ADC

ゾーンのメンテナンス

DNSSEC の観点から見ると、ゾーンのメンテナンスには、キーの有効期限が近づいたときに、ゾーン署名キーとキー署名キーのロールオーバーが含まれます。これらのゾーン保守タスクは手動で実行する必要があります。ゾーンは自動的に再署名されるため、手動による介入は必要ありません。

更新されたゾーンの再署名

ゾーンが更新(レコードの追加または既存のレコードの変更)されると、アプライアンスは自動的に新しい(または変更された)レコードを再署名します。ゾーンに複数のゾーン署名キーが含まれている場合、アプライアンスはゾーンの署名に使用したキーを使用して新しい(または変更された)レコードに再署名します。

DNSSECキーをロールオーバーする

注: 有効期限が切れる前に、DNSSEC キー (KSK、ZSK) を手動でロールオーバーします。

Citrix ADCでは、事前公開方法と二重署名方法を使用して、ゾーン署名キーとキー署名キーのロールオーバーを実行できます。これらの 2 つのロールオーバー方法の詳細については、RFC 4641「DNSSEC 運用慣行」を参照してください。

次のトピックでは、ADC のコマンドを、RFC 4641 で説明したロールオーバー手順のステップにマッピングします。

キーの有効期限の通知は、dnskeyExpiry という SNMP トラップを介して送信されます。dnskey有効期限 SNMP トラップと共に、dnskeyName、有効期限が切れるまでの時間、および期限切れのdnskey単位の 3 つの MIB 変数が送信されます。詳細については、『 NetScaler 12.0 SNMP OIDリファレンス』の「CitrixNetScaler SNMP OIDリファレンス」を参照してください。

公開前キーのロールオーバー

RFC 4641「DNSSEC運用慣行」では、公開前キーのロールオーバー方法の4つの段階、つまり、初期、新しいDNSKEY、新しいRRSIG、およびDNSKEYの削除が定義されています。各ステージは、ADC で実行する必要がある一連のタスクに関連付けられています。次に、各ステージの説明と実行する必要があるタスクを示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。

  • ステージ 1: イニシャル。ゾーンには、ゾーンが現在署名されているキーセットのみが含まれます。初期段階でのゾーンの状態は、キーのロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    ゾーンexample.comが署名されているキーexample.com.zsk1を考えてみましょう。ゾーンには、example.com.zsk1 キーによって生成された RRSG だけが含まれます。この期限は期限切れになります。キー署名キーは example.com.ksk1 です。

  • ステージ2:新しいDNSKEY。新しいキーが作成され、ゾーンで公開されます。つまり、キーはADCに追加されますが、プレロールフェーズが完了するまで、ゾーンは新しいキーで署名されません。この段階では、ゾーンには古いキー、新しいキー、および古いキーによって生成された RRSG が含まれます。プレロールフェーズの全期間にわたって新しいキーを公開すると、新しいキーに対応するDNSKEYリソースレコードがセカンダリネームサーバーに伝播されます。

    例:

    新しいキー example.com.zsk2 が example.com ゾーンに追加されます。プリロールフェーズが完了するまで、ゾーンには example.com.zsk2 で署名されません。このゾーンには、example.com.zsk1 とexample.com.zsk2 の両方の DNSKEY リソースレコードが含まれています。

    Citrix ADC コマンドは以下のとおりです。

    ADC で次のタスクを実行します。

    • create dns keyコマンドを使用して DNS キーを作成します。

      例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。

    • add dns keyコマンドを使用して、ゾーン内の新しい DNS キーを発行します。

      例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。

  • ステージ 3: 新しい RRSIGs。ゾーンは新しい DNS キーで署名され、古い DNS キーで署名されていません。古い DNS キーはゾーンから削除されず、古いキーによって生成された RRSG の有効期限が切れるまで公開されたままになります。

    例:

    ゾーンは example.com.zsk2 で署名され、次に example.com.zsk1 で署名されていません。ゾーンは、example.com.zsk1 によって生成された RRSG の有効期限が切れるまで example.com.zsk1 を発行し続けます。

    Citrix ADC コマンドは以下のとおりです。

    ADC で次のタスクを実行します。

    • sign dns zoneコマンドを使用して、新しい DNS キーを使用してゾーンに署名します。
    • unsign dns zoneコマンドを使用して、古い DNS キーを使用してゾーンの署名を解除します。

    例を含むゾーンの署名と署名の解除の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。

  • ステージ4:DNSKEYの取り外し。古い DNS キーによって生成された RRSG の有効期限が切れると、古い DNS キーがゾーンから削除されます。

    例:

    古い DNS キー example.com.zsk1 が example.com ゾーンから削除されます。

    Citrix ADC コマンド

    ADC で、rm dns key コマンドを使用して、古い DNS キーを削除します。例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。

二重署名キーのロールオーバー

RFC 4641、「DNSSEC 運用慣行」では、二重署名キーのロールオーバーについて、初期、新しい DNSKEY、および DNSKEY 削除の 3 つの段階が定義されています。各ステージは、ADC で実行する必要がある一連のタスクに関連付けられています。次に、各ステージの説明と実行する必要があるタスクを示します。ここで説明するロールオーバー手順は、キー署名キーとゾーン署名キーの両方に使用できます。

  • ステージ 1: イニシャル。ゾーンには、ゾーンが現在署名されているキーセットのみが含まれます。初期段階でのゾーンの状態は、キーのロールオーバープロセスを開始する直前のゾーンの状態です。

    例:

    ゾーンexample.comが署名されているキーexample.com.zsk1を考えてみましょう。ゾーンには、example.com.zsk1 キーによって生成された RRSG だけが含まれます。この期限は期限切れになります。キー署名キーは example.com.ksk1 です。

  • ステージ2:新しいDNSKEY。新しいキーがゾーンで発行され、ゾーンは新しいキーで署名されます。ゾーンには、古いキーと新しいキーによって生成される RRSG が含まれます。ゾーンに両方の RRSG セットを含める必要がある最小期間は、すべての RRSG が期限切れになるまでの時間です。

    例:

    新しいキー example.com.zsk2 が example.com ゾーンに追加されます。ゾーンは example.com.zsk2 で署名されています。example.com ゾーンに、両方のキーから生成された RRSG が含まれるようになりました。

    Citrix ADC コマンド

    ADC で次のタスクを実行します。

    • create dns keyコマンドを使用して DNS キーを作成します。

      例を含む DNS キーの作成の詳細については、「 ゾーンの DNS キーを作成する」を参照してください。

    • add dns keyコマンドを使用して、ゾーンに新しいキーを発行します。

      例など、ゾーンでのキーの公開の詳細については、「 ゾーンでの DNS キーの公開」を参照してください。

    • sign dns zoneコマンドを使用して、新しいキーでゾーンに署名します。

      例を含むゾーンの署名の詳細については、「 DNS ゾーンの署名と署名の解除」を参照してください。

  • ステージ3:DNSKEYの取り外し。古い DNS キーによって生成された RRSG の有効期限が切れると、古い DNS キーがゾーンから削除されます。

    例:

    古い DNS キー example.com.zsk1 が example.com ゾーンから削除されます。

    Citrix ADC コマンドは以下のとおりです。

    ADC で、rm dns key コマンドを使用して、古い DNS キーを削除します。

    例など、ゾーンからキーを削除する方法の詳細については、「 DNS キーの削除」を参照してください。

ゾーンのメンテナンス