为 Citrix ADC 作为 DNS 代理服务器的区域配置 DNSSEC

对 Citrix ADC 配置为 DNS 代理服务器的区域进行签名的过程取决于 ADC 是否拥有后端名称服务器所拥有的区域信息的子集。如果是这样,则该配置将被视为 部分区域所有权配置。如果 ADC 不拥有区域信息的子集,则用于管理后端服务器的 Citrix ADC 配置将被视为 无区域 DNS 代理服务器配置。这两个 Citrix ADC 配置的基本 DNSSEC 配置任务是相同的。但是,对 Citrix ADC 上的部分区域进行签名需要一些额外的配置步骤。

注意: 术语 无区域代理服务器配置部分区域 仅在 Citrix ADC 设备的上下文中使用。

重要提示: 在代理模式下配置时,ADC 不会在更新缓存之前对 DNSSEC 响应执行签名验证。

如果将 ADC 配置为 DNS 代理以对 DNSSEC 感知解析器(服务器)进行负载平衡,则必须在配置 DNS 虚拟服务器时设置“递归可用”选项。如果 DNSSEC 查询到达时设置了检查禁用 (CD) 位,则查询将传递到服务器,并保留了 CD 位,并且不会缓存来自服务器的响应。在 10.5.e 版本 xx.x 之前的版本中,ADC 在将 CD 位传递到服务器之前取消设置,并缓存了服务器响应。

为无区域 DNS 代理服务器配置配置 DNSSEC

对于无区域 DNS 代理服务器配置,必须在后端名称服务器上执行区域签名。在 Citrix ADC 上,将 ADC 配置为该区域的 DNS 代理服务器。创建协议类型 DNS 的负载平衡虚拟服务器,在 ADC 上配置服务以表示名称服务器,然后将服务绑定到负载平衡虚拟服务器。有关这些配置任务的更多信息,请参阅将 NetScaler 配置为 DNS 代理服务器

当客户端向 ADC 发送设置了 DNSSEC OK (DO) 位的 DNS 请求时,ADC 会检查其缓存中的请求信息。如果资源记录在其缓存中不可用,ADC 将请求转发到其中一个 DNS 名称服务器,然后将响应从名称服务器中继到客户端。此外,ADC 缓存 RRSIG 资源记录以及来自名称服务器的响应。来自 DNSSEC 感知客户端的后续请求从缓存(包括 RRSIG 资源记录)提供服务,这取决于生存时间 (TTL) 参数。如果客户端在未设置 DO 位的情况下发送 DNS 请求,则 ADC 将仅使用请求的资源记录进行响应,并且不包括特定于 DNSSEC 的 RRSIG 资源记录。

为部分区域所有权配置配置配置 DNSSEC

在某些 Citrix ADC 配置中,即使区域的权限属于后端名称服务器,也可以在 Citrix ADC 上配置属于该区域的资源记录子集。ADC 只拥有这部分记录(或具有权威性)。此类记录子集可被视为构成 ADC 上的 部分区域 。ADC 拥有部分区域。所有其他记录都归后端名称服务器所有。

如果在 ADC 上配置了全局服务器负载平衡 (GSLB) 域,并且 GSLB 域是后端名称服务器具有权威性的区域的一部分,则可以看到 Citrix ADC 上的典型部分区域配置。

对 ADC 上仅包含部分区域的区域进行签名涉及在后端名称服务器区域文件中包含部分区域信息,在后端名称服务器上签名区域,然后对 ADC 上的部分区域进行签名。必须使用相同的密钥集对名称服务器上的区域和 ADC 上的部分区域进行签名。

对后端名称服务器上的区域进行签名

  1. 在名称服务器的区域文件中包含在部分区域中的资源记录。
  2. 创建密钥并使用密钥对后端名称服务器上的区域进行签名。

对 Citrix ADC 上的部分区域进行签名

  1. 使用后端名称服务器所拥有的区域的名称创建区域。配置部分区域时,请将 ProxyMode 参数设置为 YES。此区域是包含 ADC 拥有的资源记录的部分区域。

    例如,如果在后端名称服务器上配置的区域名称为 example.com,则必须在 ADC 上创建一个名为 example.com 的区域,并将 ProxyMode 参数设置为 YES。有关添加区域的更多信息,请参阅配置 DNS 区域

    注意

    不要为区域添加 SOA 和 NS 记录。对于 ADC 不具有权威性的区域,这些记录不应存在于 ADC 上。

  2. 将密钥(从其中一个后端名称服务器)导入 ADC,然后将它们添加到 /nsconfig/dns/ 目录中。有关如何导入密钥并将其添加到 ADC 的更多信息,请参阅在区域中发布 DNS 密钥
  3. 使用导入的密钥对部分区域进行签名。使用密钥对部分区域进行签名时,ADC 会分别为资源记录集和部分区域中的单个资源记录生成 RSIG 和 NSEC 记录。有关签署区域的更多信息,请参阅对 DNS 区域进行签名和取消签名

为 Citrix ADC 作为 DNS 代理服务器的区域配置 DNSSEC