ADC

Descarga las operaciones DNSSEC al Citrix ADC

En las zonas DNS para las que los servidores DNS tienen autoridad, las operaciones DNSSEC se pueden descargar en el dispositivo ADC. En una implementación de descarga DNSSEC, un servidor DNS envía respuestas sin firmar. El ADC firma la respuesta dinámicamente antes de retransmitir al cliente. El ADC también almacena en caché la respuesta firmada. Además de reducir la carga en los servidores DNS, la descarga de operaciones DNSSEC al ADC ofrece las siguientes ventajas:

  • Puede firmar registros que los servidores DNS generan mediante programación. Dichos registros no se pueden firmar mediante operaciones rutinarias de firma de zona realizadas en los servidores DNS.
  • Puede proporcionar respuestas firmadas a los clientes incluso si no ha implementado DNSSEC en sus servidores.

Para configurar la descarga de DNSSEC, debe configurar un servidor virtual de equilibrio de carga DNS, configurar los servicios que representan los servidores DNS y, a continuación, enlazar los servicios al servidor virtual. Para obtener información sobre cómo configurar un servidor virtual de equilibrio de carga DNS, configurar servicios y vincular los servicios al servidor virtual, consulte Configurar una zona DNS.

Cree una entidad de zona en el ADC para cada zona DNS cuyas operaciones DNSSEC desee descargar. Para cada zona DNS, debe habilitar los parámetros Modo proxy y Descarga DNSSEC. Opcionalmente, puede configurar la generación de registros NSEC para una zona de descarga. Para crear una entidad de zona DNS para la descarga de DNSSEC, siga las instrucciones de este tema.

Para completar la configuración, debe generar claves DNS para la zona, agregar las claves a la zona y, a continuación, firmar la zona con las claves. Este proceso es el mismo que para DNSSEC normal. Para obtener información sobre cómo crear claves, agregar claves a una zona y firmar la zona, consulte Extensiones de seguridad del sistema de nombres de dominio.

Después de configurar la descarga de DNS, debe vaciar la caché DNS en Citrix ADC. Al vaciar la caché DNS se asegura de que todos los registros sin firmar en la caché se eliminan y, a continuación, se reemplazan por registros firmados. Para obtener información sobre cómo vaciar la caché DNS, consulte Vaciar registros DNS.

Habilitar la descarga de DNSSEC para una zona mediante la CLI

En la línea de comandos, escriba los siguientes comandos para habilitar la descarga de DNSSEC para una zona y compruebe la configuración:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

Ejemplo:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

Habilitar la descarga de DNSSEC para una zona mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > DNS > Zonas.
  2. En el panel de detalles, realice una de las acciones siguientes:
    • Para crear una zona en Citrix ADC, haga clic en Agregar.
    • Para configurar la descarga de DNSSEC para una zona existente, haga doble clic en la zona.
  3. En el cuadro de diálogo Crear zona DNS o Configurar zona DNS, active las casillas de verificación Modo proxy y Descarga DNSSEC.
  4. Si quiere que Citrix ADC genere registros NSEC para la zona, active la casilla de verificación NSEC.
Descarga las operaciones DNSSEC al Citrix ADC