ADC

Citrix ADCがDNSプロキシサーバーであるゾーンに対してDNSSECを構成する

Citrix ADCがDNSプロキシサーバーとして構成されているゾーンに署名する手順は、ADCがバックエンドネームサーバーが所有するゾーン情報のサブセットを所有しているかどうかによって異なります。含まれている場合、その構成は部分的なゾーン所有権構成と見なされます。ADCがゾーン情報のサブセットを所有していない場合、バックエンドサーバーを管理するためのCitrix ADC構成は、ゾーンのないDNSプロキシサーバー構成と見なされます。両方のCitrix ADC構成に対する基本的なDNSSEC構成作業は同じです。ただし、Citrix ADCで部分ゾーンに署名するには、追加の構成手順が必要です。

注: ゾーンレスプロキシサーバー構成および部分ゾーンという用語は、Citrix ADCアプライアンスのコンテキストでのみ使用されます。

重要: プロキシモードに設定されている場合、ADCはキャッシュを更新する前にDNSSEC応答で署名検証を実行しません。

DNSSEC 認識リゾルバ (サーバー) を負荷分散するために、ADC を DNS プロキシとして構成する場合は、DNS 仮想サーバーを構成するときに [再帰可能] オプションを設定する必要があります。Checking Disabled(CD)ビットが設定された状態でDNSSECクエリが到着した場合、クエリはCDビットを保持したままサーバーに渡されます。サーバーからの応答はキャッシュされません。

ゾーンレス DNS プロキシサーバー構成用に DNSSEC を構成する

ゾーンのないDNSプロキシサーバー構成の場合、ゾーン署名はバックエンドネームサーバーで実行する必要があります。Citrix ADC で、ADC をゾーンのDNSプロキシサーバーとして構成します。プロトコルタイプDNSの負荷分散仮想サーバーを作成します。ネームサーバーを表すようにADCでサービスを構成します。次に、サービスを負荷分散仮想サーバーにバインドします。これらの構成タスクの詳細については、「 NetScaler をDNSプロキシサーバーとして構成する」を参照してください。

クライアントが DNSSEC OK(DO)ビットが設定された DNS 要求を ADC に送信すると、ADC は要求された情報についてキャッシュをチェックします。リソースレコードがキャッシュで利用できない場合、ADCは要求をDNSネームサーバーの1つに転送します。次に、ネームサーバーからクライアントに応答を中継します。また、ADCは、ネームサーバーからの応答とともにRRSIGリソースレコードをキャッシュします。DNSSEC 対応クライアントからの後続の要求は、存続可能時間 (TTL) パラメータに従って、キャッシュ (RRSIG リソースレコードを含む) から提供されます。クライアントがDOビットを設定せずにDNS要求を送信すると、ADCは要求されたリソースレコードのみで応答します。DNSSECに固有のRRSIGリソースレコードは含まれていません。

部分ゾーン所有権設定用の DNSSEC の構成

一部のADC構成では、ゾーンの権限がバックエンドネームサーバーにある場合でも、ゾーンに属するリソースレコードのサブセットがADCで構成されている場合があります。ADCは、このレコードのサブセットのみを所有している(または権限がある)。このようなレコードのサブセットは、ADCの 部分的なゾーン を構成すると考えることができます。ADCは部分ゾーンを所有します。他のすべてのレコードは、バックエンドネームサーバーによって所有されます。

Citrix ADCの一般的な部分ゾーン構成は、次の場合に見られます。

  • グローバルサーバー負荷分散(GSLB)ドメインはADCで構成されます
  • GSLBドメインは、バックエンドネームサーバーが権限を持つゾーンの一部です。

ADCの部分ゾーンのみを含むゾーンに署名するには、次のことが必要です。

  • バックエンドネームサーバーゾーンファイルに部分的なゾーン情報を含める
  • バックエンドネームサーバーでゾーンに署名する
  • ADCの部分ゾーンに署名します。

ネームサーバーのゾーンと ADC の部分ゾーンに署名するには、同じキーセットを使用する必要があります。

バックエンドネームサーバーでゾーンに署名します

  1. 部分ゾーンに含まれるリソースレコードを、ネームサーバーのゾーンファイルに含めます。
  2. キーを作成し、そのキーを使用してバックエンドネームサーバーのゾーンに署名します。

Citrix ADC で部分ゾーンに署名する

  1. バックエンドネームサーバーが所有するゾーンの名前でゾーンを作成します。部分ゾーンを構成する場合は、proxyMode パラメータを YES に設定します。このゾーンは、ADC が所有するリソースレコードを含む部分的なゾーンです。

    たとえば、バックエンドネームサーバーで構成されているゾーンの名前がexample.comの場合、ADCでexample.comという名前のゾーンを作成する必要があります。proxyModeパラメーターをYESに設定します。ゾーンの追加の詳細については、「 DNS ゾーンの構成」を参照してください。

    ゾーンに SOA レコードと NS レコードを追加しないでください。これらのレコードは、ADCが権限を持つゾーンのADCに存在する必要があります。

  2. キーを(バックエンドネームサーバーの1つから)ADCにインポートしてから、 /nsconfig/dns/ ディレクトリ。キーをインポートして ADC に追加する方法の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。
  3. インポートされたキーで部分ゾーンに署名します。キーを使用して部分ゾーンに署名すると、ADC はリソースレコードセットの RRSIG レコードと NSEC レコードをそれぞれ生成し、部分ゾーン内の個々のリソースレコードを生成します。ゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。
Citrix ADCがDNSプロキシサーバーであるゾーンに対してDNSSECを構成する