将 DNSSEC 操作卸载到 Citrix ADC

对于 DNS 服务器具有权威性的 DNS 区域,您可以将 DNSSEC 操作卸载到 Citrix ADC。在 DNSSEC 卸载部署中,DNS 服务器发送未签名的响应。ADC 在将响应中继到客户端之前对响应进操作态签署。ADC 还会缓存签名响应。除了减少 DNS 服务器上的负载外,将 DNSSEC 操作卸载到 ADC 还具有以下优势:

  • 您可以对 DNS 服务器以编程方式生成的记录进行签名。这些记录无法通过 DNS 服务器上执行的例行区域签名操作进行签名。
  • 即使您尚未在服务器上实施 DNSSEC,也可以向客户端提供签名响应。

要设置 DNSSEC 卸载,必须配置 DNS 负载平衡虚拟服务器,配置代表 DNS 服务器的服务,然后将服务绑定到虚拟服务器。有关配置 DNS 负载平衡虚拟服务器、配置服务以及将服务绑定到虚拟服务器的信息,请参阅配置 DNS 区域

您必须在 ADC 上为要卸载其 DNSSEC 操作的每个 DNS 区域创建一个区域实体。对于每个 DNS 区域,必须启用代理模式和 DNSSEC 卸载参数。您可以选择配置卸载区域的 NSEC 记录生成。若要为 DNSSEC 卸载创建 DNS 区域实体,请按照本主题中的说明操作。

要完成配置,您必须为区域生成 DNS 密钥,将密钥添加到区域,然后使用密钥对区域进行签名。此过程与正常 DNSSEC 相同。有关创建密钥、向区域添加密钥以及对区域进行签名的信息,请参阅域名系统安全扩展

配置 DNS 卸载后,必须刷新 Citrix ADC 上的 DNS 缓存。刷新 DNS 缓存可确保删除缓存中的任何未签名记录,然后被签名记录替换。有关刷新 DNS 缓存的信息,请参阅刷新 DNS 记录

使用 CLI 为区域启用 DNSSEC 卸载

在命令行中,键入以下命令以启用区域的 DNSSEC 卸载并验证配置:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone

示例:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done

通过使用 GUI 为区域启用 DNSSEC 卸载

  1. 导航到 流量管理 > DNS > 区域
  2. 在详细信息窗格中,执行以下操作之一:
    • 要在 Citrix ADC 上创建区域,请单击“添加”。
    • 要为现有区域配置 DNSSEC 卸载,请双击该区域。
  3. 在“创建 DNS 区域”或“配置 DNS 区域”对话框中,选中“代理模式和 DNSSEC 卸载”复选框。
  4. 或者,如果希望 Citrix ADC 为区域生成 NSEC 记录,请选中 NSEC 复选框。