This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
区域维护
从 DNSSEC 的角度来看,区域维护包括在密钥即将到期时移交区域签名密钥和密钥签名密钥。这些区域维护任务必须手动执行。该区域会自动重新签名,不需要任何手动干预。
重新签署更新的区域
更新区域(添加记录或修改现有记录)时,设备会自动对新的(或修改的)记录重新签名。如果一个区域包含多个区域签名密钥,则设备会使用用于签署该区域的密钥对新的(或修改的)记录进行重新签名。
将鼠标移至 DNSSEC 密钥
注意: 在 DNSSEC 密钥(KSK、ZSK)到期之前手动将其置于其上。
在 NetScaler 上,您可以使用预发布和双重签名方法对区域签名密钥和密钥签名密钥进行翻转。有关这两种翻转方法的更多信息,请参阅 RFC 4641“DNSSEC 操作实践”。
以下主题将 ADC 上的命令映射到 RFC 4641 中讨论的翻转过程中的步骤。
密钥到期通知是通过称为 dnskeyExpiry 的 SNMP 陷阱发送的。三个 MIB 变量,即 DNSS 密钥名称、DNSS 密钥到期时间和 DNSS 密钥单位软件到期时间与 DNSS 密钥到期 SNMP 陷阱一起发送。欲了解更多信息,请参阅 NetScaler 12.0 SNMP OID 参考中的 NetScalerSNMP OID 参考。
预发布密钥转换
RFC 4641,“DNSSEC 运营实践”定义了发布前密钥翻转方法的四个阶段:初始、新 DNSKEY、新 RRSIG 和 DNSKEY 移除。每个阶段都与您必须在 ADC 上执行的一组任务相关联。以下是每个阶段的描述以及必须执行的任务。此处描述的转存过程既可以用于密钥签名密钥,也可以用于区域签名密钥。
-
阶段 1:初始。该区域仅包含当前已使用该区域签名的密钥集。初始阶段的区域状态是您开始密钥翻转过程之前区域的状态。
示例:
以密钥 example.com.zsk1 为例,该密钥是用来签名区域 example.com 的。该区域仅包含那些由 example.com.zsk1 密钥生成的 RRSIG,该密钥即将到期。密钥签名密钥是 example.com.ksk1。
-
第 2 阶段:新 DNSKEY。在区域中创建并发布新密钥。也就是说,密钥已添加到 ADC,但在预滚阶段完成之前,不会使用新密钥对区域进行签名。在此阶段,该区域包含旧密钥、新密钥和由旧密钥生成的 RRSIG。在预发行阶段的完整时间内发布新密钥可以让与新密钥对应的 DNSKEY 资源记录有时间传播到辅助域名服务器。
示例:
新密钥 example.com.zsk2 已添加到 example.com 区域。直到预滚阶段完成后,才会使用 example.com.zsk2 签名该区域。example.com 区域包含 example.com.zsk1 和 example.com.zsk2 的 DNSKEY 资源记录。
NetScaler 命令:
在 ADC 上执行以下任务:
-
使用
create dns key命令创建 DNS 密钥。有关创建 DNS 密钥的更多信息(包括示例),请参阅 为区域创建 DNS 密钥。
-
使用命令在区域中发布新 DNS 密
add dns key钥。有关在区域中发布密钥的更多信息(包括示例),请参阅 在区域中发布 DNS 密钥。
-
-
第 3 阶段:新的 RRSIGG。使用新的 DNS 密钥对区域进行签名,然后使用旧的 DNS 密钥取消签名。旧 DNS 密钥不会从区域中删除,并且会一直处于发布状态,直到旧密钥生成的 RRSigs 到期。
示例:
该区域使用 example.com.zsk2 签名,然后使用 example.com.zsk1 取消签名。在 example.com.zsk1 生成的 RRSIG 到期之前,该区域会继续发布 example.com.zsk1。
NetScaler 命令:
在 ADC 上执行以下任务:
- 使用
sign dns zone命令使用新的 DNS 密钥对区域进行签名。 - 使用
unsign dns zone命令取消使用旧 DNS 密钥对区域进行签名。
有关签名和取消签名区域的更多信息(包括示例),请参阅 签名和取消签名 DNS 区域。
- 使用
-
阶段 4:删除 DNSKey。当旧 DNS 密钥生成的 RRSIG 到期时,旧 DNS 密钥将从区域中删除。
示例:
旧的 DNS 密钥 example.com.zsk1 已从 example.com 区域中删除。
NetScaler 命令
在 ADC 上,使用
rm dns key命令删除旧 DNS 密钥。有关从区域中删除密钥的更多信息(包括示例),请参阅 删除 DNS 密钥。
双重签名密钥翻转
RFC 4641,“DNSSEC 操作规范”定义了双重签名密钥翻转的三个阶段:初始、新 DNSKEY 和 DNSKEY 移除。每个阶段都与您必须在 ADC 上执行的一组任务相关联。以下是每个阶段的描述以及必须执行的任务。此处描述的转存过程既可以用于密钥签名密钥,也可以用于区域签名密钥。
-
阶段 1:初始。该区域仅包含当前已使用该区域签名的密钥集。初始阶段的区域状态是您开始密钥翻转过程之前区域的状态。
示例:
以密钥 example.com.zsk1 为例,该密钥是用来签名区域 example.com 的。该区域仅包含那些由 example.com.zsk1 密钥生成的 RRSIG,该密钥即将到期。密钥签名密钥是 example.com.ksk1。
-
第 2 阶段:新 DNSKEY。新密钥在区域中发布,并使用新密钥对区域进行签名。该区域包含由旧密钥和新密钥生成的 RRSIG。区域必须包含两组 RRSIG 的最短持续时间是所有 RRSIG 过期所需的时间。
示例:
新密钥 example.com.zsk2 已添加到 example.com 区域。该区域使用 example.com.zsk2 签名。example.com 区域现在包含由这两个密钥生成的 RRSIG。
NetScaler 命令
在 ADC 上执行以下任务:
-
使用
create dns key命令创建 DNS 密钥。有关创建 DNS 密钥的更多信息(包括示例),请参阅 为区域创建 DNS 密钥。
-
使用命令在区域中发布新密
add dns key钥。有关在区域中发布密钥的更多信息(包括示例),请参阅 在区域中发布 DNS 密钥。
-
使用命令使用新密钥对区域进行签
sign dns zone名。有关签名区域的更多信息(包括示例),请参阅 签名和取消签名 DNS 区域。
-
-
阶段 3:删除 DNSKey。当旧 DNS 密钥生成的 RRSIG 到期时,旧 DNS 密钥将从区域中删除。
示例:
旧的 DNS 密钥 example.com.zsk1 已从 example.com 区域中删除。
NetScaler 命令:
在 ADC 上,使用
rm dns key命令删除旧 DNS 密钥。有关从区域中删除密钥的更多信息(包括示例),请参阅 删除 DNS 密钥。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.