ADC

Anwendungsfall: Konfigurieren Sie die automatische DNSSEC-Schlüsselverwaltung bei der GSLB-Bereitstellung

Führen Sie die folgenden Schritte aus, um die automatische Rollover-Funktion auf einer GSLB-Site zu aktivieren. Wenn Sie einen sekundären DNS-Resolver benötigen und die DNS-Konfiguration und die DNS-Schlüssel duplizieren möchten, stellen Sie sicher, dass Sie über die folgenden Konfigurationen verfügen:

  • Grundlegende GSLB-Sites
  • Lizenz für GSLB
  • Firewall-Richtlinien

Hinweis

Sobald die Einrichtung abgeschlossen ist, führt das primäre Haupt-GSLB die wichtigsten Rollover-Operationen und die Synchronisation mit den Standorten der Untergebenen durch.

In diesem Beispiel haben wir die folgenden Details verwendet:

  • Domainname: example.com
  • Ursprungsserver: nameserver1.example.com
  • Nameserver: nameserver2.example.com
  • Kontakt: admin.example.com
  • Schlüssel: Taste 1 für ZSK und Taste 2 für KSK
  1. Aktivieren Sie die Parameter gslbAutomaticConfigSync und gslbSyncSaveConfig.

    Geben Sie in der Befehlszeile Folgendes ein:

set gslb parameter -automaticConfigSync enabled -gslbsyncsaveConfig enabled

 Warning: The Saveconfig command might not get applied to GSLB sites that are down during the sync operation, so it is recommended to apply saveconfig on the master node again when down GSLB site comes up.
Done
<!--NeedCopy-->
  1. Aktivieren Sie die DNS-Zonenübertragung in den DNS-Parametern.

    Geben Sie in der Befehlszeile Folgendes ein:

    set dns parameter -zoneTransfer enABLED
    Done
    <!--NeedCopy-->
    
  2. Erstellen Sie einen SOA- und NS-Datensatz (der Name sollte dem Zonennamen entsprechen).

    Geben Sie in der Befehlszeile Folgendes ein:

    add dns soaRec example.com -originServer nameserver1.example.com -contact admin.example.com
    Done
    add dns nsrec example.com nameserver2.example.com
    Done
    <!--NeedCopy-->
    
  3. Erstellen Sie einen DNS-Zoneneintrag. Stellen Sie den Proxymodus für autoritative Zonen auf Nein ein.

    add dns zone example.com  -proxyMode no
    <!--NeedCopy-->
    
  4. DNS-Schlüssel erstellen

    Hinweis:

    Der Befehl erstellt im System drei Dateien mit dem Dateinamenpräfix: private, key und ds.

    create dns key -zoneName example.com -fileNamePrefix Key1.zsk -keytype zsk -keysize 1024 -algorithm rsASHA256
    create dns key -zoneName example.com -fileNamePrefix Key2.ksk -keytype ksk -keysize 1024 -algorithm rsASHA256
    <!--NeedCopy-->
    
  5. Veröffentlichen Sie die Schlüssel in der Zone.

    Hinweis:

    Aktivieren Sie die automatische Rollover-Option und geben Sie das Ablaufdatum sowie den Benachrichtigungszeitraum an. Eine Warnmeldung bezüglich der Aktivierung des Schlüssels wird angezeigt.

    add dns key Key1.zsk Key1.zsk.key Key1.zsk.private -autoRollover enABLED -expires 30 days -notificationPeriod 7 days -rolloverMethod doublesignature
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    
     add dns key Key2.ksk Key2.ksk.key Key2.ksk.private -autoRollover enABLED -expires 120 days -notificationPeriod 15 days -rolloverMethod doublerrSet
    
    Warning: The key should be in an activated state for rollover. Please use sign DNS zone operation to activate the key
    Done
    <!--NeedCopy-->
    
  6. Aktivieren Sie den Schlüssel mit dem Befehl Sign Zone.

    sign dns zone example.com -keyName Key1.zsk Key2.ksk
    <!--NeedCopy-->
    
  7. Aktivieren Sie die Option zum automatischen Speichern des Schlüssels in den DNS-Parametern.

    set dns parameter -autosaveKeyOps enabled
    <!--NeedCopy-->
    
  8. Führen Sie den Befehl show DNS key aus. Der Befehl show listet die folgenden Details auf:

    • Schlüsselstatus — Der Status eines vorhandenen Schlüssels.
    • Ablaufdatum — Das Datum, an dem der aktuelle Schlüssel abläuft.
    • Benachrichtigungszeitraum — Dieser Parameter definiert die Anzahl der Tage vor Ablauf des Schlüssels, an denen eine Benachrichtigung gesendet werden soll. Falls der automatische Rollover aktiviert ist, wird in diesem Zeitraum vor Ablauf ein Nachfolgerschlüssel erstellt.
    • Schlüsseltag — Eindeutiger Bezeichner für einen Schlüssel.
    • Automatischer Rollover-Status — Der aktuelle Status des automatischen Rollovers.
    • Rollover-Methode — Rollover-Methode für den angegebenen Schlüssel.

    ``` show dns key

    1) Schlüsselname: test1.zsk Schlüsseltag: 33216 Schlüsseltyp: ZSK Zonenname: test1.com Schlüsselstatus: Aktiviert Läuft ab: 30 TAGE Benachrichtigung: 7 TAGE TTL: 5 Automatischer Rollover: AKTIVIERT Rollover-Methode: DoubleSignature Öffentliche Schlüsseldatei: test1.zsk.key Private Schlüsseldatei: test1.zsk.private Erstellungszeit: Mittwoch, 11. Oktober, 04:30:40 2023 Aktivierung Uhrzeit: Mittwoch, 11. Oktober, 04:32:05 2023 Deaktivierung Uhrzeit: Freitag, 10. November, 04:31:05 2023 Löschzeit: Freitag, 10. November, 04:33:05 2023 2) Schlüsselname: test1.ksk Schlüsseltag: 5554 Schlüsseltyp: KSK Zonenname: test1.com Schlüsselstatus: Aktiviert Läuft ab: 120 TAGE Benachrichtigung: 150 TAGE TTL: 5 Automatischer Rollover: AKTIVIERT Rollover-Methode: DoubleRRSet Öffentliche Schlüsseldatei: test1.ksk.key Private Schlüsseldatei: test1.ksk.private Erstellungszeit: Mittwoch, 11. Oktober, 04:31:44 2023 Aktivierung Uhrzeit: Mittwoch, 11. Oktober, 04:32:05 2023 Deaktivierung Uhrzeit: Donnerstag, 8. Februar, 04:31:05 2023 Löschzeit: Donnerstag, 8. Februar, 04:33:05 2023 Fertig

Anwendungsfall: Konfigurieren Sie die automatische DNSSEC-Schlüsselverwaltung bei der GSLB-Bereitstellung

In diesem Artikel