ADC

为 Citrix ADC 作为 DNS 代理服务器的区域配置 DNSSEC

对 Citrix ADC 配置为 DNS 代理服务器的区域进行签名的过程取决于 ADC 是否拥有后端名称服务器所拥有的区域信息的子集。如果是,则该配置被视为部分区域所有权配置。如果 ADC 不拥有区域信息的子集,则用于管理后端服务器的 Citrix ADC 配置被视为无区域 DNS 代理服务器配置。这两个 Citrix ADC 配置的基本 DNSSEC 配置任务是相同的。但是,对 Citrix ADC 上的部分区域进行签名需要一些额外的配置步骤。

注意: 术语无区域代理服务器配置和部分区域仅在 Citrix ADC 设备的上下文中使用。

重要提示: 在代理模式下配置时,ADC 不会在更新缓存之前对 DNSSEC 响应执行签名验证。

如果将 ADC 配置为 DNS 代理以对 DNSSEC 感知解析器(服务器)进行负载平衡,则必须在配置 DNS 虚拟服务器时设置“递归可用”选项。如果 DNSSEC 查询到达时设置了检查禁用 (CD) 位,则查询将传递给服务器,同时保留 CD 位。来自服务器的响应不会被缓存。

为无区域 DNS 代理服务器配置配置 DNSSEC

对于无区域 DNS 代理服务器配置,必须在后端名称服务器上执行区域签名。在 Citrix ADC 上,将 ADC 配置为该区域的 DNS 代理服务器。创建协议类型 DNS 的负载平衡虚拟服务器。在 ADC 上配置服务以表示名称服务器。然后将服务绑定到负载平衡虚拟服务器。有关这些配置任务的详细信息,请参阅将 NetScaler 配置为 DNS 代理服务器

当客户端向 ADC 发送设置了 DNSSEC OK (DO) 位的 DNS 请求时,ADC 会检查其缓存中的请求信息。如果资源记录在其缓存中不可用,ADC 会将请求转发到其中一个 DNS 名称服务器。然后,它将响应从名称服务器转发到客户端。此外,ADC 还会缓存 RRSIG 资源记录以及来自名称服务器的响应。来自 DNSSEC 感知客户端的后续请求从缓存(包括 RRSIG 资源记录)提供服务,这取决于生存时间 (TTL) 参数。如果客户端在未设置 DO 位的情况下发送 DNS 请求,ADC 将仅使用请求的资源记录进行响应。它不包括特定于 DNSSEC 的 RRSIG 资源记录。

为部分区域所有权配置配置配置 DNSSEC

在某些 ADC 配置中,尽管区域的权限属于后端名称服务器,但属于该区域的资源记录的子集可能会在 ADC 上配置。ADC 只拥有这部分记录(或具有权威性)。此类记录子集可被视为构成 ADC 上的 部分区域 。ADC 拥有部分区域。所有其他记录都归后端名称服务器所有。

在以下情况下可以看到 Citrix ADC 上的典型部分区域配置:

  • 在 ADC 上配置了全局服务器负载平衡 (GSLB) 域
  • GSLB 域是后端名称服务器具有权威性的区域的一部分。

在 ADC 上签署仅包含部分区域的区域涉及:

  • 在后端名称服务器区域文件中包含部分区域信息
  • 在后端名称服务器上签署区域
  • 在 ADC 上签署部分区域。

必须使用相同的密钥集对名称服务器上的区域和 ADC 上的部分区域进行签名。

在后端名称服务器上签署区域

  1. 在名称服务器的区域文件中包含在部分区域中的资源记录。
  2. 创建密钥并使用密钥在后端名称服务器上对区域进行签名。

对 Citrix ADC 上的部分区域进行签名

  1. 使用后端名称服务器所拥有的区域名称创建区域。配置部分区域时,请将 ProxyMode 参数设置为 YES。此区域是包含 ADC 拥有的资源记录的部分区域。

    例如,如果在后端名称服务器上配置的区域名称为 example.com,则必须在 ADC 上创建名为 example.com 的区域。将 ProxyMode 参数设置为 YES。有关添加区域的更多信息,请参阅 配置 DNS 区域

    注意

    不要为区域添加 SOA 和 NS 记录。对于 ADC 具有权威性的区域,这些记录必须存在于 ADC 中。

  2. 将密钥(从后端名称服务器之一)导入 ADC,然后将它们添加到 /nsconfig/dns/ 目录中。有关如何导入密钥并将其添加到 ADC 的更多信息,请参阅在 区域中发布 DNS 密钥
  3. 使用导入的密钥对部分区域进行签名。使用密钥对部分区域进行签名时,ADC 会分别为资源记录集和部分区域中的单个资源记录生成 RSIG 和 NSEC 记录。有关签名区域的更多信息,请参阅 签名和取消签名 DNS 区域
为 Citrix ADC 作为 DNS 代理服务器的区域配置 DNSSEC