ADC

DNSSEC-Vorgänge an Citrix ADC auslagern

Für DNS-Zonen, für die Ihre DNS-Server autorisierend sind, können DNSSEC-Vorgänge auf die ADC-Appliance übertragen werden. In einer DNSSEC-Offloading-Bereitstellung sendet ein DNS-Server nicht signierte Antworten. Der ADC signiert die Antwort dynamisch, bevor er sie an den Client weiterleitet. Der ADC speichert auch die signierte Antwort. Neben der Verringerung der Belastung der DNS-Server bietet das Auslagern von DNSSEC-Vorgängen an den ADC folgende Vorteile:

  • Sie können Datensätze signieren, die von den DNS-Servern programmgesteuert generiert werden. Solche Datensätze können nicht durch routinemäßige Zonensignierungsvorgänge signiert werden, die auf den DNS-Servern ausgeführt werden.
  • Sie können signierte Antworten an Clients senden, auch wenn Sie DNSSEC auf Ihren Servern nicht implementiert haben.

Zum Einrichten der DNSSEC-Abladung müssen Sie einen virtuellen DNS-Lastausgleichsserver konfigurieren, Dienste konfigurieren, die die DNS-Server darstellen, und dann die Dienste an den virtuellen Server binden. Informationen zum Konfigurieren eines virtuellen DNS-Lastenausgleichsservers, zum Konfigurieren von Diensten und zum Binden der Dienste an den virtuellen Server finden Sie unter Konfigurieren einer DNS-Zone.

Erstellen Sie eine Zonen-Entity auf dem ADC für jede DNS-Zone, deren DNSSEC-Vorgänge Sie auslagern möchten. Für jede DNS-Zone müssen Sie die Parameter Proxy Mode und DNSSEC Offload aktivieren. Sie können optional die NSEC-Datensatzgenerierung für eine ausgelagerte Zone konfigurieren. Um eine DNS-Zonenentität für DNSSEC-Abladung zu erstellen, folgen Sie den Anweisungen in diesem Thema.

Um die Konfiguration abzuschließen, müssen Sie DNS-Schlüssel für die Zone generieren, die Schlüssel zur Zone hinzufügen und dann die Zone mit den Schlüsseln signieren. Dieser Prozess ist der gleiche wie für normale DNSSEC. Informationen zum Erstellen von Schlüsseln, zum Hinzufügen von Schlüsseln zu einer Zone und zum Signieren der Zone finden Sie unter Sicherheitserweiterungen für Domänennamen.

Nachdem Sie DNS-Abladung konfiguriert haben, müssen Sie den DNS-Cache auf dem Citrix ADC leeren. Durch das Leeren des DNS-Cache wird sichergestellt, dass alle nicht signierten Datensätze im Cache entfernt und dann durch signierte Datensätze ersetzt werden. Informationen zum Löschen des DNS-Caches finden Sie unter Flush DNS-Datensätze.

Aktivieren der DNSSEC-Abladung für eine Zone mit der CLI

Geben Sie in der Befehlszeile die folgenden Befehle ein, um DNSSEC-Verschiebung für eine Zone zu aktivieren und die Konfiguration zu überprüfen:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

Beispiel:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

Aktivieren der DNSSEC-Abladung für eine Zone mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > DNS > Zonen.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Klicken Sie auf Hinzufügen, um eine Zone auf dem Citrix ADC zu erstellen.
    • Um DNSSEC-Abladung für eine vorhandene Zone zu konfigurieren, doppelklicken Sie auf die Zone.
  3. Aktivieren Sie im Dialogfeld DNS-Zone erstellen oder DNS-Zone konfigurieren die Kontrollkästchen Proxymodus und DNSSEC-Abladung.
  4. Aktivieren Sie optional das Kontrollkästchen NSEC, wenn Citrix ADC NSEC-Einträge für die Zone generieren soll.
DNSSEC-Vorgänge an Citrix ADC auslagern