta zona es la zona parcial que contiene los registros de recursos propiedad del ADC.

    Por ejemplo, si el nombre de la zona configurada en los servidores de nombres back-end es example.com, debe crear una zona denominada example.com en el ADC. Establezca el parámetro ProxyMode en YES. Para obtener más información sobre cómo agregar una zona, consulte Configurar una zona DNS.

    Nota

    No agregue registros SOA y NS para la zona. Estos registros deben existir en el ADC para una zona para la que el ADC sea autorizado.

  2. Importe las claves (desde uno de los servidores de nombres back-end) al ADC y, a continuación, agréguelas al directorio /nsconfig/dns/. Para obtener más información sobre cómo importar una clave y agregarla al ADC, consulte Publicar una clave DNS en una zona.
  3. Firme la zona parcial con las claves importadas. Al firmar la zona parcial con las claves, el ADC genera registros RRSIG y NSEC para los conjuntos de registros de recursos y registros de recursos individuales en la zona parcial, respectivamente. Para obtener más información acerca de la firma de una zona, consulte firmar y anular la firma de una zona DNS.
Configurar DNSSEC para una zona para la que Citrix ADC es un servidor proxy DNS