Citrix ADC

区域维护

从 DNSSEC 的角度来看,区域维护涉及在密钥即将到期时滚动区域签名密钥和密钥签名密钥。这些区域维护任务必须手动执行。区域会自动重新签名,不需要任何人工干预。

重新签署已更新的区域

更新区域时(添加记录或修改现有记录),设备会自动对新记录(或已修改的)记录进行重新签名。如果一个区域包含多个区域签名密钥,则设备会使用用于签名区域的密钥对新记录(或修改过的)记录重新签名。

滚动 DNSSEC 密钥

注意: 在 DNSSEC 密钥(KSK、ZSK)过期之前,手动滚动它们。

在 Citrix ADC 上,可以使用预发布和双签名方法对区域签名密钥和密钥签名密钥执行滚动。有关这两种翻转方法的更多信息,请参阅 RFC 4641“DNSSEC 运营实践”。

以下主题将 ADC 上的命令映射到 RFC 4641 中讨论的滚动过程中的步骤。

密钥到期通知是通过称为 DNSSKey过期的 SNMP 陷阱发送的。三个 MIB 变量,即 DNSS 密钥名称、DNSS 密钥到期时间和 DNSS 密钥单位软件到期时间与 DNSS 密钥到期 SNMP 陷阱一起发送。有关详细信息,请参阅上的 Citrix NetScaler SNMP OID 参考NetScaler 12.0 SNMP OID 基准参考

预发布密钥转换

RFC 4641,“DNSSEC 操作实践”定义了预发布密钥转换方法的四个阶段:初始、新的 DNSSKEY、新的 RRSIGG 和 DNSSEY 删除。每个级别都与您必须在 ADC 上执行的一组任务相关联。以下是每个阶段的描述以及您必须执行的任务。此处描述的转换过程可用于密钥签名密钥和区域签名密钥。

  • 第一阶段:初始阶段。区域仅包含当前已签名区域的密钥集。初始阶段的区域状态是开始密钥翻转过程之前的区域状态。

    示例:

    请注意密钥 example.com.zsk1,区域 example.com 通过该密钥进行签名。该区域仅包含由 example.com.zsk1 密钥生成的 RRSIG,该密钥即将到期。密钥签名密钥为 example.com.ksk1。

  • 第 2 阶段:新的 DNSSKEY。在区域中创建并发布新密钥(即密钥添加到 ADC),但在预滚阶段完成之前,区域不会使用新密钥签名。在此阶段,该区域包含旧密钥、新密钥和由旧密钥生成的 RRSIGs。在预滚阶段的整个持续时间内发布新密钥将为 DNSKEY 资源记录(与新密钥相对应)提供足够的时间来传播到辅助名称服务器。

    示例:

    一个新的密钥 example.com.zsk2 添加到 example.com 区域。在预滚阶段完成之前,区域不会使用 example.com.zsk2 签名。example.com 区域包含 example.com.zsk1 和 example.com.zsk2 的 DNSKEY 资源记录。

    Citrix ADC 命令:

    在 ADC 上执行以下任务:

    • 使用create dns key 命令创建 DNS 密钥。

      有关创建 DNS 密钥的更多信息(包括示例),请参阅为区域创建 DNS 密钥

    • 使用命令在区域中发布新 DNS 密add dns key 钥。

      有关在区域中发布密钥的更多信息(包括示例),请参阅在区域中发布 DNS 密钥

  • 第 3 阶段:新的 RRSIGG。区域使用新 DNS 密钥签名,然后使用旧 DNS 密钥取消签名。旧 DNS 密钥不会从区域中删除,并会保持发布,直到由旧密钥生成的 RRSIGs 过期。

    示例:

    该区域使用 example.com.zsk2 签名,然后使用 example.com.zsk1 取消签名。该区域将继续发布 example.com.zsk1,直到由 example.com.zsk1 生成的 RRSIG 过期为止。

    Citrix ADC 命令:

    在 ADC 上执行以下任务:

    • 使用命令使用新 DNS 密钥对区域进行签sign dns zone 名。
    • 使用命令取消使用旧 DNS 密钥对区域进行签unsign dns zone 名。

    有关对区域进行签名和取消签名的更多信息(包括示例),请参阅对 DNS 区域进行签名和取消签名

  • 阶段 4:删除 DNSKey。当由旧 DNS 密钥生成的 RRSIGs 过期时,旧 DNS 密钥将从区域中删除。

    示例:

    旧的 DNS 密钥 example.com.zsk1 将从该示例区域中删除。

    Citrix ADC 命令

    在 ADC 上,使用rm dns key 命令删除旧 DNS 密钥。有关从区域中删除密钥的更多信息(包括示例),请参阅删除 DNS 密钥

双重签名密钥翻转

RFC 4641,“DNSSEC 运营实践”定义了双重签名密钥转换的三个阶段:初始、新的 DNSSKEY 和 DNSKEY 删除。每个级别都与您必须在 ADC 上执行的一组任务相关联。以下是每个阶段的描述以及您必须执行的任务。此处描述的转换过程可用于密钥签名密钥和区域签名密钥。

  • 第一阶段:初始阶段。区域仅包含当前已签名区域的密钥集。初始阶段的区域状态是开始密钥翻转过程之前的区域状态。

    示例:

    请注意键 example.com.zsk1,区域 example.com 通过该键进行签名。该区域仅包含由 example.com.zsk1 键生成的 RRSIG,该密钥即将到期。密钥签名密钥为 example.com.ksk1。

  • 第 2 阶段:新的 DNSSKEY。新密钥将在区域中发布,并使用新密钥对区域进行签名。该区域包含由旧密钥和新密钥生成的 RRSIGs。区域必须包含两组 RRSIGG 的最短持续时间是所有 RRSIGG 过期所需的时间。

    示例:

    一个新的密钥 example.com.zsk2 添加到 example.com 区域。该区域通过 example.com.zsk2 进行签名。example.com 区域现在包含从两个密钥生成的 RRSIG。

    Citrix ADC 命令

    在 ADC 上执行以下任务:

    • 使用create dns key 命令创建 DNS 密钥。

      有关创建 DNS 密钥的更多信息(包括示例),请参阅为区域创建 DNS 密钥

    • 使用命令在区域中发布新密add dns key 钥。

      有关在区域中发布密钥的更多信息(包括示例),请参阅在区域中发布 DNS 密钥

    • 使用命令使用新密钥对区域进行签sign dns zone 名。

      有关签署区域的更多信息(包括示例),请参阅对 DNS 区域进行签名和取消签名

  • 阶段 3:删除 DNSKey。当由旧 DNS 密钥生成的 RRSIGs 过期时,旧 DNS 密钥将从区域中删除。

    示例:

    旧的 DNS 密钥 example.com.zsk1 将从 example.com 区域中删除。

    Citrix ADC 命令:

    在 ADC 上,使用rm dns key 命令删除旧 DNS 密钥。

    有关从区域中删除密钥的更多信息(包括示例),请参阅删除 DNS 密钥

区域维护