ADC

区域维护

从 DNSSEC 的角度来看,区域维护包括在密钥即将到期时移交区域签名密钥和密钥签名密钥。这些区域维护任务可以手动执行,也可以通过启用自动翻转功能来自动执行该过程。自动签名后,该区域将自动重新签名。但是,需要手动干预才能更新父区域中的 DS 记录。

重新签署更新的区域

更新区域(添加记录或修改现有记录)时,设备会自动对新的(或修改的)记录重新签名。如果一个区域包含多个区域签名密钥,则设备会使用用于签署该区域的密钥对新的(或修改的)记录进行重新签名。

GSLB 中的区域传输

更新所有 GSLB 站点中的 DNS 密钥可能是一个耗时的过程,并且有可能在一个或多个 GSLB 站点中错过更新。为防止这种情况发生,在一台 DNS 服务器中更新 DNS 密钥后,您可以使用区域传输选项来同步其他 GSLB 站点中的 DNS 密钥。启用区域传输后,与所有区域相关的所有 DNS 配置记录都将同步到其他 GSLB 站点。

注意:

对于 GSLB 域,区域或 DNSSEC 设置是可选的。

要配置区域传输,请参阅 配置 DNSSEC

将鼠标移至 DNSSEC 密钥

注意: 在 DNSSEC 密钥(KSK、ZSK)到期之前手动或自动将其翻转。

在 NetScaler 上,您可以使用预发布和双重签名方法对区域签名密钥和密钥签名密钥进行翻转。有关这两种翻转方法的更多信息,请参阅 RFC 4641“DNSSEC 操作实践”。

以下主题将 ADC 上的命令映射到 RFC 4641 中讨论的翻转过程中的步骤。

密钥到期通知是通过称为 dnskeyExpiry 的 SNMP 陷阱发送的。三个 MIB 变量,即 dnskeyName、dnskeyTimeToExpire 和 dnskeyUnitsOfExpiry 与 dnskeyExpiry SNMP 陷阱一起发送。欲了解更多信息,请参阅 NetScaler 12.0 SNMP OID 参考中的 NetScaler SNMP OID 参考。仅当未启用自动密钥滚动选项时,才会发送此 SNMP 警报。

自动翻转密钥

自动密钥滚动可消除跟踪密钥到期日期的需要,也无需错过密钥滚动的机会。 创建新密钥时,您可以在预定日期自动执行密钥滚动过程。 要配置自动密钥滚动,请参阅 配置 DNSSEC

预发布密钥转换

RFC 4641,“DNSSEC 运营实践”定义了发布前密钥翻转方法的四个阶段:初始、新 DNSKEY、新 RRSIG 和 DNSKEY 移除。每个阶段都与您必须在 ADC 上执行的一组任务相关联。以下是每个阶段的描述以及必须执行的任务。此处描述的转存过程既可以用于密钥签名密钥,也可以用于区域签名密钥。

  • 阶段 1:初始。该区域仅包含当前已使用该区域签名的密钥集。初始阶段的区域状态是您开始密钥翻转过程之前区域的状态。

    示例:

    以密钥 example.com.zsk1 为例,该密钥是用来签名区域 example.com 的。该区域仅包含那些由 example.com.zsk1 密钥生成的 RRSIG,该密钥即将到期。密钥签名密钥是 example.com.ksk1。

  • 第 2 阶段:新 DNSKEY。在区域中创建并发布新密钥。也就是说,密钥已添加到 ADC,但在预滚阶段完成之前,不会使用新密钥对区域进行签名。在此阶段,该区域包含旧密钥、新密钥和由旧密钥生成的 RRSIG。在预发行阶段的完整时间内发布新密钥可以让与新密钥对应的 DNSKEY 资源记录有时间传播到辅助域名服务器。

    示例:

    新密钥 example.com.zsk2 已添加到 example.com 区域。直到预滚阶段完成后,才会使用 example.com.zsk2 签名该区域。example.com 区域包含 example.com.zsk1 和 example.com.zsk2 的 DNSKEY 资源记录。

    NetScaler 命令:

    在 NetScaler 上执行以下任务:

    • 使用create dns key 命令创建 DNS 密钥。

      有关创建 DNS 密钥的更多信息(包括示例),请参阅 为区域创建 DNS 密钥

    • 使用命令在区域中发布新 DNS 密add dns key 钥。

      有关在区域中发布密钥的更多信息(包括示例),请参阅 在区域中发布 DNS 密钥

  • 第 3 阶段:新的 RRSIG。使用新的 DNS 密钥对区域进行签名,然后使用旧的 DNS 密钥取消签名。旧 DNS 密钥不会从区域中删除,并且会一直处于发布状态,直到旧密钥生成的 RRSigs 到期。

    示例:

    该区域使用 example.com.zsk2 签名,然后使用 example.com.zsk1 取消签名。在 example.com.zsk1 生成的 RRSIG 到期之前,该区域会继续发布 example.com.zsk1。

    NetScaler 命令:

    在 NetScaler 上执行以下任务:

    • 使用 sign dns zone 命令使用新的 DNS 密钥对区域进行签名。
    • 使用 unsign dns zone 命令取消使用旧 DNS 密钥对区域进行签名。

    有关签名和取消签名区域的更多信息(包括示例),请参阅 签名和取消签名 DNS 区域

  • 阶段 4:删除 DNSKEY。当旧 DNS 密钥生成的 RRSIG 到期时,旧 DNS 密钥将从区域中删除。

    示例:

    旧的 DNS 密钥 example.com.zsk1 已从 example.com 区域中删除。

    NetScaler 命令

    在 ADC 上,使用rm dns key 命令删除旧 DNS 密钥。有关从区域中删除密钥的更多信息(包括示例),请参阅 删除 DNS 密钥

双重签名密钥翻转

RFC 4641,“DNSSEC 操作规范”定义了双重签名密钥翻转的三个阶段:初始、新 DNSKEY 和 DNSKEY 移除。每个阶段都与您必须在 ADC 上执行的一组任务相关联。以下是每个阶段的描述以及必须执行的任务。此处描述的转存过程既可以用于密钥签名密钥,也可以用于区域签名密钥。

  • 阶段 1:初始。该区域仅包含当前已使用该区域签名的密钥集。初始阶段的区域状态是您开始密钥翻转过程之前区域的状态。

    示例:

    以密钥 example.com.zsk1 为例,该密钥是用来签名区域 example.com 的。该区域仅包含那些由 example.com.zsk1 密钥生成的 RRSIG,该密钥即将到期。密钥签名密钥是 example.com.ksk1。

  • 第 2 阶段:新 DNSKEY。新密钥在区域中发布,并使用新密钥对区域进行签名。该区域包含由旧密钥和新密钥生成的 RRSIG。区域必须包含两组 RRSIG 的最短持续时间是所有 RRSIG 过期所需的时间。

    示例:

    新密钥 example.com.zsk2 已添加到 example.com 区域。该区域使用 example.com.zsk2 签名。example.com 区域现在包含由这两个密钥生成的 RRSIG。

    NetScaler 命令

    在 NetScaler 上执行以下任务:

    • 使用create dns key 命令创建 DNS 密钥。

      有关创建 DNS 密钥的更多信息(包括示例),请参阅 为区域创建 DNS 密钥

    • 使用命令在区域中发布新密add dns key 钥。

      有关在区域中发布密钥的更多信息(包括示例),请参阅 在区域中发布 DNS 密钥

    • 使用命令使用新密钥对区域进行签sign dns zone 名。

      有关签名区域的更多信息(包括示例),请参阅 签名和取消签名 DNS 区域

  • 阶段 3:删除 DNSKEY。当旧 DNS 密钥生成的 RRSIG 到期时,旧 DNS 密钥将从区域中删除。

    示例:

    旧的 DNS 密钥 example.com.zsk1 已从 example.com 区域中删除。

    NetScaler 命令:

    在 NetScaler 上,您可以使用 rm dns key 命令删除旧的 DNS 密钥。

    有关从区域中删除密钥的更多信息(包括示例),请参阅 删除 DNS 密钥

双重重置

RFC 7583,“DNSSEC 密钥滚动时间注意事项”定义了双重置滚动的三个阶段:初始、新 DNSKEY 和 DNSKEY 移除。每个阶段都与一组必须在 NetScaler 上执行的任务相关联。以下是每个阶段的描述以及必须执行的任务。此处描述的滚动过程用于密钥签名密钥。

  • 阶段 1:初始。该区域仅包含当前与该区域签名的密钥集和记录。初始阶段的区域状态是您开始密钥翻转过程之前区域的状态。

    示例:

    以密钥 example.com.zsk1 和 key.example.com.ksk1 为例,区域 example.com 和 DNSSEC 密钥分别使用它们进行签名。该区域仅包含那些由 example.com.ksk1 密钥生成的、即将到期的 DNSKEY RRSIG。

  • 第 2 阶段:新 DNSKEY。全新 DNSKEY。新的 KSK 密钥已创建并发布到该区域中。该区域中有两个 DNSSEC 密钥和 RRSIG,一个由旧密钥创建,另一个由新密钥创建。更新父区域中的新 DS 记录。现在,父区域有两条 DS 记录,一条用于新创建的密钥,另一条用于旧密钥。

注意:

DS 记录可能需要一段时间才能在父区域中可用。

该区域包含由旧密钥和新密钥生成的 RRSIG。为了使该区域包含两组 RRSIG,必须等待所有 RRSIG 的到期,也就是 DNSKEY 记录的 TTL 值。此外,在 DNS 层次结构中,您必须考虑传播延迟。 示例:

A new key example.com.ksk2 is added to the example.com zone. The zone is signed with example.com.ksk2. The example.com zone now contains the RRSIGs generated from both keys.

 **NetScaler commands**

Perform the following tasks on NetScaler:

-  Create a DNS key by using the `create dns key` command.

    For more information about creating a DNS key, including an example, see [Create DNS keys for a zone](/zh-cn/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).

-  Publish the new key in the zone by using the `add dns key` command.

    For more information about publishing the key in the zone, including an example, see [Publish a DNS key in a zone](/zh-cn/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).

-  Sign the zone with the new key by using the `sign dns zone` command.

    For more information about signing a zone, including examples, see [Sign and unsign a DNS zone](/zh-cn/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
  • 第 3 阶段:使用旧密钥取消区域的签名。

    如果经过足够的时间将新的 DNSSEC 密钥缓存在解析器中,则可以使用旧密钥取消对区域的签名。

    使用 unsign dns zone 命令取消使用旧密钥对区域进行签名。

    有关取消区域签名的更多信息(包括示例),请参阅对 DNS 区域进行签名和取消签名

  • 阶段 4:删除 DNSKEY。当旧 DNS 密钥生成的 RRSIG 到期时,旧 DNS 密钥将从区域中删除。

注意:

在删除密钥之前,请确保您已取消区域的签名。

**Example:**

The old DNS key example.com.ksk1 is removed from the example.com zone.

**NetScaler commands:**

On the ADC, you remove the old DNS key by using the `rm dns key` command. For more information about removing a key from a zone, including an example, see [Remove a DNS key](/zh-cn/citrix-adc/current-release/dns/dnssec/configure-dnssec.html).
区域维护