Citrix ADC

DNSSECの動作をCitrix ADCにオフロードする

DNSサーバーが権限を持っているDNSゾーンの場合、DNSSEC操作をADCアプライアンスにオフロードできます。DNSSEC オフロード配置では、DNS サーバーは署名なし応答を送信します。ADCは、応答をクライアントに中継する前に動的に署名します。また、ADCは符号付き応答をキャッシュします。DNSサーバの負荷を軽減する以外に、DNSSECの動作をADCにオフロードすると、次のような利点があります。

  • DNS サーバーがプログラムによって生成するレコードに署名できます。このようなレコードは、DNS サーバーで実行されるルーチンゾーン署名操作では署名できません。
  • サーバーに DNSSEC を実装していない場合でも、署名付き応答をクライアントに提供できます。

DNSSEC オフロードを設定するには、DNS 負荷分散仮想サーバーを構成し、DNS サーバーを表すサービスを構成してから、サービスを仮想サーバーにバインドする必要があります。DNS 負荷分散仮想サーバの設定、サービスの設定、および仮想サーバへのサービスのバインドについては、DNS ゾーンを構成するを参照してください。

DNSSEC操作をオフロードするDNSゾーンごとに、ADCにゾーンエンティティを作成します。DNS ゾーンごとに、プロキシモードおよび DNSSEC オフロードパラメータを有効にする必要があります。オプションで、オフロードゾーンの NSEC レコード生成を構成できます。DNSSEC オフロード用の DNS ゾーンエンティティを作成するには、このトピックの手順に従います。

構成を完了するには、ゾーンの DNS キーを生成し、ゾーンにキーを追加してから、キーを使用してゾーンに署名する必要があります。このプロセスは、通常のDNSSECと同じです。キーの作成、ゾーンへのキーの追加、およびゾーンの署名については、「ドメイン・ネーム・システムのセキュリティ拡張」を参照してください。

DNSオフロードを構成したら、Citrix ADC上のDNSキャッシュをフラッシュする必要があります。DNSキャッシュをフラッシュすると、キャッシュ内の署名されていないレコードがすべて削除され、署名されたレコードに置き換えられます。DNS キャッシュのフラッシュの詳細については、DNS レコードをフラッシュするを参照してください。

CLI を使用してゾーンの DNSSEC オフロードを有効にする

コマンドラインで次のコマンドを入力して、ゾーンの DNSSEC オフロードを有効にし、構成を確認します。

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone

例:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done

GUI を使用してゾーンの DNSSEC オフロードを有効にする

  1. [トラフィック管理] > [DNS] > [ゾーン]に移動します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    • Citrix ADCにゾーンを作成するには、[追加]をクリックします。
    • 既存のゾーンの DNSSEC オフロードを設定するには、ゾーンをダブルクリックします。
  3. [DNS ゾーンの作成] または [DNS ゾーンの構成] ダイアログボックスで、[プロキシモード] および [DNSSEC オフロード] チェックボックスをオンにします。
  4. 必要に応じて、Citrix ADCでゾーンのNSECレコードを生成する場合は、[NSEC]チェックボックスをオンにします。
DNSSECの動作をCitrix ADCにオフロードする