Citrix ADC

Configurer DNSSEC pour une zone pour laquelle Citrix ADC est un serveur proxy DNS

La procédure de signature d’une zone pour laquelle Citrix ADC est configuré en tant que serveur proxy DNS dépend du fait que ADC possède ou non un sous-ensemble des informations de zone appartenant aux serveurs de noms principaux. Si c’est le cas, la configuration est considérée comme une configuration de propriété de zone partielle. Si ADC ne possède pas un sous-ensemble des informations de zone, la configuration Citrix ADC pour la gestion des serveurs dorsaux est considérée comme une configuration de serveur proxy DNS sanszone. Les tâches de configuration DNSSEC de base pour les deux configurations Citrix ADC sont les mêmes. Toutefois, la signature de la zone partielle sur Citrix ADC nécessite quelques étapes de configuration supplémentaires.

Remarque : les termes configuration du serveur proxy sans zone et zone partielle ne sont utilisés que dans le contexte de l’appliance Citrix ADC.

Important : lorsqu’il est configuré en mode proxy, l’ADC n’effectue pas de vérification de signature sur les réponses DNSSEC avant de mettre à jour le cache.

Si vous configurez ADC en tant que proxy DNS pour équilibrer la charge des résolveurs (serveurs) compatibles DNSSEC, vous devez définir l’option Récursion disponible lors de la configuration du serveur virtuel DNS. Si une requête DNSSEC arrive avec un bit Checking Disabled (CD) défini, la requête est transmise au serveur avec le bit CD conservé et la réponse du serveur n’est pas mise en cache. Dans les versions antérieures à 10.5.e build xx.x, ADC a désinstallé le bit CD avant de le transmettre au serveur et a également mis en cache la réponse du serveur.

Configurer DNSSEC pour une configuration de serveur proxy DNS sans zone

Pour une configuration de serveur proxy DNS sans zone, la signature de zone doit être effectuée sur les serveurs de noms principaux. Sur Citrix ADC, vous configurez ADC en tant que serveur proxy DNS pour la zone. Vous créez un serveur virtuel d’équilibrage de charge de type DNS, configurez les services sur ADC pour représenter les serveurs de noms, puis liez les services au serveur virtuel d’équilibrage de charge. Pour plus d’informations sur ces tâches de configuration, reportez-vous à la section Configurer NetScaler en tant que serveur proxy DNS.

Lorsqu’un client envoie à ADC une demande DNS avec le bit OK (DO) DNSSEC défini, ADC vérifie son cache pour les informations demandées. Si les enregistrements de ressources ne sont pas disponibles dans son cache, ADC transfère la demande à l’un des serveurs de noms DNS, puis relaie la réponse du serveur de noms au client. En outre, ADC met en cache les enregistrements de ressources RRSIG ainsi que la réponse du serveur de noms. Les demandes ultérieures des clients prenant en charge DNSSEC sont traitées à partir du cache (y compris les enregistrements de ressources RRSIG), sous réserve du paramètre Time-to-Live (TTL). Si un client envoie une demande DNS sans définir le bit DO, l’ADC répond uniquement avec les enregistrements de ressources demandés et n’inclut pas les enregistrements de ressources RRSIG spécifiques à DNSSEC.

Configurer DNSSEC pour une configuration de propriété de zone partielle

Dans certaines configurations d’Citrix ADC, même si l’autorité d’une zone appartient aux serveurs de noms principaux, un sous-ensemble des enregistrements de ressources appartenant à la zone peut être configuré sur Citrix ADC. ADC ne possède (ou fait autorité pour) que ce sous-ensemble d’enregistrements. Un tel sous-ensemble d’enregistrements peut être considéré comme une zone partielle sur l’ADC. L’ADC possède la zone partielle. Tous les autres enregistrements appartiennent aux serveurs de noms principaux.

Une configuration de zone partielle typique sur le Citrix ADC est visible lorsque des domaines GSLB (Global Server Load Balancing) sont configurés sur ADC et que les domaines GSLB font partie d’une zone pour laquelle les serveurs de noms principaux font autorité.

Signer une zone qui inclut uniquement une zone partielle sur ADC implique l’inclusion des informations de zone partielle dans les fichiers de zone serveur de noms principaux, la signature de la zone sur les serveurs de noms principaux, puis la signature de la zone partielle sur ADC. Le même jeu de clés doit être utilisé pour signer la zone sur les serveurs de noms et la zone partielle sur ADC.

Signer la zone sur les serveurs de noms principaux

  1. Incluez les enregistrements de ressources contenus dans la zone partielle, dans les fichiers de zone des serveurs de noms.
  2. Créez des clés et utilisez les clés pour signer la zone sur les serveurs de noms principaux.

Signer la zone partielle sur le Citrix ADC

  1. Créez une zone avec le nom de la zone qui appartient aux serveurs de noms principaux. Lors de la configuration de la zone partielle, définissez le paramètre ProxyMode sur YES. Cette zone est la zone partielle qui contient les enregistrements de ressources appartenant à l’ADC.

    Par exemple, si le nom de la zone configurée sur les serveurs de noms principaux est example.com, vous devez créer une zone nommée example.com sur ADC, avec le paramètre proxyMode défini sur YES. Pour plus d’informations sur l’ajout d’une zone, reportez-vous à la section Configurer une zone DNS.

    Remarque

    N’ajoutez pas d’enregistrements SOA et NS pour la zone. Ces enregistrements ne devraient pas exister sur ADC pour une zone pour laquelle ADC n’est pas faisant autorité.

  2. Importez les clés (à partir de l’un des serveurs de noms principaux) dans ADC, puis ajoutez-les au répertoire /nsconfig/dns/. Pour plus d’informations sur la façon d’importer une clé et de l’ajouter à ADC, reportez-vous à la section Publier une clé DNS dans une zone.
  3. Signez la zone partielle avec les clés importées. Lorsque vous signez la zone partielle avec les clés, l’ADC génère des enregistrements RRSIG et NSEC pour les jeux d’enregistrements de ressources et les enregistrements de ressources individuels dans la zone partielle, respectivement. Pour plus d’informations sur la signature d’une zone, reportez-vous à la section signer et désigner une zone DNS.

Configurer DNSSEC pour une zone pour laquelle Citrix ADC est un serveur proxy DNS