Citrix ADC

DNSSECの動作をCitrix ADCにオフロードする

DNSサーバーが権限を持つDNSゾーンでは、DNSSEC操作をCitrix ADCにオフロードできます。DNSSEC オフロード配置では、DNS サーバーは署名なし応答を送信します。ADCは、クライアントにリレーする前に、その場で応答に署名します。また、ADCは符号付き応答をキャッシュします。DNSサーバの負荷を軽減する以外に、DNSSECの動作をADCにオフロードすると、次のような利点があります。

  • DNS サーバーがプログラムによって生成するレコードに署名できます。このようなレコードは、DNS サーバーで実行されるルーチンゾーン署名操作では署名できません。
  • サーバーに DNSSEC を実装していない場合でも、署名付き応答をクライアントに提供できます。

DNSSEC オフロードを設定するには、DNS 負荷分散仮想サーバーを構成し、DNS サーバーを表すサービスを構成してから、サービスを仮想サーバーにバインドする必要があります。DNS 負荷分散仮想サーバの設定、サービスの設定、および仮想サーバへのサービスのバインドについては、DNS ゾーンを構成するを参照してください。

DNSSEC 操作をオフロードする DNS ゾーンごとに、ADC にゾーンエンティティを作成する必要があります。DNS ゾーンごとに、プロキシモードおよび DNSSEC オフロードパラメータを有効にする必要があります。オプションで、オフロードゾーンの NSEC レコード生成を構成できます。DNSSEC オフロード用の DNS ゾーンエンティティを作成するには、このトピックの手順に従います。

構成を完了するには、ゾーンの DNS キーを生成し、ゾーンにキーを追加してから、キーを使用してゾーンに署名する必要があります。このプロセスは、通常のDNSSECと同じです。キーの作成、ゾーンへのキーの追加、およびゾーンの署名については、「ドメイン・ネーム・システムのセキュリティ拡張」を参照してください。

DNSオフロードを構成したら、Citrix ADC上のDNSキャッシュをフラッシュする必要があります。DNS キャッシュをフラッシュすると、キャッシュ内の署名されていないレコードが削除され、その後署名されたレコードに置き換えられます。DNS キャッシュのフラッシュの詳細については、DNS レコードをフラッシュするを参照してください。

CLI を使用してゾーンの DNSSEC オフロードを有効にする

コマンドラインで次のコマンドを入力して、ゾーンの DNSSEC オフロードを有効にし、構成を確認します。

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone

例:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done

GUI を使用してゾーンの DNSSEC オフロードを有効にする

  1. [トラフィック管理] > [DNS] > [ゾーン]に移動します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • Citrix ADCにゾーンを作成するには、[追加]をクリックします。
    • 既存のゾーンの DNSSEC オフロードを設定するには、ゾーンをダブルクリックします。
  3. [DNS ゾーンの作成] または [DNS ゾーンの構成] ダイアログボックスで、[プロキシモード] および [DNSSEC オフロード] チェックボックスをオンにします。
  4. 必要に応じて、Citrix ADCでゾーンのNSECレコードを生成する場合は、[NSEC]チェックボックスをオンにします。

DNSSECの動作をCitrix ADCにオフロードする