Citrix ADC

Citrix ADCがDNSプロキシサーバーであるゾーンに対してDNSSECを構成する

Citrix ADCがDNSプロキシサーバーとして構成されているゾーンに署名する手順は、バックエンドネームサーバーが所有するゾーン情報のサブセットをADCが所有しているかどうかによって異なります。存在する場合、構成は 部分ゾーン所有権構成と見なされます。ADCがゾーン情報のサブセットを所有していない場合、バックエンドサーバーを管理するためのCitrix ADC構成は ゾーンレスDNSプロキシサーバー構成と見なされます。両方のCitrix ADC構成に対する基本的なDNSSEC構成作業は同じです。ただし、Citrix ADCで部分ゾーンに署名するには、追加の構成手順が必要です。

注:ゾーンレスプロキシサーバー構成部分ゾーン という用語は、Citrix ADCアプライアンスのコンテキストでのみ使用されます。

重要: プロキシモードに設定されている場合、ADCはキャッシュを更新する前にDNSSEC応答で署名検証を実行しません。

DNSSEC 認識リゾルバ (サーバー) を負荷分散するために、ADC を DNS プロキシとして構成する場合は、DNS 仮想サーバーを構成するときに [再帰可能] オプションを設定する必要があります。Checking Disabled (CD) ビットが設定された DNSSEC クエリが到着した場合、クエリは CD ビットが保持された状態でサーバーに渡され、サーバーからの応答はキャッシュされません。10.5.e ビルドxx.x より前のリリースでは、ADC は CD ビットをサーバに渡す前に設定解除し、サーバ応答もキャッシュしました。

ゾーンレス DNS プロキシサーバー構成用に DNSSEC を構成する

ゾーンレス DNS プロキシサーバー構成の場合、ゾーン署名はバックエンドネームサーバーで実行する必要があります。Citrix ADC で、ADC をゾーンのDNSプロキシサーバーとして構成します。プロトコルタイプ DNS の負荷分散仮想サーバーを作成し、ネームサーバーを表すように ADC 上のサービスを構成してから、負荷分散仮想サーバーにサービスをバインドします。これらの設定タスクの詳細については、NetScaler をDNSプロキシサーバーとして構成するを参照してください。

クライアントが DNSSEC OK(DO)ビットが設定された DNS 要求を ADC に送信すると、ADC は要求された情報についてキャッシュをチェックします。リソースレコードがキャッシュ内で使用できない場合、ADC は DNS ネームサーバの 1 つに要求を転送し、ネームサーバからの応答をクライアントに中継します。さらに、ADC は、ネームサーバからの応答とともに RRSIG リソースレコードをキャッシュします。DNSSEC 対応クライアントからの後続の要求は、存続可能時間 (TTL) パラメータに従って、キャッシュ (RRSIG リソースレコードを含む) から提供されます。クライアントが DO ビットを設定せずに DNS 要求を送信した場合、ADC は要求されたリソースレコードのみで応答し、DNSSEC に固有の RRSIG リソースレコードは含まれません。

部分ゾーン所有権設定用の DNSSEC の構成

一部のCitrix ADC構成では、ゾーンの権限がバックエンドネームサーバーにある場合でも、そのゾーンに属するリソースレコードのサブセットがCitrix ADC上で構成されることがあります。ADCは、このレコードのサブセットのみを所有している(または権限がある)。このようなレコードのサブセットは、ADCの 部分的なゾーン を構成すると考えることができます。ADCは部分ゾーンを所有します。他のすべてのレコードは、バックエンドネームサーバーによって所有されます。

Citrix ADCの一般的な部分ゾーン構成は、グローバルサーバー負荷分散(GSLB)ドメインがADC上で構成され、GSLBドメインがバックエンドネームサーバーが権限を持つゾーンの一部である場合に表示されます。

ADC の部分ゾーンのみを含むゾーンに署名するには、バックエンドネームサーバゾーンファイルに部分ゾーン情報を含めて、バックエンドネームサーバでゾーンに署名してから、ADC で部分ゾーンに署名します。ネームサーバーのゾーンと ADC の部分ゾーンに署名するには、同じキーセットを使用する必要があります。

バックエンドネームサーバーのゾーンに署名する

  1. 部分ゾーンに含まれるリソースレコードを、ネームサーバーのゾーンファイルに含めます。
  2. キーを作成し、キーを使用してバックエンドネームサーバー上のゾーンに署名します。

Citrix ADC で部分ゾーンに署名する

  1. バックエンドネームサーバーが所有するゾーンの名前でゾーンを作成します。部分ゾーンを構成する場合は、proxyMode パラメータを YES に設定します。このゾーンは、ADC が所有するリソースレコードを含む部分的なゾーンです。

    たとえば、バックエンドネームサーバーで構成されているゾーンの名前が example.com の場合、proxyMode パラメーターを YES に設定して、ADC に example.com という名前のゾーンを作成する必要があります。ゾーンの追加の詳細については、DNS ゾーンを構成するを参照してください。

    ゾーンに SOA レコードと NS レコードを追加しないでください。これらのレコードは、ADCが権限のないゾーンのADCに存在してはなりません。

  2. キーを(いずれかのバックエンド・ネーム・サーバから)ADCにインポートし、/nsconfig/dns/ ディレクトリに追加します。キーをインポートして ADC に追加する方法の詳細については、ゾーン内の DNS キーを発行するを参照してください。
  3. インポートされたキーで部分ゾーンに署名します。キーを使用して部分ゾーンに署名すると、ADC はリソースレコードセットの RRSIG レコードと NSEC レコードをそれぞれ生成し、部分ゾーン内の個々のリソースレコードを生成します。ゾーンの署名の詳細については、「DNS ゾーンの署名と署名の解除」を参照してください。

Citrix ADCがDNSプロキシサーバーであるゾーンに対してDNSSECを構成する