ADC

Configurer DNSSEC pour une zone pour laquelle Citrix ADC est un serveur proxy DNS

La procédure de signature d’une zone pour laquelle Citrix ADC est configuré en tant que serveur proxy DNS dépend du propriétaire d’un sous-ensemble des informations de zone appartenant aux serveurs de noms principaux. Si c’est le cas, la configuration est considérée comme une configuration de propriété partielle de zone. Si ADC ne possède pas de sous-ensemble des informations de zone, la configuration Citrix ADC pour la gestion des serveurs principaux est considérée comme une configuration de serveur proxy DNS sans zone. Les tâches de configuration DNSSEC de base pour les deux configurations Citrix ADC sont les mêmes. Toutefois, la signature de la zone partielle sur Citrix ADC nécessite quelques étapes de configuration supplémentaires.

Remarque : Les termes Configuration du serveur proxy sans zone et zone partielle sont utilisés uniquement dans le contexte de l’appliance Citrix ADC.

Important : lorsqu’il est configuré en mode proxy, ADC n’effectue pas de vérification de signature sur les réponses DNSSEC avant de mettre à jour le cache.

Si vous configurez ADC en tant que proxy DNS pour équilibrer la charge des résolveurs (serveurs) compatibles DNSSEC, vous devez définir l’option Récursion disponible lors de la configuration du serveur virtuel DNS. Si une requête DNSSEC arrive avec le bit Checking Disabled (CD) défini, la requête est transmise au serveur avec le bit CD conservé. La réponse du serveur n’est pas mise en cache.

Configurer DNSSEC pour une configuration de serveur proxy DNS sans zone

Pour une configuration de serveur proxy DNS sans zone, la signature de zone doit être effectuée sur les serveurs de noms principaux. Sur Citrix ADC, vous configurez ADC en tant que serveur proxy DNS pour la zone. Créez un serveur virtuel d’équilibrage de charge de type de protocole DNS. Configurez les services sur ADC pour représenter les serveurs de noms. Ensuite, liez les services au serveur virtuel d’équilibrage de charge. Pour plus d’informations sur ces tâches de configuration, voir Configurer NetScaler en tant que serveur proxy DNS.

Lorsqu’un client envoie à ADC une demande DNS avec le bit OK (DO) DNSSEC défini, ADC vérifie son cache pour les informations demandées. Si les enregistrements de ressource ne sont pas disponibles dans son cache, ADC transmet la requête à l’un des serveurs de noms DNS. Ensuite, il relaie la réponse du serveur de noms au client. En outre, ADC met en cache les enregistrements de ressources RRSIG ainsi que la réponse du serveur de noms. Les demandes ultérieures des clients prenant en charge DNSSEC sont traitées à partir du cache (y compris les enregistrements de ressources RRSIG), sous réserve du paramètre Time-to-Live (TTL). Si un client envoie une requête DNS sans définir le bit DO, ADC répond uniquement avec les enregistrements de ressources demandés. Il n’inclut pas les enregistrements de ressources RRSIG spécifiques à DNSSEC.

Configurer DNSSEC pour une configuration de propriété de zone partielle

Dans certaines configurations ADC, même si l’autorité d’une zone appartient aux serveurs de noms principaux, un sous-ensemble des enregistrements de ressources appartenant à la zone peut être configuré sur ADC. ADC ne possède (ou fait autorité pour) que ce sous-ensemble d’enregistrements. Un tel sous-ensemble d’enregistrements peut être considéré comme une zone partielle sur ADC. ADC possède la zone partielle. Tous les autres enregistrements appartiennent aux serveurs de noms principaux.

Une configuration de zone partielle typique sur Citrix ADC est visible lorsque :

  • Les domaines Global Server Load Balancing (GSLB) sont configurés sur ADC
  • Les domaines GSLB font partie d’une zone pour laquelle les serveurs de noms principaux font autorité.

La signature d’une zone qui ne comprend qu’une zone partielle sur ADC implique :

  • Inclusion des informations de zone partielles dans les fichiers de zone du serveur de noms back-end
  • Signature de la zone sur les serveurs de noms principaux
  • Signature de la zone partielle sur ADC.

Le même jeu de clés doit être utilisé pour signer la zone sur les serveurs de noms et la zone partielle sur ADC.

Signer la zone sur les serveurs de noms principaux

  1. Incluez les enregistrements de ressources contenus dans la zone partielle, dans les fichiers de zone des serveurs de noms.
  2. Créez des clés et utilisez les clés pour signer la zone sur les serveurs de noms back-end.

Signer la zone partielle sur le Citrix ADC

  1. Créez une zone avec le nom de la zone détenue par les serveurs de noms principaux. Lors de la configuration de la zone partielle, définissez le paramètre ProxyMode sur YES. Cette zone est la zone partielle qui contient les enregistrements de ressources appartenant à ADC.

    Par exemple, si le nom de la zone configurée sur les serveurs de noms principaux est example.com, vous devez créer une zone nommée example.com sur ADC. Définissez le paramètre ProxyMode sur YES. Pour plus d’informations sur l’ajout d’une zone, voir Configurer une zone DNS.

    Remarque

    N’ajoutez pas d’enregistrements SOA et NS pour la zone. Ces enregistrements doivent exister sur ADC pour une zone pour laquelle ADC fait autorité.

  2. Importez les clés (depuis l’un des serveurs de noms dorsaux) vers ADC, puis ajoutez-les au répertoire /nsconfig/dns/. Pour plus d’informations sur la façon dont vous pouvez importer une clé et l’ajouter à ADC, consultez Publier une clé DNS dans une zone.
  3. Signez la zone partielle avec les clés importées. Lorsque vous signez la zone partielle avec les clés, ADC génère des enregistrements RRSIG et NSEC pour les jeux d’enregistrements de ressources et les enregistrements de ressources individuels dans la zone partielle, respectivement. Pour plus d’informations sur la signature d’une zone, voir Signer et désigner une zone DNS.
Configurer DNSSEC pour une zone pour laquelle Citrix ADC est un serveur proxy DNS